Users Guide

ManualsBrandsDell ManualsActive System ManagerUpdate Packages Version 16.06.00

信頼済みプラットフォームモジュールと

BitLocker のサポート

信頼済みプラットフォームモジュール（TPM）は、暗号化キーに関連する基本的なセキュリティ機能を提供するために設計

された、暗号化機能を持つセキュアマイクロコントローラです。これはシステムのマザーボード上に取り付けられており、

ハードウェアバスを使用してシステムの他のコンポーネントと通信します。BIOS セットアップコマンドを使用して、システ

ムとその TPM の所有権を確立することができます。

TPM は、プラットフォームの構成を値のセットとしてプラットフォーム構成レジスタ（PCR）のセットの中に格納します。

従って、例えば、こうしたレジスタの 1 つにはマザーボードの製造元、もう 1 つにはプロセッサの製造元、3 つ目のレジスタ

にはプラットフォームのファームウェアバージョン、というように構成が格納されます。TPM を組み込んだシステムはプラ

ットフォームの測定値に関連付けられたキーを作成します。このキーは、プラットフォームの測定値がキーの作成時と同じ

値である場合にのみアンラップできます。このプロセスは TPM のキーの

シール

と呼ばれます。復号化は

シール解除

と呼ば

れます。シールされたキーが初めて作成されるとき、TPM は構成値とファイルハッシュのスナップショットを記録します。

シールされたキーは、現在のシステム値がスナップショットの記録と一致する場合にのみ

シール解除

できます。BitLocker は

シールされたキーを使用してシステムの整合性を脅かす攻撃を検知します。データは、特定のハードウェアまたはソフトウ

ェア条件が満たされるまでロックされた状態になります。

BitLocker は、次の 2 つの主要データ保護機能を組み合わせて不正なデータアクセスを防ぎます。

• ハードディスク上の Windows オペレーティングシステムのボリューム全体を暗号化する：BitLocker は、オペレーティン

グシステムボリュームにあるユーザーファイルとシステムファイルをすべて暗号化します。

• 初期起動コンポーネントおよび起動設定データの整合性をチェックする：TPM バージョン 1.2 を備えたシステムでは、

BitLocker は TPM の拡張セキュリティ機能を活用し、システムの起動コンポーネントに変更がなく、暗号化されたディス

クが元のシステムにある場合にのみデータがアクセス可能になるようにします。

BitLocker は互換性のある TPM マイクロチップと BIOS が搭載されたシステム用に設計されています。互換性のある TPM は

バージョン 1.2 TPM として定義されています。互換性のある BIOS は、TPM および Static Root of Trust Measurement

（SRTM）

をサポートします。BitLocker は TPM 内のマスター暗号化キーを封印して、前回のセキュア起動時からコード測定

値に変更がない場合にのみキーの解放を許可し、コード測定値のいずれかが変更されている場合は、リカバリキーの入力を

強制します。1 対多の BIOS アップデートシナリオは、BitLocker がアップデートを停止し、起動完了前にリカバリキーを要求

することになります。

BitLocker は、

フルボリューム暗号化

および

セキュアスタートアップ

によってシステムに格納されているデータを保護します。

BitLocker は、オペレーティングシステムが実行されていないときにシステムが侵害された場合でも、システムに格納された

データの暗号化された状態が維持されることを確実にし、BitLocker キーが提示されるまでオペレーティングシステムの起動

およびドライブの復号化を阻止します。

TPM は BitLocker と連携してシステム起動時の保護を提供します。BitLocker で TPM を使用できるようにするには、TPM を

有効化してアクティブにしておく必要があります。起動情報が変更された場合、BitLocker はリカバリモードとなり、データ

へのアクセスにはリカバリパスワードが必要になります。

メモ: BitLocker をオンにする方法については、Microsoft TechNet ウェブサイトを参照してください。TPM をアクティ

ブにする手順については、システムに付属のマニュアルを参照してください。TPM は BitLocker に必須ではありません

が、起動時のシステム整合性検証に追加のセキュリティを提供するのは

TPM を搭載したシステムのみです。TPM がな

い場合、BitLocker を使用できるのはボリュームの暗号化のみで、セキュア起動には使用できません。

メモ: BitLocker の最もセキュアな設定方法は、TPM バージョン 1.2 と Trusted Computing Group（TCG）準拠の BIOS

を実装したシステムで、起動キーまたは PIN を使用する方法です。これらの方法では、追加の物理的なキー（システム

で読み取り可能なキーが書き込まれた

USB フラッシュドライブ）、またはユーザー設定の PIN を必須にすることによ

り、追加の認証を提供します。