企業向けPCの8割はTPMを搭載、その活用を進めるために

国内のすべてのPCメーカーが採用しているというインフィニオンのTPMチップ。品質向上のためのノウハウや、ユーザーが活用するための取り組みについて同社に聞く。

[下村恭（ハンズシステム），ITmedia]

このコンテンツは、オンラインムック「トラステッド・コンピューティングの世界」のコンテンツです。関連する記事はこちらで一覧できます。

　各種通信デバイスや半導体チップなどの製造販売を手がけており、Trusted Computing Group（TCG）の主要メンバーでもあるインフィニオン テクノロジーズ ジャパンに、TCGの活動およびTrusted Platform Module（TMP）チップベンダーとしての活動について聞いた。

　インフィニオンは、トラステッド・コンピューティングを主導するTCGのプロモーターメンバー8社のうち、唯一のTPMサプライヤーである。TCGの前身組織であるTrusted Computing Platform Allianceのころから、複数のワークグループの議長やメンバーとして、各種仕様の策定に貢献してきた企業だ。

　インフィニオンの三宅浩司氏によれば、TCGの最も重要なゴールは、「外部のソフトウェアによるアタックやハードウェアへの攻撃から、ユーザーの情報資産（データ、パスワード、鍵など）を守ること」であるという。

インフィニオン テクノロジーズ ジャパン インダストリアル＆マルチマーケット事業本部 ASICデザイン＆セキュリティグループセグメントセキュリティ 課長 三宅浩司氏

　TCGではこのゴールを目指し、各種プラットフォームおよび周辺機器やデバイスにおけるトラステッド・コンピューティングとセキュリティ技術のオープンな標準仕様を開発、制定し、普及を促進する活動をしている。制定されたTCG標準は、「使う人のプライバシーや権利を損なうことなく、より安全なコンピューティング環境を可能に」（三宅氏）するものだ。

　TPMはこのTCG標準を基に作られており、暗号鍵を安全に保管する機能や、プラットフォームの完全性（Integrity）を計測し、改ざんを検出する機能を備える。

　インフィニオンの製造するTPMは、同社がICカード用コントローラ市場で20年にわたり培った技術が盛り込まれ、TPMの中心的機能である、RSA暗号、ハッシュ関数、真性乱数発生器などの「暗号機能」、あらゆるハッキング攻撃に耐える物理的プロテクションである「耐タンパー機構」を備えている。

　また、同社ではTPMの開発から設計、製造、物流に至るまで、すべてセキュアなインフラ体制を整えている。TPMにはエンドースメントキーと呼ばれる、一つ一つが固有のRSA公開鍵暗号方式の公開鍵／秘密鍵のペアが書き込まれ、秘密鍵は外部から読み出すことができないようになっている。製造の最終段階で書き込まれるこれらの鍵が万が一でも漏えいしてしまうようでは、いくらTPMの機能が完全でも、セキュリティを保つことができなくなる。インフィニオンでは銀行カードやクレジットカードなどで使用されるICカードで培ったセキュアな製造、物流体制をTPMの製造流通過程にも適用し、TPMベンダーとしての責任を担っているという。

TPMチップの「品質」

　TPMでは、中心的機能である暗号機能が重要なのはもちろんだが、内部に保存する暗号鍵を盗み出そうとする攻撃にも耐えうる堅牢性も重要となる。三宅氏によれば、チップの表面を物理的に削り取り、プローブ（探針）を当てて内部を探るという攻撃手法も存在するという。インフィニオンのTPMは、こうした攻撃を検知し、内部の情報を守る「耐タンパー機構」を備える。これはTCGでは規定されておらず、いわばTPMを製造するメーカーの「独自ノウハウ」が結集される部分となる。

　TPM製品の品質や目標とするセキュリティ保証レベルを、情報セキュリティの国際標準に基づいて第三者が評価し、結果を公的に検証し公開するものとして「ISO/IEC 15408 ITセキュリティ評価及び認証制度」がある。この制度ではEAL1からEAL7の７段階で評価するが、インフィニオンの供給するTPMは、ICカードで一般的に求められるEAL5に順ずるEAL4+を満たしている。一般のユーザーには、自分が利用しているセキュリティチップがどのベンダーのもので、どのような品質のものなのかは見えない部分である。だが、このような企業の裏の努力で品質が決定されていることは事実として知っておくべきだろう。

今後の普及に向けて

　現在のTPMは、暗号鍵の安全な保管場所としての利用が主になっているが、TPMを利用することで、Windows VistaのBitLockerに代表されるストレージの暗号化や、セキュアなVPN接続、電子メールの暗号化、クライアント認証など、さまざまな分野で、信頼する環境や接続を保証することができるようになる。このように多くの用途でTPMを活用するために、さまざまなソフトウェアベンダーによるTPMの活用が望まれている。

　インフィニオンでは、ソフトウェアの分野を含んだトータルソリューションを提供している。具体的には、最下層のハードウェアとなるTPMチップから、デバイスドライバ、TCGソフトウェアスタック、管理ーティリティを含むTPM Professional Packageソフトウェアを自社開発し、インフィニオンのTPMチップを採用するPCメーカーを通じてユーザーに提供している。

インフィニオンでは、最下層のTPMチップから、TCGが制定するAPIであるTSS（TCGソフトウェアスタック）までをデバイスドライバの形で、また、、その上で動作するミドルウェアやアプリケーションまでを一括して提供している

　三宅氏によれば、すでに企業向けPCの約80％にTPMが搭載されており、インフィニオンのTPMは、国内の全PCメーカーが採用しているという。知らないうちにTPMを備えるPCを使用しているユーザーも多いだろう。トラステッド・コンピューティングの基盤となるTPMは企業PCユーザーに既に浸透していると言ってもよい。

　だが、「TPMはあくまでも受身のデバイス。それが載っているだけでは何の役にも立たない」（三宅氏）ため、機能を利用しなければTPMの真価は発揮されない。ソフトウェアベンダーにより一層のTPM対応を望むとともに、ユーザー側の理解と、より一層の活用に向けた意識づくり求められているのではないだろうか。