Users Guide
目次ページに戻る
トラステッドプラットフォームモジュール(TPM) と BitLocker のサポート
Dell™アップデートパッケージ Microsoft®Windows®OS ユーザーズガイド
TPM は、暗号化キーなど、基本的なセキュリティ関連の機能を提供するように設計された安全性の高いマイクロコントローラです。システムのマザーボードに組み込まれ、ハードウェアバスを使用してシ
ステムの他の部分と通信します。BIOS セットアップコマンドを使って、システムとその TPM の所有権を設定できます。
TPM では、プラットフォームの構成情報がプラットフォーム構成レジスタ(PCR)に値のセットとして保存されます。たとえば、これらのレジスタの 1 つにはマザーボードの製造元、もう 1 つにはプロセッ
サの製造元、3 番目のレジスタにはそのプラットフォームのファームウェアバージョンが保存されています。TPM が組み込まれたシステムでは、プラットフォームの測定値に関連付けられたキーが作成
されます。このキーは、これらのプラットフォームの測定値がキー作成時の値と同じである場合にのみラップを解除できます。この処理を TPM にキーを「封印する」 と言います。暗号化を解除すること
を「開封する」と言います。封印されたキーを最初に作成するとき、TPM は構成値とファイルハッシュのスナップショットを記録します。封印されたキーは、現在のシステム測定値がそのスナップショットの
測定値と一致する場合にのみ「開封」 つまりロック解除できます。BitLocker™は封印されたキーを使って、システムの整合性に対する攻撃を検出します。所定のハードウェアまたはソフトウェア要件
が満たされるまで、データはロックされたままになります。
BitLocker は、次の 2 つの主要データ保護機能を組み合わせて不正なデータアクセスを防ぎます。
l
ハードディスク上の Windows
®
オペレーティングシステムのボリューム全体を暗号化することで、 オペレーティングシステムボリューム上のユーザーファイルとシステムファイルをすべ
て暗号化します。
l 初期ブートコンポーネントとブート構成データの整合性のチェック: TPM バージョン 1.2 を備えたシステムでは、BitLocker は TPM の拡張セキュリティ機能を利用して、システムのブー
トコンポーネントに変更がなく、暗号化されたディスクが元のシステムにある場合にのみ、データにアクセスできるようにします。
BitLocker は互換性のある TPM マイクロチップおよび BIOS を備えたシステムに対応するように設計されています。互換性のある TPM はバージョン 1.2 TPM として定義されています。互換性のあ
る BIOS は、TPM と Static Root of Trust Measurement をサポートするものです。BitLocker は TPM 内のマスター暗号化キーを封印して、前回のセキュア起動後にコードの測定値が変更さ
れていない場合にのみ、キーをロック解除します。測定値のいずれかが変更されている場合に起動を続行するには、回復キーを提供しなければなりません。1 対多の BIOS アップデートシナリオでは、
BitLocker がアップデートを休止し、起動が完了する前に回復キーを要求します。
BitLocker は「フルボリューム暗号化」 と「セキュア起動」機能によって、システムに保存されているデータを保護します。これにより、オペレーティングシステムが実行していないときに不正なアクセスが
あった場合でも、システムに保存されているデータは暗号化されたままで、BitLocker キーを使用するまでドライブの起動と復号化が防止されます。
TPM は BitLocker と連携し、システムの起動時に保護を提供します。BitLocker で使用するためには、TPM は有効にしてアクティブにしておく必要があります。起動時の情報が変更された場合は、
BitLocker が回復モードになるため、ユーザーは回復パスワードを使用してデータへのアクセスを取り戻す必要があります。
目次ページに戻る
メモ: BitLocker をオンにする手順は、Microsoft
®
TechNet のウェブサイトをご覧ください。TPM をアクティブにする手順は、システムに付属のマニュアルを参照してください。TPM は
BitLocker にとって必須ではありませんが、TPM を備えたシステムのみが起動時のシステム整合性の検証というセキュリティ機能を追加提供できます。TPM がなくても、BitLocker をボリュ
ームの暗号化に使用できますが、セキュア起動の機能は使用できません。
メモ: BitLocker を設定する最も安全な方法は、TPM バージョン 1.2 と Trusted Computing Group(TCG)準拠の BIOS を搭載したシステムで、起動キーまたは PIN を使って行う方
法です。これらの方法では、もう一つの物理キー(システム読み取り可能キーが書き込まれている USB フラッシュドライブ)またはユーザー設定の PIN を要求して、追加認証を提供します。
メモ: 大量の BIOS アップデートでは、BitLocker を無効にするスクリプトを作成して、アップデートをインストールし、システムを再起動した後、BitLocker を再び有効にします。1 対 1 の
Dell™UpdatePackage(DUP)の導入では、BitLocker を手動で無効にし、システムを再起動した後、BitLocker を再び有効にします。
メモ: BitLocker(TPM、または TPM と USB、または TPM と PIN)を有効にすると、TPM セキュリティ が 起動前測定値でオンに設定され、 TPM アクティブ化 が 有効 に設定されてい
るTPM バージョン 1.2 チップを搭載したシステムでは、BIOS DUP に加えて、U320、Serial Attached SCSI (SAS) 5、SAS 6、Expandable RAID Controller (PERC) 5、PERC 6、
Cost Effective RAID Controller (CERC) 6 のコントローラ用のファームウェア DUP の実行がブロックされます。