TPM の推奨事項

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016 以上

このトピックでは、Windows 用トラステッド プラットフォーム モジュール (TPM) テクノロジに関する推奨事項について説明します。

TPM の基本的な機能の説明については、「トラステッド プラットフォーム モジュール技術概要」をご覧ください。

TPM の設計と実装

従来、TPM は、コンピューターのマザーボードに実装された個別のチップです。 この実装形態では、コンピューターの OEM (相手先ブランド供給) は TPM をシステムの残りと分離して評価および認証できます。 個別の TPM 実装は一般的です。 ただし、小さい、または電力消費量が少ない統合デバイスでは問題になる可能性があります。 最近は、TPM 機能を他のプラットフォーム コンポーネントと同じチップセット内に統合し、ディスクリート TPM チップと同じような分離を論理的に提供する新しい TPM 実装も登場しています。

TPM は受動的なデバイスであり、コマンドを受信して応答を返します。 TPM のメリットを最大限に活用するには、OEM はシステムのハードウェアおよびファームウェアと TPM を慎重に統合して、TMP にコマンドを送信し、返される応答に対応する必要があります。 TPM は、本来、セキュリティとプライバシーのメリットをプラットフォームの所有者とユーザーに提供するために設計されたものですが、新しいバージョンではセキュリティとプライバシーのメリットをシステム ハードウェア自体に提供できます。 ただし、TPM を高度なシナリオに使用する前に、TPM をプロビジョニングする必要があります。 Windows は TPM を自動的にプロビジョニングしますが、ユーザーがオペレーティング システムの再インストールを計画している場合は、再インストールする前に TPM をクリアして、Windows が TPM を最大限に活用できるようにする必要がある場合があります。

Trusted Computing Group (TCG) は、TPM の仕様を公開し管理している非営利組織です。 TCG は、ベンダーに依存しないグローバル業界標準を開発、定義、および促進するために存在します。 これらの標準では、相互運用可能な信頼できるコンピューティング プラットフォームのハードウェアベースの信頼ルートがサポートされています。 TCGは、国際標準化機構 (ISO) と国際電気標準会議 (IEC) の合同の委員会である JTC 1 が定義する公開仕様書提出プロセスを通じて、TPM 仕様を国際標準 ISO/IEC 11889 としても公開しています。

OEM は、PC、タブレット、携帯電話などの信頼されたコンピューティング プラットフォームに TPM をコンポーネントとして実装します。 信頼されたコンピューティング プラットフォームは、TPM を使用して、ソフトウェアだけでは実現できないプライバシーとセキュリティのシナリオをサポートします。 たとえば、ソフトウェアだけでは、システムの起動プロセス中にマルウェアが存在するかどうかを確実に報告できません。 TPM とプラットフォームの密接な統合により、起動プロセスの透明性が高まり、デバイスを起動するソフトウェアの測定と報告の信頼できる結果に基づいて、デバイスの正常性を評価できるようになります。 信頼されたコンピューティング プラットフォームの一部として TPM を実装すると、ハードウェアに信頼のルートがもたらされます。つまり、ハードウェアが信頼できる方法で動作します。 たとえば、TPM に格納したキーに、そのキーのエクスポートを禁止するプロパティが含まれている場合、そのキーは TPM から出ることはできなくなります。

TCG は、さまざまな顧客セグメントの要件に対応する低コストのマスマーケット用セキュリティ ソリューションとして TPM を設計しています。 顧客セグメントや規制機関ごとにセキュリティ要件が異なるように、TPM の実装ごとにセキュリティ プロパティは異なります。 たとえば、公的調達の場合、TPM に関するセキュリティ要件を明確に定義している政府機関もあれば、そうではない機関もあります。

TPM 1.2 と 2.0 の比較

Microsoft は、業界標準に関しては業界を率先する形で TPM 2.0 への移行と標準化を推進しています。TPM 2.0 には、アルゴリズム、暗号化、階層、ルート キー、承認、NV RAM にわたって数多くの重要なメリットが盛り込まれています。

TPM 2.0 を使う理由

TPM 2.0 の製品やシステムは TPM 1.2 と比較して次の重要なセキュリティ上の利点があります。

  • TPM 1.2 仕様では、RSA と SHA-1 ハッシュ アルゴリズムの使用のみが許可されます。

  • セキュリティ上の理由から、一部のエンティティは SHA-1 の使用を避け始めています。 特に、2014 年現在、NIST は多くの連邦機関に対して SHA-256 への移行を要請しています。Microsoft や Google などのテクノロジ リーダーも、SHA-1 ベースの署名と証明書のサポートを 2017 年に終了することを発表しました。

