Windows11の反響はやはり大きいようで…。
問題はTPM2.0
先日、当Blogでも記事にしたが、6月25日にMicrosoftからWindows11の発表があってから、公開されたチェックプログラムで自分のPCがWindows11に対応しているかを調べた人も多いのではないかと思う。
それで全く問題なくWindows11に対応している、という結果が出た人は良いが、多くの人が対応していない、という結果が出て、さてどうしたものか? と思案しているのではないだろうか?
Microsoft 正常性チェックプログラム
https://aka.ms/GetPCHealthCheckApp
いろいろな理由で対応していない、という結果が表示されているのだろうが、このチェックプログラムの最大の欠点は、何がダメなのかを表示してくれないという所。
せめて、何がダメなのかさえ表示してくれれば、対策の立てようもあるが、表示されないので自分で予想するしかない。
だが、おそらくそのほとんどの理由は、TPM2.0の対応において問題となっているケースが予想される。
これはTrusted Platform Moduleというセキュリティ機能の事を指すのだが、いわゆる暗号化アルゴリズムエンジン、ハッシュエンジン、鍵生成器、乱数生成器、不揮発性メモリなどを備えたモジュールの事で、暗号キーの合わなかった問合せ(アクセス)に対してデータを保護する為に利用されるものである。
最近のWindowsでは、BitLockerというセキュリティ機能でもこのTPMのような暗号キーでデータ保護をしているが、まさにそれが関係しているモジュールである。
暗号キーとデータが同じ場所に保管されていると、いくら暗号化して保護していても、暗号キーがすぐ近くにあるため、結局そのセキュリティわ破られてしまう。TPMはその暗号キーを別の場所(TPM内)で管理し、このTPMへのアクセスそのものを厳格に管理する事で、セキュリティを確保する。
以前はこのTPMは1.2だったが、現在は2.0へとアップデート、大幅に機能が強化された。
このTPMには、ハードウェアのものもあれば、ファームウェアという形で内蔵されるケースもあったりと、いろいろなパターンがある。
特にマザーボードに搭載されるTPMは、企業用などでハードウェアでTPMを用意するケースがあったりするが、最近はCPUやチップセット内のSoC内のTPM機能とファームウェアを組み合わせて利用するのが一般化しているようである。
なので、自作PCの人はマザーボードのUEFIの設定からTPM関連を探し、その設定を有効にすれば要件を満たす可能性がある。ただ、ちょっと古いマザーボードの場合はTPMの設定がそもそもない可能性もある。私のようなZ390世代などは結構微妙なのではないだろうか?
UEFI上でTPMという言葉が見つからない場合は、Intel Platform Trust Technology(Intel PTT)という言葉や、AMD fTPMという名称で探すと良いだろう。
自作PCユーザーの気をつけるべき事
このTPMが必須となるWindows11において、前述したように暗号キーでいろいろなデバイスを紐付け、いつもと違うアクセスからシステムを起動させようとすると、データを保護する機能が働き、いつもなら閲覧できるストレージの中身を見る事ができなくなったりする事は容易に想像が付く。
たとえば、自作PCユーザーの場合、新PCを組み上げた後、旧PCのストレージを取り出して新PCの中に組み込んでデータをサルベージしたりする事があるが、TPMによってこれが出来なくなる。保存されたデータにアクセスする為に暗号キーが必要だが、新PCの起動時に用意された暗号キーと、旧PCのデータストレージに付与された暗号キーが合わないのだから当たり前である。
さらに言うと、自作PCにおいてアップグレードとしてCPUを入れ替えた場合、TPMの暗号キー情報がCPU内にある関係から今までの暗号キーと異なるものになるため、CPUの入れ替えをした途端にシステムが起動しなくなる事も考えられる。
特にシステムストレージに暗号化がかかる場合は、このケースとなる場合が起きるので、予めセキュリティを解除してからCPU交換する必要がある。
だが…果たしてWindows11の環境下において、解除できるのかが疑問である。システムとして必要な要件としてTPMが設定されている以上、CPU交換する関係から解除できるなら、セキュリティに穴を簡単に開けられるという事になる。
セキュリティを考えると、自作PCユーザーは今後より難しい設定を乗り越えて行く必要に迫られるだろう。
最近のコメント