Microsoft は、Windows 10 PC およびモバイル デバイスの最小ハードウェア要件の変更を展開しており、デバイスのセキュリティを強化するためにハードウェア メーカーがこれに準拠することを期待しています。
木曜日から、PC メーカーは Windows 10 搭載の PC、スマートフォン、タブレットに TPM (Trusted Platform Module) 2.0 と呼ばれるハードウェアベースのセキュリティ機能を組み込む予定です。
TPM 2.0機能は、PC上の機密情報をより効果的に保護するため、ユーザーにとって有益です。TPM 2.0セキュリティレイヤー(チップまたはファームウェアの形態をとる)は、暗号鍵を信頼できるコンテナで管理・保存することで、ユーザーデータを保護します。
パスワードを殺す
Microsoftは、Windows Helloと呼ばれる生体認証機能によってパスワードを廃止しようとしています。Windows Helloでは、ユーザーは指紋、顔、または虹彩認証でPCにログインできます。TPM 2.0チップは、認証キーを生成し、安全な領域に保存するため、Windows Helloにとって重要です。
TPM 2.0は、生体認証とPINベースの認証を利用できるMicrosoft Passportによる2要素認証をWindows 10 PCの標準機能にする可能性があります。Passport機能は、ウェブサイト、アプリケーション、その他のサービスへのログインに使用できます。
MicrosoftはWindows HelloにTPMは不要としていますが、生体認証ログインデータの保護にはセキュリティレイヤーの使用を推奨しています。TPMチップはハッキングが困難であり、Windows Helloログインデータの保護に使用されるソフトウェアベースのメカニズムよりも機密情報をより効果的に保護します。
セキュリティ企業 IOActive のオペレーション担当副社長 Kevin Murphy 氏は、「TPM は間違いなくラップトップのセキュリティを向上させ、PC での認証に必要な暗号化キーやその他の重要なデータを保護するのに優れています」と述べています。
「ソフトウェアベースではなくハードウェアベースなので、キーはPCメモリ上に公開されません。PCメモリは、攻撃者がメモリ内に保存されている知的財産を盗み出すための常套手段であり、それが攻撃の主な目的となることが多いのです」とマーフィー氏は述べた。
しかし、TPMを使用しても、攻撃者による暗号鍵の不正操作から保護されるわけではありません。攻撃者がマシンを「所有」している場合(例えば、正規ユーザーになりすました場合)、TPMは正規ユーザーへの通常の応答と同様に、あらゆる要求に応答します。
「違いは認識されません。このシナリオの利点は、攻撃が現在の攻撃に限定され、将来の攻撃のために鍵を盗むことができないことです」とマーフィー氏は述べた。
TPMチップを破ることは可能だが、それは困難な攻撃であり、おそらく膨大な技術、設備、時間、投資が必要になるだろうとマーフィー氏は述べた。
ディスク暗号化システムBitLockerは、暗号化キーのセキュリティ保護に既にTPMを使用しています。TPMは、ソフトウェアの安全なアップデート、仮想マシンの保護、スマートカードの認証にも使用されています。IntelのvProリモート管理サービスは、リモートPC修理の事前認証にTPMを使用しています。
あらゆるものにTPMを組み込む
TPM 2.0 は、軽量の Windows 10 IoT Core を実行する Raspberry Pi 3 などの開発ボードを除くすべての Windows 10 デバイスの最低要件になります。
このセキュリティ機能は新しいものではありません。実際、ビジネス向けPCを中心に長年利用されてきました。低価格帯のPCを除き、多くの新型PCにはすでにTPM 2.0が搭載されています。一部のWindowsノートPCは、旧来のTPM 1.2規格を採用しています。しかし、PCメーカーは今後、Microsoftの新しいハードウェア要件に準拠し、TPM 2.0を搭載することが求められます。
HPのWindows 10スマートフォンElite X3(Qualcommの最新Snapdragon 820プロセッサ搭載)は既にTPM 2.0を搭載しています。この機能は、古いコンポーネントを搭載するAcerのLiquid Jade PrimoやNokia Lumiaには搭載されていません。
マイクロソフトはPCのハードウェアとソフトウェアの変更を推進しようと努めてきましたが、その一部は物議を醸しています。第3四半期に発売される可能性のあるIntelのKaby Lakeチップを搭載した次期PCは、Windows 10のみをサポートし、以前のバージョンのOSはサポートしません。
同社は今年初め、Skylakeデバイス上のWindows 7および8.1を2017年7月17日までサポートすると発表していたが、ユーザーにWindows 10へのOSアップグレードを強制しようとしたことで批判を集め、その期間を1年間延長した。
マイクロソフトの広報担当者は、ハードウェアパートナーと協力して、TPM 2.0をデバイス全体に実装する取り組みを進めていると述べた。TPM 2.0は、Windows HelloやPassportのセキュリティ機能を最大限に高め、DRMを使用した4Kストリーミングビデオのセキュリティ保護にも役立つと彼女は述べた。
「将来的には、さらに多くの重要な機能がこれに依存するようになるだろう」と広報担当者は語った。
Trusted Computing Groupの仕様であるTPM 2.0は、昨年6月にISO/IEC(国際標準化機構および国際電気標準会議)によって国際標準として承認されました。
