TPM(Trusted Platform Module) てぃーぴーえむ
簡単に言うとこんな感じ!
TPMはパソコンのマザーボードに埋め込まれた「金庫番チップ」だよ。暗号鍵やパスワードをソフトウェアじゃなくハードウェアで守るから、OSがウイルスに乗っ取られてもデータを盗まれにくいんだ。Windows 11の必須条件になって話題になったやつだよ!
TPM(Trusted Platform Module)とは
TPM(Trusted Platform Module) とは、コンピュータのマザーボードに物理的に組み込まれたセキュリティ専用のマイクロチップのことです。暗号鍵の生成・保管・管理や、機器の正当性確認(デバイス認証)などをハードウェアレベルで行います。ソフトウェアだけで暗号処理を行う場合と違い、OSやアプリケーションが侵害されても、チップ内の秘密情報は取り出せない設計になっています。
Trusted(信頼された) という言葉が示すとおり、「このPCは改ざんされていない正規の状態か」をブート(起動)時から検証する役割も担います。セキュアブート と組み合わせることで、不正なOSや起動前マルウェア(ブートキット)の実行を防ぐことができます。WindowsのBitLocker(ディスク暗号化機能)がTPMを活用する代表例で、チップが「正規の起動環境」と判断した場合にのみ暗号鍵を解放し、ドライブの復号を許可します。
2021年にMicrosoftがWindows 11の動作要件としてTPM 2.0を必須化したことで、一般ユーザーにも広く知られるようになりました。「なぜ自分のPCがWindows 11に対応していないのか」という疑問の答えがTPMにある、というケースも少なくありません。
TPMの主な機能と仕組み
TPMチップが持つ機能は大きく4つに分類できます。
| 機能 | 内容 | 活用例 |
|---|---|---|
| 鍵の生成・保管 | チップ内で暗号鍵を生成し、外部に出さずに保管 | BitLockerの暗号鍵管理 |
| プラットフォーム測定 | 起動時のソフトウェア状態をハッシュ値で記録 | セキュアブート・改ざん検出 |
| デバイス認証 | チップ固有の鍵でデバイスの正当性を証明 | ゼロトラストのデバイス認証 |
| 乱数生成 | 品質の高いランダム値をハードウェアで生成 | TLS鍵交換・証明書生成 |
PCR(プラットフォーム構成レジスタ)
TPMの中核概念が PCR(Platform Configuration Register) です。PCRとは、起動シーケンス(BIOS → ブートローダー → OS)の各ステップのハッシュ値を順番に「積み重ねて」記録するレジスタ群です。
起動ステップ PCRに記録される値
──────────────────────────────────────────
UEFI/BIOSファームウェア → PCR[0]: Hash(UEFI)
ブートローダー → PCR[4]: Hash(PCR[4] + BootLoader)
OSカーネル → PCR[8]: Hash(PCR[8] + Kernel)
↑
一つでも変わると最終値が変わるこの仕組みにより「起動チェーンのどこかが改ざんされたか」を検出できます。BitLockerはこのPCR値が期待値と一致するときのみ鍵を解放します。
TPM 1.2 vs TPM 2.0
| 比較項目 | TPM 1.2 | TPM 2.0 |
|---|---|---|
| 規格策定 | 2003年 | 2014年 |
| 対応アルゴリズム | SHA-1・RSA のみ | SHA-256・ECC・AESなど複数 |
| Windows 11対応 | ❌ 非対応 | ✅ 必須要件 |
| 実装形態 | ディスクリートチップが主 | fTPM(CPU内蔵)も普及 |
| 柔軟性 | 低い(固定的) | 高い(アルゴリズム切替可) |
歴史と背景
- 2003年 — TCG(Trusted Computing Group)がTPM 1.1b仕様を策定。業界標準のセキュリティチップとして登場
- 2005年頃 — 主要PCメーカーがTPM 1.2チップの搭載を開始。企業向けノートPCに広がる
- 2009年 — Windows 7でBitLockerがTPMと連携する機能が標準提供され、企業導入が加速
- 2014年 — TPM 2.0仕様をISO/IEC 11889として国際標準化。SHA-256・ECCなど現代的な暗号に対応
- 2016年頃 — IntelのfTPM(CPU内蔵型)・AMDのfTPMが普及し始め、別チップ不要の実装が広がる
- 2021年6月 — MicrosoftがWindows 11の動作要件にTPM 2.0を指定。中古PC市場でTPMモジュールが品薄になるほどの話題に
- 2022年以降 — ゼロトラストセキュリティの普及とともに、デバイス証明書の基盤としてTPMの重要性がさらに高まる
TPMの実装形態と関連技術
TPMには「チップとして搭載される形」だけでなく、複数の実装形態があります。
TPMがない場合のリスク
TPMが搭載されていない(または無効化されている)環境では、以下のリスクが高まります。
- ディスク盗難時のデータ漏洩: BitLockerを使っていてもTPMがないと、起動パスワードを知られると復号されてしまう
- ブートキット攻撃: 起動前に仕込まれるマルウェアをOSレベルでは検出できない
- デバイス証明の困難: ゼロトラスト環境で「このPCは信頼できる端末か」を証明する手段が弱くなる
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| ISO/IEC 11889-1:2015 | TPM 2.0のアーキテクチャ仕様(国際標準) |
| ISO/IEC 11889-2:2015 | TPM 2.0のパート2: 構造体定義 |
| TCG TPM 2.0 Library | TCG(Trusted Computing Group)が定めるTPM 2.0の実装仕様(国際標準の原典) |
関連用語
- BitLocker — Windowsのディスク全体暗号化機能。TPMと連携して起動時に鍵を解放する
- セキュアブート — 起動時に正規OSのみ実行を許可するUEFIの機能。TPMと組み合わせて使われる
- ゼロトラストセキュリティ — 「社内だから安全」を前提にしないセキュリティモデル。デバイス認証にTPMを活用
- PKI(公開鍵基盤) — デジタル証明書による信頼の仕組み。TPMはクライアント証明書の鍵保管に使われる
- HSM(ハードウェアセキュリティモジュール) — サーバー向けの暗号鍵専用ハードウェア。TPMの「サーバー版」にあたる
- UEFI — 現代PCの起動ファームウェア規格。セキュアブートやTPM管理のインターフェースを提供
- エンドポイントセキュリティ — PCやスマホなど端末レベルのセキュリティ対策の総称
- Windows Hello — Windowsの生体認証・パスワードレスサインイン機能。TPMに認証情報を保管する