CYBER SECURITY LAB

Windows11に必須! TPM2.0とは

2021.11.26

  • シェアする
  • facebook
  • twiiter
  • line

cyber-g4eed40b8b_1280.jpg

2021年10月5日、Windows OSの最新版である Windows11が正式リリースされました。Windows10のリリースから約6年ぶりの新OSですが、インストール要件として「TPM2.0」への対応が必須となっています。

TPMへの対応はこれまでのWindowsのインストール要件に含まれておらず、今回のWindows11のリリースで大きく話題を呼びました。

今回はTPMの概要と、対応しているか確認する方法や有効化の手順をご紹介します。

TPMはセキュリティ機能を提供するモジュール

TPM(Trusted Platform Module)は、コンピュータにセキュリティに関する機能を提供するマイクロチップです。通常はPCの基幹パーツであるマザーボードに直接組み込まれています。

TPMが搭載されていることで、コンピュータはプログラムの改ざんを検知したり、ストレージ上のデータを暗号化したりすることができます。具体的には、RSA暗号による鍵生成、SHAハッシュ演算、デジタル署名の生成と検証などを実現しています。

TPM2.0は、2021年現在におけるTPMの最新バージョンです。上記の機能に加えて、AESやcamelliaなどの暗号アルゴリズムや、SHA256やHMACなどのハッシュ演算に対応し、より高度なセキュリティを提供できるようになりました。

WindowsではVistaからTPMに対応しており、データ暗号化機能であるBitlockerに利用されています。

TPMは後から追加できない

TPMはマザーボードに組み込みのパーツです。そのため、メモリやハードディスクのように、後からPCに追加することができません。

現在使用しているPCにWindows11をインストールしたい場合、あらかじめマザーボードがTPM2.0に対応している必要があるのです。

PC購入時にTPMへの対応状況をチェックしていた方は多くないかもしれませんが、2016年7月28日以降に出荷されたWindows10をインストールしたPCは、原則としてTPM2.0への対応が必須となっています。そのため、ここ5年以内にWindows10が搭載されたPCを購入した場合は要件を満たしている可能性が高いです。

また、TPM2.0に対応しているPCでも、出荷時に無効化する設定になっていることがあります。このような場合は、TPM2.0を有効化することでWindows11のインストールが可能です。

TPM2.0に対応しているか確認する方法

まず、Windows11をインストールするためには、TPM2.0の対応以外にも必須要件があります。CPUは「1GHz以上で 2 コア以上の64 ビット互換プロセッサまたはSoC」、メモリは「4GB以上」、ストレージのサイズは「64GB以上」となっています。その他にも要件があるため、まずはMicrosoftが公開している「PC正常性チェックアプリ」を使用して、要件を満たしているか確認しましょう。

アプリ上で「このPCはWindows 11 の要件を満たしています」と表示された場合は、TPM2.0にも対応しているためそのままWindows11をインストールすることができます。しかし「TPM2.0がこのPCでサポートされ、有効になっている必要があります」と表示された場合は、PCのTPM2.0への対応を確認し、場合によっては設定を変更してTPM2.0機能を有効化する必要があります。

PCのTPMへの対応状況は、「Windows セキュリティ」から確認できます。Windows セキュリティを開いて、左側のメニューから「デバイス セキュリティ」を選択し、「セキュリティ プロセッサの詳細」からTPMについて確認することができます。「仕様バージョン」が2.0になっていた場合は、TPM2.0に準拠しています。

この「仕様バージョン」が2.0になっていない、もしくはバージョンの数字が表示されない場合は、設定を変更することでTPM2.0として有効化できる可能性があります。

TPM2.0の有効化手順

TPM2.0を有効にするには、「UEFI」のセットアップ画面から設定を変更する必要があります。UEFI(Unified Extensible Firmware Interface)とはPCにインストールされているOSとハードウェアに組み込まれたファームウェアの間の通信規格を定めた標準規格です。従来のPCで「BIOS」と呼ばれていた機能に相当します。

UEFIのセットアップ画面を開く方法は、PCによって異なります。多くの場合は電源ボタンを押して起動した後、メーカーロゴなどの画面が表示されている間に「F2」キーや「Delete」キーを押すことで開くことができます。

UEFIのセットアップ画面の中に「セキュリティ」などの項目があれば、その中に「TPM」に関する設定項目が存在している可能性があります。これを「有効化」や「TPMを仕様する」などに設定することで、PC上でTPM2.0の機能が有効になります。

UEFIのセットアップ画面の開き方や表示項目はメーカーによって異なるため、PCのマニュアルを確認してください。BTOパソコンや自作PCの場合は、マザーボードの製品番号から製造元のマニュアルを参照しましょう。

TPM2.0に対応していないPCにWindows11をインストールする

これまでご紹介してきたように、原則としてWindows11はTPM2.0に対応していなければインストールすることができません。

しかしMicrosoftから、非推奨ながらTPM2.0に対応していないPCにWindows11をインストールする方法が紹介されています。

この方法では、インストールメディアを作成してレジストリを変更することでTPM2.0に非対応のPCでもWindows11をインストールすることができます。ただしこの方法を取る場合も、TPM1.2には対応している必要があるため注意が必要です。

また、レジストリはOSの根幹となる設定を格納したデータベースであり、誤った設定を行うと重大な問題を引き起こす可能性があります。最悪の場合、PCが起動できなくなったり、OSの再インストールが必要になる場合もあります。レジストリの変更によって発生した問題はMicrosoftの保証外となるため、この方法を取る場合は自己責任で行わなければなりません。

TPMはセキュリティ機能を担うモジュールです。バージョン1.2から2.0に変わることで追加された機能も多くあります。TPM1.2のみ対応したPCにWindows11をインストールすることでセキュリティ上の脅威に晒される可能性もあるため、不安がある場合はTPM2.0に対応したPCを用意しましょう。Windows10から11への無償アップグレードは2022年まで提供される予定(リンク先の注記7)とのことなので、それまでに対応を検討する必要があります。

最後に

デザインの刷新やAndroidアプリが使えるようになるなど、様々な新機能が搭載されているWindows11。OSの高度化に合わせて、セキュリティに対する攻撃も複雑になっていくことが予想されます。また、メモリやストレージの交換と比較して、マザーボードの交換やPC自体の買い替えは、作業面においても費用面においてもハードルが高いです。

本格的にWindows11の利用を開始する前に、TPM2.0への対応状況を確認しておくことをおすすめします。