  • TPM 2.0 は暗号化アルゴリズムをより柔軟にすることで、より高速な暗号化を実現しました。

    • TPM 2.0 では、より新しいアルゴリズムがサポートされており、これにより、署名とキー生成のパフォーマンスを向上させることができます。 サポートされているアルゴリズムの完全な一覧については、「TCG Algorithm Registry」(TCG アルゴリズム レジストリ) をご覧ください。 一部の TPM では、すべてのアルゴリズムがサポートされているわけではありません。

    • Windows がプラットフォーム暗号化ストレージ プロバイダーでサポートしているアルゴリズムの一覧については、「CNG Cryptographic Algorithm Providers」(CNG 暗号化アルゴリズム プロバイダー) をご覧ください。

    • TPM 2.0 は、ISO 標準 (ISO/IEC 11889:2015) として承認されました。

    • TPM 2.0 の使用は、OEM において、特定の国や地域のために標準構成に例外を設ける必要をなくすために役立つ場合があります。

  • TPM 2.0 は、異なる実装間でより一貫性のあるエクスペリエンスを実現します。

    • TPM 1.2 の実装では、ポリシー設定に違いがあります。 ロックアウト ポリシーが異なるため、サポートの問題が生じることがあります。

    • TPM 2.0 のロックアウトのポリシーは Windows によって構成され、辞書攻撃からの保護に関して一定した保証を行います。

  • TPM 1.2 パーツはディスクリート シリコン コンポーネントであり、通常はマザーボード上で実装されますが、TPM 2.0 は 1 つの半導体パッケージ内の 個別 (dTPM) シリコン コンポーネントとして使用できます。 統合 コンポーネントは、1 つまたは複数の半導体パッケージに組み込まれ、同じパッケージ内の他のロジック ユニットと共に、信頼された実行環境 (TEE) で実行される ファームウェア (fTPM) ベースのコンポーネントとして汎用 SoC で実行されます。

注意

TPM 2.0 は、BIOS のレガシ モードと CSM モードではサポートされていません。 TPM 2.0 を搭載したデバイスでは、BIOS モードをネイティブ UEFI としてのみ構成する必要があります。 レガシおよび互換性サポート モジュール (CSM) オプションを無効にする必要があります。 セキュリティを強化するためにセキュア ブート機能を有効にします。

レガシ モードのハードウェアにインストールされているオペレーティング システムは、BIOS モードが UEFI に変更されると、OS の起動を停止します。 UEFI をサポートするように OS とディスクを準備する BIOS モードを変更する前に、MBR2GPT ツールを使用します。

ディスクリート、統合、またはファームウェア TPM?

TPM の実装オプションには次の 3 つがあります。

  • ディスクリート TPM チップ (TPM 独自の半導体パッケージ内にある個別のコンポーネントとして利用できます)

  • 統合 TPM ソリューション (1 つ以上の半導体パッケージに他のコンポーネントと共に統合された専用のハードウェアを使用します。他のコンポーネントと共に組み込まれてはいますが、論理的には個別のコンポーネントです)

  • ファームウェア TPM ソリューション (ファームウェア上で TPM を汎用の計算装置の信頼された実行モードで実行します)

Windows では、互換性のある TPM は同じ方法で使用されます。 Microsoft は、TPM を実装する方法に関する立場を取ってはいません。また、使用可能な TPM ソリューションの広範なエコシステムがあり、すべてのニーズに適している必要があります。

消費者にとっての TPM の重要性

エンド コンシューマーの場合、TPM はバックグラウンドですが、引き続き関連性があります。 TPM は、Windows Hello や Windows Hello for Business で使用されており、将来的には、Windows が備えている他の多くの主要なセキュリティ機能のコンポーネントとなる可能性があります。 TPM は PIN をセキュリティで保護し、パスワードを暗号化するのに役立ち、セキュリティを重要な柱として Windows エクスペリエンスストーリー全体に基づいて構築します。 TPM が搭載されたシステムで Windows を使用すると、より深く、広い範囲でセキュリティが確保されます。

