パソコンのセキュリティ強度を高めるための専用LSIのこと。一般に、ハード/ソフトの技術標準を策定する業界団体「TCG(Trusted Computing Group)」が策定した仕様「TPM(Trusted Platform Module)」に準拠したチップを指す。国内ではNEC、デル、東芝、日本IBM、日本HP、富士通などがセキュリティ・チップ搭載パソコンを製品化している。

 セキュリティ・チップは主に(1)暗号鍵の格納および暗号化機能と、(2)正常時のBIOS(基本入出力ソフト)の設定記憶機能を備える。搭載パソコンは、これら二つの機能を使って、セキュリティ強度を高める。

 (1)の「暗号鍵の格納および暗号化機能」とは、他のアプリケーションが使用する暗号鍵を、セキュリティ・チップが生成した別の暗号鍵を使って、2重に暗号化することだ。生成した暗号鍵は、チップ内の不揮発性メモリーに保存する。

 これによりハードディスクの持ち出しなどによる、暗号の解読を防ぐ。セキュリティ・チップは、主にパソコンのマザーボード上に実装されているので、ディスクだけを入手しても暗号が解けなくなるからだ。一般に、ディスク暗号化ソフトなどのアプリケーションは、使用する暗号鍵を、暗号化したデータと同じディスクに保存している。このためディスクごと盗難にあうと、暗号を解読され、データを読み出される可能性がある。

 もう一つの(2)「正常時のBIOSの設定記憶機能」は、セキュリティ・チップ内の不揮発性メモリーにBIOSの設定情報を記憶しておくもの。チップは、パソコンの起動時に、BIOSの設定情報を読み出し、記録していた情報と同じかどうかチェックする。相違があれば、不正に設定を変更されたと判断して、起動を中止する。これにより、「取り外し可能な外部記憶装置へのデータ書き出しを禁止する」といったBIOS設定が、不正に書き換えられるのを防ぐ。

 セキュリティ・チップの機能を利用するには、対応アプリケーションやBIOSが必要。(2)の正常時のBIOSの設定記憶は、ほとんどのBIOSが対応している。だが、(1)の暗号鍵の格納および暗号化機能を使う市販アプリケーションは、ほとんどない。

 アプリケーションは(1)の機能を「TSS(TCG Software Stack)」と呼ぶAPI仕様を使って呼び出す。現時点で、TSSを利用しているアプリケーションは、セキュリティ・チップ搭載パソコンに添付のファイル暗号化用ユーティリティや、Windowsのログイン・パスワード暗号化ユーティリティぐらいしかないのだ。

 ただし、マイクロソフトは2006年中に製品化予定の次期Windows(開発コード名はLonghorn)に、TSSの拡張版を利用したセキュリティ機能を実装する方針である。そうなれば、TSS対応アプリケーションは一気に増えるはずだ。LonghornはTSS拡張版の機能を使って、OSカーネルの不正書き換えを防ぐ機能も提供する。

(安藤)

本記事は日経コンピュータ2005年3月21日号に掲載したものです。
同誌ホームページには,主要記事の概要や最新号およびバックナンバーの目次などを掲載しておりますので,どうぞご利用ください。

日経コンピュータ・ホームページ

定期購読お申し込みや当該号のご購入
出典:2005年3月21日号 40ページ 日経コンピュータ
記事は執筆時の情報に基づいており、現在では異なる場合があります。