TPM 管理は、管理者がトラステッド プラットフォーム モジュール (TPM) サービスの操作を行うための Microsoft 管理コンソール (MMC) スナップインです。TPM サービスは、コンピューターの TPM セキュリティ ハードウェアの管理に使用されます。TPM サービスのアーキテクチャは、TPM へのアクセスを可能にしてアプリケーション レベルの TPM 共有を確保することにより、ハードウェア ベース セキュリティのインフラストラクチャを提供します。

トラステッド プラットフォーム モジュールとは

TPM は、主に暗号化キーに関する基本的なセキュリティ関連機能を提供するよう設計されたマイクロチップです。TPM は、通常、コンピューターのマザーボード上に取り付けられ、ハードウェア バスを使用してシステムの他の部分と通信します。

TPM が組み込まれたコンピューターは、TPM だけが暗号化を解除できるように、暗号化キーを作成して、キーを暗号化することができます。このプロセスは、一般に "ラッピング" または "バインディング" と呼ばれるもので、キーの漏洩を防ぐのに役立ちます。各 TPM には、ストレージ ルート キーと呼ばれるマスター "ラッピング" キーがあります。これは TPM 自身に格納されます。TPM で作成されるキーのプライベート部分が、他のコンポーネント、ソフトウェア、プロセス、またはユーザーに公開されることはありません。

TPM が搭載されているコンピューターでは、ラップされているだけでなく、特定のプラットフォーム測定値に関連付けられたキーを作成することもできます。このタイプのキーは、プラットフォーム測定値がキー作成時の値と一致する場合にのみラップ解除できます。このプロセスのことを、キーの TPM への "封印" と呼びます。封印したキーを解読することを "開封" と呼びます。TPM では、TPM の外部で生成されたデータを封印および開封することもできます。この封印されたキーと、BitLocker ドライブ暗号化などのソフトウェアを使用して、特定のハードウェア条件またはソフトウェア条件が満たされるまでの間データをロックすることができます。

TPM を使用すると、キーの組のプライベート部分は、オペレーティング システムで制御されるメモリとは別に保持されます。キーを TPM に封印できるので、キーを使用するために開封して解放するまでは、システムの状態に関して一定の保証 (システムの "信頼性" を規定する保証) を行うことができます。TPM は命令の処理に独自の内部ファームウェアおよび論理回路を使用するため、オペレーティング システムに依存せず、オペレーティング システムやアプリケーション ソフトウェアに存在する可能性がある脆弱性にさらされることがありません。

トラステッド プラットフォーム モジュール サービスのコンポーネント

次の表では、TPM サービスの機能群を構成する個別のコンポーネントについて詳しく説明します。

TPM コンポーネント 目的

TPM ドライバー

TPM ドライバーは、Trusted Computing Group (TCG) 1.2 仕様に準拠する TPM セキュリティ ハードウェア用に設計されたカーネル モード デバイス ドライバーです。TCG 1.2 に準拠することにより、プラットフォームの安定性が向上し、ベンダー固有のデバイス ドライバーが不要になります。

TPM ベース サービス (TBS)

TBS とは、TPM 上の限られたリソースの共有を可能にするサービスです。TBS は、TPM を使用するすべてのアプリケーションに対するリソース コントローラーとして機能します。

TPM Windows Management Instrumentation (WMI) プロバイダー

TPM WMI プロバイダーは、一般的な TPM 構成タスクをプログラムにより管理者に公開します。管理者はこのプロバイダーを使用するスクリプトを記述できます。

TPM 管理スナップイン

TPM 管理スナップインは、管理者が一般的な TPM 構成タスクを行うためのユーザー インターフェイスを提供します。管理者はこのスナップインを使用して [TPM 初期化ウィザード] にアクセスできます。

TPM 初期化ウィザード

[TPM 初期化ウィザード] の目的は、TPM を有効化および構成して、BitLocker ドライブ暗号化などの TPM を使用するアプリケーションまたはサービスと連携するようにすることです。

詳細については、このヘルプ ファイルの他のトピックや、「TPM 管理に関する参照情報」で示されている各種資料を参照してください。

目次