ハードウェアへの攻撃が話題になることはほとんどありませんが、他の脅威と同様の緩和策やセキュリティ・ソリューションが必要です。

TPM（Trusted Platform Module）は、コンピュータのマザーボードに暗号チップ（暗号プロセッサ）を搭載する独自のハードウェアベースのセキュリティ・ソリューションです。

このチップは、コンピュータのハードウェアを介して発生するハッキング攻撃から機密データを保護します。各TPMにはコンピュータが生成した暗号鍵があり、現在ほとんどのPCにはTPMチップがあらかじめマザーボードに取り付けられている。

ここでは、Trusted Platform Modulesの仕組みやメリット、PCでTPMを有効にする方法について見ていきましょう。

tpmの仕組みは？

TPMは、暗号鍵のペアを生成し、それぞれの鍵の一部を安全に保管し、改ざんを検知する仕組みになっている。これは、暗号化された秘密鍵の一部が、完全にディスクに保存されるのではなく、TPMに保存されることを意味します。

そのため、ハッカーがコンピュータを危険にさらしたとしても、その中身にアクセスすることはできません。tpmでは、ハッカーがtpmチップを取り外したり、別のマザーボード上のディスクにアクセスしようとしても、暗号化をバイパスしてディスクの中身にアクセスすることは不可能なのです。

シリコン**の段階で、各TPMはその安全性を高めるためにユニークな初期化署名を持つ。TPMを使用するためには、まず所有者が必要であり、所有権を得るためにはTPMユーザーが物理的に存在する必要がある。この2つのステップを踏まないと、TMPは起動しません。

tpmのメリット

TPMは信頼性と完全性のレベルを提供し、あらゆるデバイスで認証、識別、暗号化を非常に簡単に実行できるようにします。

ここでは、TPMがもたらす主なメリットをご紹介します。

データの暗号化機能を提供

セキュリティ意識が高まったとはいえ、暗号化されていないデータ転送が大量に発生しているのが現状です。TPMは、ソフトウェアとハードウェアのアルゴリズムの組み合わせにより、平文データを暗号化して保護します。

悪質なブートローダ・マルウェアの防止

特殊なマルウェアの中には、アンチウィルスソフトが作動する前にブートローダーに感染したり、書き換えたりするものもあります。マルウェアの種類によっては、OSを仮想化し、オンラインシステムに検知されることなくすべてを監視することも可能です。

TPMは、まずブートローダを検証し、この後に先に起動したマルウェア対策ソフトを起動させるため、信頼の連鎖を構築することで保護することができます。オペレーティングシステムが改ざんされていないことを保証することは、セキュリティの層を厚くします。TPMが危険を検知した場合、システムの起動を拒否するだけです。

アイソレーションモード

TPMのもう一つの大きなメリットは、問題が発生した際に自動的にアイソレーションモードに切り替わることです。TPMチップが漏電を検知すると、アイソレーションモードで起動し、問題のトラブルシューティングができるようになります。

より安全なストレージ

オンラインサービスにアクセスするための暗号キー、証明書、パスワードをTPMに安全に保存することができます。ハードディスク上のソフトウェアに保存するよりも安全です。

デジタル著作権管理

TPMチップは、セットトップボックスなどのハードウェアに配信されるデジタルメディアの著作権保護を行うため、メディア企業にとって安住の地となる。TPMチップはデジタル著作権管理を可能にすることで、企業が著作権侵害の心配をせずにコンテンツを配信することを可能にします。

Windows PCでtpmが有効になっているかどうかを確認する方法

お使いのWindowsパソコンがTPMを有効にしているかどうか知りたいですか？ほとんどのWindows 10マシンでは、TPMは通常マザーボードに統合されており、BitLockerなどの機能を使ってハードディスクを暗号化する際に暗号鍵を安全に保存することができます。

ここでは、お使いのPCでTPMが有効になっているかどうかを確実に確認する方法をご紹介します。

TPM管理ツール

Windows + Rキーを押して「ファイル名を指定して実行」ダイアログボックスウィンドウを開き、「tpm.msc」と入力してEnterキーを押します。

これにより、TPM（Trusted Platform Module）管理として知られる内蔵ユーティリティが開きます。TPMがインストールされている場合、TPM **プロバイダーのバージョンなどの情報を見ることができます。

ただし、「互換性のあるTPMが見つかりません」というメッセージが表示された場合は、パソコンにTPMが搭載されていないか、BIOS/UEFIでOFFになっている可能性があります。

デバイスマネージャー

1. スタートメニューの検索バーに「デバイスマネージャー」と入力し、最適なものを選択します。
2. デバイスマネージャーを開き、Security devicesというノードを探します。
3. それを展開して、Trusted Platformモジュールがリストアップされているかどうかを確認します。

コマンドプロンプト

1. スタートメニューの検索バーにcmdと入力し、CTRL+Shift+Enterキーを押して、昇格したコマンドプロンプトを開く。
2. 次のコマンドを入力します。

wmic /namespace:\oot\cimv2
ecuritymicrosofttpm path win32_tpm get * /format:textvaluelist.xsl

これにより、TPMチップの現在の状態（アクティブまたは有効）を知ることができます。TPMがインストールされていない場合、「no Instance(s) Available」というメッセージが表示されます。

biosからtpmを有効にする方法

Compatible TPM not found」のメッセージが表示され、BIOSで有効にしたい場合は、以下の手順を実行してください。

1. コンピュータを起動し、BIOSのエントリーキーをタッチします。コンピュータによって異なりますが、通常はF2、F12、DELのいずれかです。
2. 左側にある「セキュリティ」オプションを探し、展開します。
3. TPMオプションの検索
4. TPM Secure」チェックボックスをオンにすると、TPMドライブのセキュリティ暗号化が有効になります。
5. TPMオプションが正しく動作するように、「有効化」チェックボックスが有効になっていることを確認します。
6. 保存して終了します。

BIOSの設定やメニューはハードウェアによって異なりますが、どこにそのオプションがあるのか、大まかな目安をご紹介します。

関連：Windows 10（および旧バージョン）でBIOSを入力する方法

TPMと企業セキュリティ

TPMは一般家庭のパソコンを保護するだけでなく、企業やハイエンドのITインフラにも様々なメリットをもたらします。

TPMによって企業が得られるメリットは以下の通りです。

• 簡単なパスワード設定。
• デジタル認証情報（パスワードなど）をハードウェアベースの金庫に保管する。
• 鍵管理の簡素化
• スマートカード、指紋リーダー、FOBの機能強化で多要素認証に対応
• ファイルやフォルダの暗号化により、アクセス制御が可能。
• ハードディスクをシャットダウンする前にステータス情報をハッシュ化し、エンドポイントの整合性を確保します。
• 安全性の高いVPNアクセス、リモートアクセス、ワイヤレスアクセスを可能にします。
• フルディスク暗号化との併用で、機密データへのアクセスを完全に制限することができます。

小さくてもパワフルなtpmチップ

ソフトウェアベースのセキュリティツールへの投資に加えて、ハードウェアのセキュリティも同様に重要であり、暗号化によってデータを保護するために導入することができます。

TPMは、鍵の生成、パスワードや証明書の保存から暗号鍵まで、無数のセキュリティ機能を備えています。ハードウェアのセキュリティに関しては、小型のTPMチップを搭載することで、高いセキュリティレベルを保証できるはずです。