Users Guide
目次ページに戻る
トラステッドプラットフォームモジュール(TPM) と BitLocker のサポート
Dell™OpenManage™ServerUpdateUtility2.0.0ユーザーズガイド
TPM は、暗号化キーなど、基本的なセキュリティ関連の機能を提供するように設計された安全性の高いマイクロコントローラです。システムのマザーボードに組み込まれ、ハードウェアバスを使用してシ
ステムの他の部分と通信します。BIOS セットアップコマンドを使って、システムとその TPM の所有権を設定できます。
TPM では、プラットフォームの構成情報がプラットフォーム構成レジスタ(PCR)に値のセットとして保存されます。たとえば、これらのレジスタの 1 つにはマザーボードの製造元、もう 1 つにはプロセッ
サの製造元、3 番目のレジスタにはそのプラットフォームのファームウェアバージョンが保存されています。TPM が組み込まれたシステムでは、プラットフォームの測定値に関連付けられたキーが作成
されます。このキーは、これらのプラットフォームの測定値がキー作成時の値と同じである場合にのみラップを解除できます。この処理を TPM にキーを「封印する」 と言います。キーの封印を解除する
ことを「開封する」と言います。シールドされたキーと Windows
®
BitLocker™ Drive Encryption のようなデータ保護機能によって、特定のハードウェアまたはソフトウェアの条件が満たされるまで
データをロックできます。
BitLocker は、次の 2 つの主要データ保護機能を組み合わせて不正なデータアクセスを防ぎます。
l ハードディスク上の Windows オペレーティングシステムボリューム全体の 暗号 化:BitLocker は、オペレーティングシステムボリュームにあるユーザーファイルとシステムファイルを
すべて暗号化します。
l 初期ブートコンポーネントとブート構成データの整合性のチェック:TPM バージョン 1.2 を備えたシステムでは、BitLocker は TPM の拡張セキュリティ機能を利用して、システムのブー
トコンポーネントに変更がなく、暗号化されたディスクが元のシステムにある場合にのみ、データにアクセスできるようにします。
BitLocker は互換性のある TPM マイクロチップおよび BIOS を備えたシステムに対応するように設計されています。互換性のある TPM はバージョン 1.2 TPM として定義されています。互換性のあ
る BIOS は、TPM と Static Root of Trust Measurement をサポートするものです。BitLocker は TPM でマスター暗号化キーをシールし、コード計測値が前回のセキュア起動時の値から変更
されていない場合にのみ、キーのリリースを許可します。測定値のいずれかが変更されている場合に起動を続行するには、回復キーを提供しなければなりません。1 対多の BIOS アップデートシナリ
オでは、BitLocker がアップデートを休止し、起動が完了する前に回復キーを要求します。
BitLocker は「フルボリューム暗号化」 と「セキュア起動」機能によって、システムに保存されているデータを保護します。これにより、オペレーティングシステムが実行していないときに不正なアクセスが
あった場合でも、システムに保存されているデータは暗号化されたままで、BitLocker キーを使用するまでドライブの起動と復号化が防止されます。
TPM は BitLocker と連携し、システムの起動時に保護を提供します。BitLocker で使用するためには、TPM は有効にしてアクティブにしておく必要があります。起動時の情報が変更された場合は、
BitLocker が回復モードになるため、ユーザーは回復パスワードを使用してデータへのアクセスを取り戻す必要があります。
目次ページに戻る
メモ: TCG 1.2 準拠の トラステッドプラットフォームモジュール(TPM)チップを搭載したシステムでは、Microsoft
®
Windows BitLocker のドライブ暗号化機能が有効になっている場合、
または トラステッドプラットフォームモジュール機能が(BIOS を使用して)起動前の計測付きでオン になっている場合には、 SUU と DIP を使用した BIOS アップデートは失敗します。
メモ: BitLocker をオンにする方法については、Microsoft TechNet のウェブサイトを参照してください。TPM をアクティブにする手順は、システムに付属のマニュアルを参照してください。
TPM は BitLocker にとって必須ではありませんが、TPM を備えたシステムのみが起動時のシステム整合性の検証というセキュリティ機能を追加提供できます。TPM がなくても、BitLocker
をボリュームの暗号化に使用できますが、セキュア起動の機能は使用できません。
メモ: BitLocker を設定する最も安全な方法は、TPM バージョン 1.2 と Trusted Computing Group(TCG)準拠の BIOS を搭載したシステムで、起動キーまたは PIN を使って行う方
法です。これらの方法では、もう一つの物理キー(システム読み取り可能キーが書き込まれている USB フラッシュドライブ)またはユーザー設定の PIN を要求して、追加認証を提供します。
メモ: 大量の BIOS アップデートでは、BitLocker を無効にするスクリプトを作成して、アップデートをインストールし、システムを再起動した後、BitLocker を再び有効にします。1 対 1 の
Dell™UpdatePackage(DUP)の導入では、BitLocker を手動で無効にし、システムを再起動した後、BitLocker を再び有効にします。
メモ: BitLocker(TPM、または TPM と USB、または TPM と PIN)を有効にすると、TPM セキュリティ が 起動前測定値でオン に設定されており、TPM アクティブ化 が 有効 に設定され
ている TPM バージョン 1.2 チップを搭載したシステムでは、BIOS DUP に加えて、U320、Serial Attached SCSI(SAS) 5、SAS 6、Expandable RAID Controller(PERC) 5、
PERC 6、Cost Effective RAID Controller(CERC) 6 のコントローラ用のファームウェア DUP の実行が阻止されます。