TPMとは:PCチップがTPMに対応しているか確認し有効化する方法 Windows 11ではTPM 2.0が必須 1.2との違い
::*@
概要
Trusted Platform Moduleの略で、特定のセキュリティ機能を備えたCPUやチップセットなどモジュール(ハードウェア)に対して使われる言葉。
基本的に取り扱うデータを暗号化するための機能が提供され、暗号化時に使う「鍵」を安全な(セキュアな)領域に保管しておくための機能ともいえる。
暗号化されたデータとそれを復号する鍵を別々の場所で管理するため、より安全になる仕組みだ。
国際標準規格(ISO/IEC 11889)で主にTPM 1.2と2.0が存在し、後者は機能が大幅に追加されている。
それなりに昔から存在し、TPM 2.0はともかく1.2ならば対応している機器は多く、マザーボードが対応しているならば後付けでTPMモジュールのパーツを追加することで搭載することも可能。
しかし現在では、CPUやチップセットがTPM関連の機能を内蔵している=専用チップを搭載しているケースが多く、追加の投資が必要になるケースは少ない。
PTT・fTPMとは
従来は専用の機器が必要だったTPM関連の機能をCPUやチップセット単体で実現できるようにした仕組みのことで、ファームウェアTPMと呼ばれることもある。
インテルの技術がPTTでAMDがfTPMという名称になっており、それぞれ技術仕様の詳細は異なるが、ほぼ同一の機能を提供すると考えていい。
専用機器を用いる従来型のディスクリートTPMとは異なり導入が容易だが、擬似的にTPMを実現している部分もあり、ややセキュリティ面で問題が出やすいリスクもあるが、現在ではこちらが主流と考えていい。
詳細:Windows関連
ポイント:Windows 11はTPM必須
TPM 2.0を必須としたことで、MicrosoftはWindows 11で古い端末を完全に切り捨てたといえる。
マイクロソフト社における経営面での戦略も影響しているのだろうが、現実問題として最近はセキュリティの問題が深刻化しているので、そのセキュリティをOSレベルで強化する流れは必然であり、ある程度は仕方がないといえるだろう。
といっても、「必須」というユーザーにとって選択の余地が一切なく、ハードウェアの買い替えを強制的に促すかのようなやり方は疑問だが。
CPU/チップセットがTPM対応でなければならない
MicrosoftはWindows 11では「CPU・チップセットが」対応している必要があるとしているので、上記のPTT/fTPMのどちらかでなければならなず、マザーボードに後付のTPM対応デバイスを追加してもWindows 11は使えないことになる。
TPM 2.0の場合における対応CPUは、Intelのチップなら第7世代Core(Skylake)以降となるが、これでさえWindows 11で使う機能が一部足りないため、今のところ同OSは第8世代(Coffee Lake)以降でなければインストールできない仕様になっている。
補足:TPM必須ではないかも?
中国やロシア国内では国防上の理由もあり、欧米など西側諸国が制定したTPMの暗号化方式の利用を認めていない。
そのため、マイクロソフトはTPMを必要としないWindows 11の別エディションを用意するのではないかとも予想されている。
いくらなんでも、TPM 2.0非対応のマシンをすべて切り捨てるというのは行き過ぎの感もあるので、場合によっては他の国々のユーザーにも同様の救済措置があるのかもしれない。
いずれにせよ、まだ未定の部分が多そうだ(マイクロソフトも現状、周囲の反応をうかがっているものと思われる)。
Windows 10環境におけるTPM設定の確認方法
画面左下スタートメニューアイコンを右クリック
>「ファイル名を指定して実行」
>「tpm.msc」と入力
(または)
キーボードのショートカットキー「Windowsキー+R」で「ファイル名を指定して実行」を起動
>「tpm.msc」と入力
画面の上部にTPMに対応しているか否かが表示される。
BIOS設定の確認
なお、BIOS(UEFI)でTPMを有効化していないと、tpm.mscでは非対応であるかのように表示されてしまうので、まずはBIOSの設定を確認する必要がある。
各種BIOSによって表示が異なるが、おそらく「CPU」関連の項目に「TPM」、「PTT」(Intel Platform Trust Technology)、もしくは「fTPM」という表示があるはず。
Windows 11をインストールしたい場合は、それを「TPM 2.0」が有効化(Enabled)になるように変更する。
BitLockerとは
TPMの仕組みを使用して、ストレージに保存するデータを暗号化するWindowsの機能のことで、これを使っておけばデータの入ったデバイスごと第三者に流出したとしても暗号化されたデータの解除は容易ではない(それだけセキュアということ)。
基本的にHDD(ハードディスクドライブ)、SSDといったストレージの「ドライブ単位」で対象を設定する。
ただし、Windows 10 Pro版以上のエディションでないと搭載されていない(Home版では使えないということ)。
Windows 10の場合、この機能はTPM 1.2でも使えるが、上記のとおりWindows 11が動作するにはTPM 2.0が必須。
まとめ
TPMは本来、ユーザー側のデータの暗号化のために使われる機能で、使ったほうがセキュリティ性が高まるがかならずしも「使わなければならない」ものではない。
それなのにマイクロソフトが次世代OS・Windows 11の対応環境として「必須」と打ち出したことで、一気に注目を集めることになった。
今の段階では状況は流動的であるため、あわててTPM対応マシンを用意する必要はないだろう。
そもそもWindows 10は今後2025年までサポートされる予定なので、なおさら無理をする理由などなく、しかもWindows 11のリリース後ですらマイクロソフトの対応が変わる可能性もあるため、「しばらく傍観を決め込む」というのが一番賢い対応だと思われる。
Windows 10初期のゴタゴタや不具合の多さからすると、11でも初めのうちはいろいろと問題も出そうなだけに――