Windows 用 TPM 2.0 コンプライアンス

デスクトップ エディション用 Windows (Home、Pro、Enterprise、Education)

  • 2016 年 7 月 28 日以降、すべての新しいデバイス モデル、行、またはシリーズ (または、CPU、グラフィック カードなどの主要な更新プログラムを使用して既存のモデル、ライン、またはシリーズのハードウェア構成を更新する場合) は、既定で TPM 2.0 ( 最小ハードウェア要件 ページのセクション 3.7 の詳細) を実装して有効にする必要があります。 TPM 2.0 を有効にするための要件は、新しいデバイスの製造にのみ適用されます。 特定の Windows 機能に対する TPM の推奨事項については、「TPM と Windows の機能」をご覧ください。

IoT Core

  • IoT Core では、TPM はオプションです。

Windows Server 2016

  • TPM は、SKU が Host Guardian Services シナリオの他の条件 (AQ) 条件 (TPM 2.0 が必要) を満たしていない限り、Windows Server SKU では省略可能です。

TPM と Windows の機能

次の表では、TPM サポートが必要な Windows の機能を定義します。

Windows の機能 TPM 必須 TPM 1.2 をサポート TPM 2.0 をサポート 詳細
メジャー ブート あり あり 測定ブートには、TPM 1.2 または 2.0 および UEFI セキュア ブートが必要です。 TPM 2.0 は、新しい暗号化アルゴリズムをサポートしているため、推奨されます。 TPM 1.2 では、非推奨となる SHA-1 アルゴリズムのみがサポートされます。
BitLocker なし あり あり TPM 1.2 または 2.0 はサポートされていますが、TPM 2.0 をお勧めします。 自動デバイス暗号化には、 TPM 2.0 のサポートを含むモダン スタンバイが必要です
デバイスの暗号化 該当せず デバイスの暗号化ではモダン スタンバイ/コネクト スタンバイの証明書が必要であり、そのために TPM 2.0 が必要です。
Windows Defender アプリケーション制御 (Device Guard) なし はい あり
Windows Defender System Guard (DRTM) はい なし あり TPM 2.0 および UEFI ファームウェアが必要です。
Credential Guard × はい Windows 10 バージョン 1507 (2017 年 5 月時点でサポート終了) は、Credential Guard 用に TPM 2.0 のみをサポートしていました。 Windows 10 バージョン 1511 以降では、TPM 1.2 と 2.0 がサポートされています。 TPM 2.0 はWindows Defender System Guardと組み合わせることで、Credential Guard のセキュリティを強化します。 Windows 11では、この強化されたセキュリティを容易にするために、既定で TPM 2.0 が必要です。
デバイス正常性構成証明 あり はい TPM 2.0 は、新しい暗号化アルゴリズムをサポートしているため、推奨されます。 TPM 1.2 では、非推奨となる SHA-1 アルゴリズムのみがサポートされます。
Windows Hello/Windows Hello for Business × あり Azure AD への参加は TPM の両方のバージョンをサポートしていますが、キーの構成証明のサポート用に、キー付きハッシュ メッセージ認証コード (HMAC) および保証キー (EK) 証明書付きの TPM が必要です。 パフォーマンスとセキュリティを向上させるために、TPM 1.2 よりも TPM 2.0 をお勧めします。 FIDO プラットフォーム認証システムとしてWindows Helloは、キー ストレージに TPM 2.0 を利用します。
UEFI セキュア ブート × あり
TPM プラットフォームの暗号化プロバイダー、キー記憶域プロバイダー はい
仮想スマート カード あり
証明書ストア × あり TPM は、証明書が TPM に格納される場合にのみ必要です。
自動 操縦 なし 該当せず TPM を必要とするシナリオ (白いグローブや自己展開モードなど) を展開する場合は、TPM 2.0 と UEFI ファームウェアが必要です。
SecureBIO あり なし はい TPM 2.0 および UEFI ファームウェアが必要です。

TPM 2.0 システムの OEM ステータスの可用性と認定済みのパーツ

政府関連のお客様や規制のある業界の大企業のお客様は、場合によっては調達基準により一般的に認定済みの TPM パーツを使う必要があります。 このため、デバイスを提供する OEM では、認定済みの TPM コンポーネントだけを使って商用クラスのシステムを構築することが必要になる場合があります。 詳しくは、OEM またはハードウェアの販売元に問い合わせてください。

関連トピック