Users Guide
目次に戻る
トラステッドプラットフォームモジュール(TPM)と BitLocker のサポート
Dell アップデートパッケージ バージョン 6.4 オペレーティングシステム用 ユーザーズガイド
TPM は、暗号化キーなど、基本的なセキュリティ関連の機能を提供するように設計された安全性の高いマイクロコントローラです。システムのマザーボードに組み込まれ、ハードウェアバスを使用してシ
ステムの他の部分と通信します。BIOS セットアップコマンドを使って、システムとその TPM の所有権を設定できます。
TPM では、プラットフォームの構成情報がプラットフォーム構成レジスタ(PCR)に値のセットとして保存されます。たとえば、これらのレジスタの 1 つにはマザーボードの製造元、もう 1 つにはプロセッ
サの製造元、3 番目のレジスタにはそのプラットフォームのファームウェアバージョンが保存されています。TPM が組み込まれたシステムでは、プラットフォームの測定値に関連付けられたキーが作成
されます。このキーは、これらのプラットフォームの測定値がキー作成時の値と同じである場合にのみラップを解除できます。この処理を TPM にキーを封印する と言います。複合化は開封と呼ばれま
す。封印されたキーを最初に作成するとき、TPM は構成値とファイルハッシュのスナップショットを記録します。封印されたキーは、現在のシステム値がスナップショットの値と一致する場合にのみ開封、
つまりロック解除できます。BitLocker は封印されたキーを使って、システムの整合性に対する攻撃を検出します。所定のハードウェアまたはソフトウェア要件が満たされるまで、データはロックされた
ままになります。
BitLocker は、次の 2 つの主要データ保護機能を組み合わせて不正なデータアクセスを防ぎます。
l ハードディスク上 の Windows オペレーティングシステムボリューム全体の暗号化:BitLocker は、オペレーティングシステムボリュームにあるユーザーファイルとシステムファイルを
すべて暗号化します。
l 初期ブートコンポーネントとブート構成データの整合性のチェック:TPM バージョン 1.2 を備えたシステムでは、BitLocker は TPM の拡張セキュリティ機能を利用して、システムのブー
トコンポーネントに変更がなく、暗号化されたディスクが元のシステムにある場合にのみ、データにアクセスできるようにします。
BitLocker は互換性のある TPM マイクロチップおよび BIOS を備えたシステムに対応するように設計されています。互換性のある TPM はバージョン 1.2 TPM として定義されています。互換性のあ
る BIOS は、TPM と Static Root of Trust Measurement をサポートするものです。BitLocker は TPM 内のマスター暗号化キーを封印して、前回のセキュア起動後にコードの測定値が変更さ
れていない場合にのみ、キーをロック解除します。測定値のいずれかが変更されている場合に起動を続行するには、回復キーを提供する必要があります。1 対多の BIOS アップデートシナリオでは、
BitLocker がアップデートを休止し、起動が完了する前に回復キーを要求します。
BitLocker はフルボリューム暗号化とセキュア起動によって、システムに保存されているデータを保護します。これにより、オペレーティングシステムが稼動していないときに不正なアクセスがあった場
合でも、システムに保存されているデータは暗号化されたままで、BitLocker キーを使用するまでドライブの起動と復号化が防止されます。
TPM は BitLocker と連携し、システムの起動時に保護を提供します。BitLocker で使用するためには、TPM は有効にしてアクティブにしておく必要があります。起動時の情報が変更された場合は、
BitLocker が回復モードになるため、ユーザーは回復パスワードを使用してデータへのアクセスを取り戻す必要があります。
目次に戻る
メモ:BitLocker をオンにする方法については、Microsoft TechNet のウェブサイトを参照してください。TPM をアクティブにする手順は、ご利用のシステムに付属のマニュアルを参照してくだ
さい。TPM は BitLocker にとって必須ではありませんが、TPM を備えたシステムのみが起動時のシステム整合性の検証を行うセキュリティ機能を追加提供できます。TPM がなくても、
BitLocker をボリュームの暗号化に使用できますが、セキュア起動の機能は使用できません。
メモ:BitLocker を設定する最も安全な方法は、TPM バージョン 1.2 と Trusted Computing Group(TCG)準拠の BIOS を搭載したシステムで、起動キーまたは PIN を使って行う方法
です。これらの方法では、もう一つの物理キー(システム読み取り可能キーが書き込まれている USB フラッシュドライブ)またはユーザー設定の PIN を要求して、追加認証を提供します。
メモ:大量の BIOS アップデートでは、BitLocker を無効にするスクリプトを作成して、アップデートをインストールし、システムを再起動した後、BitLocker を再び有効にします。1 対 1 の
Dell Update Package(DUP)の導入では、BitLocker を手動で無効にしてからシステムを再起動した後、BitLocker を再び有効にします。
メモ:BitLocker(TPM、または TPM と USB、または TPM と PIN)を有効にすると、TPM セキュリティ が起動前測定値でオンに設定され、TPM アクティブ化 が有効に設定されているTPM
バージョン 1.2 チップを搭載したシステムでは、BIOS DUP に加えて、U320、Serial Attached SCSI(SAS)5、SAS 6、Expandable RAID Controller(PERC)5、PERC 6、Cost
Effective RAID Controller(CERC)6 のコントローラ用のファームウェア DUP の実行がブロックされます。