多くの人と同じように、MicrosoftがWindows 11のシステム要件にTPM(Trusted Platform Module)を追加するまで、お使いのコンピューターにTPMが搭載されているかどうかは気にしたことがなかったのではないでしょうか。しかし、Windows 11が登場した今、TPMはアップグレードできるかどうかの重要な鍵となります。TPMとは何か、お使いのシステムにTPMが搭載されているかどうかを確認する方法、そしてTPMがオフになっている場合の有効化方法について解説します。
TPM(Trusted Platform Module)は、ノートパソコンに内蔵、またはほとんどのデスクトップPCにプラグインできるセキュリティチップです。鍵を保管するための鍵箱であると同時に、PCのセキュリティを強化するための暗号化デバイスでもあります。
例えば、PCを起動すると、1つのチップが起動し、他のコンポーネントをウォームアップさせて一日の始まりに備えます。すべてのハードウェアの準備が整うと、ストレージドライブにアクセスしてオペレーティングシステムをメモリに読み込み始めます。
Windowsを安く(あるいは無料で)入手する方法
セキュアな環境では、PCはまずオペレーティングシステムの安全性を確認します。実際、PCは起動時に使用したハードウェアさえ信頼できない場合があり、それらもチェックします。しかし、参照ポイントがなければ、PCはシステムのどの部分が改ざんされているかを把握できません。TPMがあれば、PCはロックダウンされたTPMに保存されている情報と比較することができます。すべてが一致すれば、起動は通常通り続行されます。何か問題があれば、警告が表示されます。
最近のほとんどの Intel CPU には、CPU 自体に TPM が搭載されており、これを Platform Trusted Technology と呼びます。
TPMはほとんどの新しいCPUに搭載されている
TPMはもともとスタンドアロンチップとして提供され、セキュリティへの関心が高まり、顧客がアドオンに割増料金を支払う企業向けコンピュータでのみ使用されていました。最近では、AMDとIntelがファームウェアベースのTPMをCPUに統合しました。これにより、TPMサポートがはるかに利用しやすくなりました。
2013年以降に発売され、Windows 8.1向けに製造されたほぼすべてのIntel CPU(第4世代Haswellなど)には、ファームウェアベースのTPMが搭載されているはずです。AMDも以前からファームウェアTPMをサポートしています。
CPUにファームウェアTPMが搭載されているとしても、すべてのPCがすぐにアクセスできるわけではありません。対応にはBIOSまたはUEFIのアップデートが必要になる場合があります。大手PCメーカーから購入するほとんどのPCは通常、TPMが搭載されていますが、市販のマザーボードの多くはBIOSに対応していないか、デフォルトで有効になっていません。
Intel第4世代Haswell向けに設計されたこのAsus Z87マザーボードには、オプションのTPMモジュール用のTPMヘッダーが搭載されています。ほとんどのコンシューマー向けデスクトップには、TPMモジュールは搭載されていません。
多くのデスクトップマザーボードには、TPMヘッダーが空いているオプションが用意されています。このヘッダーを利用することで、ユーザーはボードにTPMモジュールを追加購入し、ディスクリートTPMを有効化できます。しかし、ユーザーに直接販売されるハードウェアのほとんどは、このモジュールが追加費用として認識されているため、含まれていません。
お使いのマザーボードにファームウェアTPMサポートが実装されておらず、これがWindows 11のインストールを妨げている場合は、互換性のあるモジュールを探してみる価値があるかもしれません。ご購入の際は、同じマザーボードメーカーの、同じ年代のマザーボードのモジュールをお選びいただくことをお勧めします。モジュールに搭載されているTPMチップは市販品であっても、実際の物理的な接続やBIOS/UEFIとの通信方法はそれぞれ異なります。
TPM モジュールは似ていますが、自分のコンピューターで動作することを確認せずに購入することはお勧めしません。
TPMのステータスを確認する方法
Windows 10 マシンで TPM の状態を確認する最も簡単な方法は、「デバイス セキュリティ」に移動することです。Windows キーを押して「デバイス セキュリティ」と入力すると、セキュリティ プロセッサの詳細リンクが表示されます。お使いの PC に Windows 10 が認識できる TPM が搭載されている場合は、ここで詳細を確認できます。例えば、一般向け Core i7-1185G7 ノート PC と、商用またはビジネス向けの Core i7-8665U ノート PC のスクリーンショットを見ると、一般向けノート PC では Intel の組み込み TPM、つまり Platform Trusted Technology が使用されていることがわかります。これは、無料だからです。
商用ラップトップでは、ベンダー (この場合は HP) が実際の個別の Infineon TPM モジュールをラップトップに組み込んでいますが、これは企業向けラップトップでは一般的な方法です。
どちらが良いのでしょうか?一般的に、ディスクリート型、つまり独立したTPMモジュールの方が、より多くの暗号化アルゴリズムをサポートしているため、より優れていると考えられています。ただし、スペースを占有し、コストも高くなります。
コンシューマー向けの第 11 世代ラップトップ (左) は Intel の組み込み TPM を使用し、ビジネス向けの第 8 世代ラップトップ (右) は個別の TPM を備えています。
TPM が表示されないのはなぜですか?
7年前のPCでWindows 11を実行するためのTPMサポートは、今後6ヶ月間は頭を悩ませることになるでしょうが、それよりも新しいPCでも問題が発生する可能性があります。例えば、第8世代Core i7搭載PCでは、TPMサポートがデフォルトの「discrete」状態になっていました。これは、ほとんどのコンシューマー向けデスクトップと同様に、オプションのTPMモジュールが搭載されていないため、「オフ」になっていることを意味します。
これにより、MicrosoftのWindows 11要件チェックでTPM 2.0の有効化が必要であるというフラグが表示されます。前述の通り、これは適切なTPMモジュールを購入してヘッダーに差し込むか、第8世代CPUに既に組み込まれているファームウェアTPMを有効にすることを意味します。このマザーボードでは、ディスクリートTPMからファームウェアTPMに切り替える必要があります。
この設定の見つけ方は、マザーボードやノートパソコンのメーカーによって異なります。例えば、このマザーボードでは単にTPMと呼ばれています。マザーボードによってはIntel Platform Trusted Technology (PTT)と呼ばれているものもあります。AMDマザーボードの中にはfTPMと呼ばれるものもあります。
これを見つけるには、PC の UEFI を調べてオンにする必要があります。
2013 年以降のほとんどの PC にはファームウェア ベースの TPM サポートが組み込まれていますが、デフォルトではオフになっています。
現時点では、バックアップを作成せずに正常に動作するPCでこの操作を行うことはお勧めしません。成功したという報告がある一方で、UEFIでファームウェアTPMをオフにしてもブルースクリーンエラーが散発的に発生し、解消されなかったという報告もあります。
Windows 11のリリースまではまだ数ヶ月あるため、マザーボードベンダーは顧客向けに新しいUEFIをリリースする可能性が高いでしょう。新しいUEFI/BIOSがリリースされ、OS自体がリリースされるまで、何か問題が起きるリスクを冒す前に待つ方が良いでしょう。
もちろん、TPMはWindows 11をインストールする前に必要な多くのものの一つに過ぎません。セキュアブートとUEFIモードも有効にする必要があります。ここ3~4年以内に製造されたコンピューターのほとんどは、このプロセスをスムーズに処理できるはずです。古いハードウェアの場合は、しばらく様子を見る必要があります。
CPU が TPM をサポートしている場合でも、まず UEFI/BIOS で TPM をオンにする必要があります。
