「TPM」とは?わかりやすく解説【セキュリティチップ・改ざん検知】
「TPM」とは、「Trusted Platform Module/信頼できるプラットフォームモジュール」の略。
別名「セキュリティチップ」「フリッツ・チップ」と呼ばれることもあります。
まずは実物をご覧ください。
↓こいつがTPMです。
画像引用:http://zedboard.org/product/trusted-platform-module-security-pmod
TPMの役割は、ハードディスクに保存されているデータの漏えいを防止することです。
もっと具体的にいうと、万が一パソコンを紛失した場合でも、データを覗き見られる心配はなくなる。ってことです。
(逆に言うと、TPMを搭載していないパソコンは
たとえパスワードを設定していようとも覗き見ることは容易だ、ということですね!)
TPMは、パソコンを落とした場合・盗まれた場合・こっそり使用された場合などの物理的な事故に有効な防御システムということになります。
余談:
ちなみにTPMはMacには搭載されていないようで、代わりに「T2チップ」なるものがその役割を担っているようです。
TPMは何ができる?
TPMにできることは色々ありますが、ここでは主な機能を2つ紹介します。
1) ハードディスクに保存されているデータの漏えいを防ぐ
2) OS/アプリケーションの改ざんを検知する
1)ハードディスクに保存されているデータの漏えいを防ぐ
●普通のパソコン
「暗号化されたデータ」→ハードディスクに保管
「鍵」→ハードディスクに保管
●TPM搭載パソコン
「暗号化されたデータ」→ハードディスクに保管
「鍵」→TPMに保管
・・・と、このようにTPM搭載パソコンは、暗号化されたデータと鍵を別々に保存することができます。
TPM搭載パソコンの場合、たとえハードディスクだけを持ち出されたとしても鍵であるTPMが無事ならば、データの漏えいを防ぐことができるのです。
2)OS/アプリケーションの改ざんを検知する
TPMは、データの「ハッシュ値」と呼ばれる情報を比較することで改ざんチェックを行います。
ハッシュ値は、データの内容が書き換わると同時に変わるので
自分の知らないところで(システムが関与していないところで)データが書き換えられた場合
「TPMが保存しているハッシュ値」と「現在のデータのハッシュ値」が異なることになります。
ハッシュ値が異なる = 改ざんされた可能性がある
ハッシュ値に異常なし = 改ざんされた可能性はない
・・・ということを判断することができるのです。
TPMで気をつけること
・TPMを搭載したからといって、即座にセキュリティが向上するわけではありません。TPMの恩恵を得るには、TPMに対応したアプリケーションが必要です。
・TPM処理を挟むことで、動作にほんの少しだけ遅れが生じます。
大量のデータを処理する際は、TPM非搭載のパソコンに比べると少しパワーが落ちるかもしれません。
TPM搭載パソコンかどうか確認するには?
TPM搭載パソコンかどうかは、デバイスマネージャーを確認すればわかります。
「セキュリティデバイス」カテゴリーの中に「トラステッドプラットフォームモジュール1.2」というような表示があれば、搭載されています。
もしくは「BIOS」から確認することもできます。
「Security」>「Change TPM State」 という項目の表示があれば、搭載されています。
