TPMチップ(詳細)

TPMチップは『Trusted Platform Module』の略で、PCのマザーボード（またはCPU内）に搭載される暗号処理専用のハードウェアです。国際標準団体TCG(Trusted Computing Group)が仕様を策定しており、現在はTPM 2.0が主流です。秘密鍵・ハッシュ値・測定値などを外部に漏らさず内部で処理する『ハードウェア信頼の根(Root of Trust)』として、Windows・Linux・組込システムのセキュリティ機能を支えます。

主な機能は、①暗号鍵のオンチップ生成と保管（秘密鍵は外に出ない）、②デバイス固有ID(EK/AIK)による端末認証、③起動時の測定値保存（PCRレジスタ）とリモートアテステーション、④ディスク暗号化の鍵保管（BitLocker・LUKSと連動）、⑤セキュアブートと連携した改ざん検知、⑥Windows Helloの生体テンプレート保護、などです。ソフトウェアだけでは防げない『電源OFF状態での物理的な鍵抜き取り』に対しても、TPMは耐タンパー設計で対抗します。

Windows 11ではTPM 2.0が必須要件とされ、BitLockerの鍵管理・Windows Helloの生体認証・パスキー保管などに使われます。企業環境ではMicrosoft Intune等のMDMと組み合わせ、TPMベースの『デバイス健全性構成証明(Device Health Attestation)』で端末の安全性を継続監視する運用が一般化しています。

ハードウェア形態としては、①ディスクリートTPM（dTPM・独立チップ・最高強度）、②ファームウェアTPM（fTPM・CPU内機能で動作）、③仮想TPM（Hyper-V等の仮想マシン向け）の3種類があります。自作PCや古いモデルではBIOS/UEFI設定でfTPMを有効化する必要があるケースが多く、Windows 11アップグレードの必須ステップとなっています。堅牢な運用には、①ファームウェア更新、②TPM初期化時のクリア挙動の理解、③リカバリーキーのバックアップが重要で、TPM障害時でもデータを失わない備えが必要です。