技 術 情 報
セキュリティシステム事業技術解説
TPMとは?
TPMとは、Trusted Platform Moduleの頭文字です。TPM自体は、図-1のような形状をした半導体のICチップで、PCや組込み機器のメインボードに実装されます。今日では、STマイクロエレクトロニクス社、Atmel社、Infinion社、Winbond社など、大手半導体メーカーが製造、販売を行っております。
TPMが提供する機能にはいくつかありますが、主にプラットフォームの正当性証明機能、データの暗号化機能、電子鍵および電子証明書の安全な保管機能などが代表的な機能です。TPMは、PKI(PKIとは?を参照)技術をその前提とし、より安全なコンピューティング環境を実現するためのハードウェアとして、今日注目を集めている製品です。
TPMとTCG
TPMは、各TPMチップベンダが独自の理念に基づき製造しているものではありません。TPMの仕様は、Microsoft、SunMicrosystems、AMD、Intel、HPの5社(特にこの5社をプロモータと呼びます)がリーダーシップを取り、業界100社以上が加盟する”Trusted Computing Group”(TCG)という団体が策定しています。プロモータの顔ぶれからわかるとおり、PCや携帯電話などを利用したやりとりすべてにおいて、より堅固なセキュリティレベルを実現しようというのがTCGの設立目的です。明言しているわけではありませんが、彼らにとってみれば今日のコンピューティング・プラットフォームは、”信頼できない”環境である、と判断していることがわかります。
PCや携帯電話などを含むコンピューティング環境の普及速度にセキュリティ面の整備が追いつかず、コンピューティング環境の便利な面ばかりが一人歩きしています。実は現状のコンピューティング環境は、セキュリティ面において非常に危険なリスクを負っているのです。このことは、ノートPCの実用性が飛躍的に向上した結果、ビジネス上非常に重要なデータ(例えば顧客情報、売上情報など)が、現場の営業マンのノートPCに格納されていること、さらに傘や名刺入れと同じ環境にさらされた結果、紛失盗難にあい、社会的な問題にまで発展するような事件が多発するようになるまで、ユーザは故意、過失を問わず、意識せずに今日に至ってしまったことからもお分かりいただけるものと思います。
このような現状を危惧し、上記プロモータ5社が今後のコンピューティング環境をよりセキュアにすることを目的とし設立したコンソーシアムがTCGであり、TCGの理想を具現化するためのハードウェアデバイスとして考案されたソリューションがTPMということができます。
TPMを採用する理由
TPMが提供する機能は上記のとおりですが、これらを使うとどのようなメリットがあるのか、という疑問については、もう少し具体的にお話をする必要があります。TPMによって提供される機能が、実際にどのような形でユーザにメリットをもたらすかについて、説明いたします。
1)プラットフォームの正当性証明
プラットフォームとは、ハードウェア、BIOS、OS、アプリケーションを含めた、コンピューティング環境全体を意味します。つまり、あるコンピュータについて、ハードウェア的、ソフトウェア的に不正な処理が行われていないかを監視する機能を提供します。これによって、例えば悪意の改ざんがなされた場合、TPMは「なんらかの変更がプラットフォームに対して施されました」と検知します。
2)データの暗号化機能
TPMチップには、真性乱数発生機能が含まれています。ユーザがプラットフォームに保存したデータを暗号化し、安全にプラットフォーム上に保存することが可能になります。また、暗号化されたデータを復号するための鍵については、3)で述べる電子鍵の安全な保管場所があるため、従来の暗号化技術+電子鍵の安全な保管を実現しています。
3)電子鍵、電子証明書の安全な保管
TPMチップには、耐タンパ性(不正な機密データへのアクセスからデータを保護する能力)に優れたメモリを実装しています。ここに秘密鍵や電子証明書を保存することで、暗号化されたデータや電子証明書の保護を実現しています。
TPMが採用されるプラットフォームの広がり
TPMチップを搭載したコンピュータは、実は2002年から市場に出荷されています。いち早くTPMを実装した製品をリリースしたのは、IBM社です。2002年4月以降のThinkPadシリーズには、製品にTPMが実装されています。また、日本のPCベンダもほとんどが(実は)TPMを採用しています。デスクトップPCでTPMを採用している例があまり多くないのが現状ですが、それはTPMも暗号化機能、電子鍵の安全な保護機能が、時代のニーズに合致していた結果にすぎません。つまり、ノートPCは、紛失、盗難にあう可能性がデスクトップに比べ格段に高く、そのソリューションとしてTPMが採用されてきました。しかしながら、今後はネットワークに対するプラットフォーム認証、ユーザ認証をはじめとするその他のTPMの機能にもスポットライトがあてられてきたことから、ノートPCに限らず、デスクトップPC、サーバ、携帯電話、PDA、ATM、POS端末など、さまざまなプラットフォームにおいてTPMが採用される流れになりつつあります。
TPMとインサイトインターナショナル
冒頭に述べたとおり、TPMはハードウェア(ICチップ)であり、それだけではユーザはTPMの機能を利用することができません。TPMの機能をユーザが利用するためのソフトウェアが必要になります。インサイトインターナショナルでは、組込み用にTPMを利用するためのアプリケーション、PC用にはWave systems社のEMBASSY Security Center(ESC)を提供しています。特にESCは、電子データの暗号化、個人情報の安全な格納、電子鍵の管理などの機能が提供されており、ユーザは難しいPKIの仕組みを理解しなくても、TPMの機能を利用できるようにデザインされています。また、インサイトが提供しているセキュリティ製品である802.1X対応のSentinellaと組み合わせてTCGで規格が進んでいるTNC対応製品も現在開発中です。
セキュリティシステム事業技術解説
TPMとは、Trusted Platform Moduleの頭文字です。TPM自体は、図-1のような形状をした半導体のICチップで、PCや組込み機器のメインボードに実装されます。今日では、STマイクロエレクトロニクス社、Atmel社、Infinion社、Winbond社など、大手半導体メーカーが製造、販売を行っております。