WEBVTT

00:00.090 --> 00:01.050
インストラクター：このレッスンでは､

00:01.050 --> 00:09.750
Trusted Platform Module（TPM）と､ UEFIの一部として存在するハードウェアセキュリティモジュール（HSM）についてお話しします｡

00:09.750 --> 00:11.310
その前に､ RoTとして知られるハードウェアのRoot

00:11.310 --> 00:14.790
of Trustを紹介したい｡

00:14.790 --> 00:20.850
現在､ ハードウェアのRoot of Trustは､ コンピューティング・システムのすべての安全なオペレーションが依存する基盤となっている｡

00:20.850 --> 00:26.100
暗号化機能に使用される鍵が含まれ､ 安全なブートプロセスを可能にする｡

00:26.100 --> 00:27.540
これは本質的に信頼できるものであり､

00:27.540 --> 00:30.600
したがって設計上安全でなければならない｡

00:30.600 --> 00:32.100
ハードウェア・ルート・オブ・トラストとは､

00:32.100 --> 00:40.380
コンピュータ・システム内に組み込まれた暗号モジュールで､ 信頼された実行を承認し､ ブート設定とメトリクスを証明することができる｡

00:40.380 --> 00:42.570
これは複雑な概念のように聞こえるかもしれないが､

00:42.570 --> 00:45.210
あなたは常に信頼の根を使用している｡

00:45.210 --> 00:48.480
実際､ コンピュータのUEFIに内蔵されているTPMモジュールは､ ハードウェアのRoot

00:48.480 --> 00:50.760
of Trust（信頼の根）である｡

00:50.760 --> 00:56.850
基本的に､ Root of Trustは､ システムおよびオペレーティング・システム・ファイルへのブート・メトリクスをスキャンするために使用される｡

00:56.850 --> 00:57.960
そして､ ルート・オブ・トラストは､

00:57.960 --> 01:05.340
ルート・オブ・トラスト証明書を使ってデジタル署名されたレポートをプロセッサーに送り､ 信頼できることを示すことができる｡

01:05.340 --> 01:07.410
基本的に､ このハードウェアRoot of

01:07.410 --> 01:08.940
Trustはデジタル証明書ですが､

01:08.940 --> 01:13.920
システムのファームウェアの一部としてチップの内部に組み込まれています｡

01:13.920 --> 01:16.680
現在､ 最も一般的に使用されているハードウェアのRoot of

01:16.680 --> 01:19.500
Trustは､ コンピュータ内に存在するTrusted Platform

01:19.500 --> 01:21.570
Module（TPM）である｡

01:21.570 --> 01:24.570
TPMは､ デジタル証明書､ 鍵､ パスワードハッシュ､

01:24.570 --> 01:31.080
その他ユーザーやプラットフォームの識別情報をハードウェアベースで保存するための仕様である｡

01:31.080 --> 01:39.180
各TPMマイクロプロセッサーには､ エンドースメント・キーまたはEKと呼ばれるユニークで変更不可能なキーがハードコードされている｡

01:39.180 --> 01:42.120
あなたのシステムは､ このTPMとそのキーを使って､ システム・ファームウェア､

01:42.120 --> 01:52.230
ブート・ローダー､ OSカーネルが改ざんされていないこと､ あるいはトラステッド・プラットフォーム・モジュール内で実行される複数の異なる機能を使って変更されていないことを確認します｡

01:52.230 --> 01:56.340
第一に､ TPMは安全な入出力方法を提供する｡ 

01:56.340 --> 01:59.430
第二に､ 暗号化プロセッサが内蔵されており､

01:59.430 --> 02:02.010
真の乱数発生器を提供する｡

02:02.010 --> 02:04.650
TPMはまた､ RSA鍵生成器､ SHA-1ハッシュ生成器､

02:04.650 --> 02:09.570
暗号化と復号の両方の署名エンジンを備えている｡

02:09.570 --> 02:13.320
さらにTPMは､ エンドースメント・キーと呼ばれるデジタル・キーと､

02:13.320 --> 02:19.680
SRKと呼ばれるストレージ・ルート・キーを含む永続的なメモリも備えている｡

02:19.680 --> 02:22.320
TPMはまた､ その中にある多用途のメモリを持っており､

02:22.320 --> 02:27.180
これにはプラットフォーム・コンフィギュレーション・レジスタ（PCR）､ 認証アイデンティティ・キー（AIK）､

02:27.180 --> 02:31.620
ストレージ・キーが含まれる｡

02:31.620 --> 02:33.600
この小さなTPMチップ1つで､

02:33.600 --> 02:35.880
多くの機能を実現しているのだ｡

02:35.880 --> 02:40.710
では､ 試験のためにいろいろなことを暗記しなければならないのかと疑問に思うだろう｡

02:40.710 --> 02:45.390
しかし､ ITやサイバーセキュリティのキャリアを積んでいく中で､

02:45.390 --> 02:51.540
このコンセプトを何度も目にすることになるだろう｡

02:51.540 --> 02:53.040
その代わり､ 試験においては､ TPM（Trusted

02:53.040 --> 02:54.720
Platform Module）がハードウェアのRoot

02:54.720 --> 03:00.480
of Trustであり､ システムの一部であることを覚えておいてほしい｡

03:00.480 --> 03:08.730
このTPMは､ UEFIが変更または改ざんされていないことを証明するものであり､

03:08.730 --> 03:16.470
TPMはストレージ・デバイスの暗号化にも使用できる｡

03:16.470 --> 03:21.480
そう､ これもTPMの機能のひとつで､ システムのフルディスク暗号化と組み合わせて秘密鍵として使用することで､

03:21.480 --> 03:27.090
ストレージ・デバイスの内容を保護することができるからだ｡

03:27.090 --> 03:31.620
例えば､ WindowsシステムでBitLockerをフルディスク暗号化で使用している場合､

03:31.620 --> 03:34.470
ストレージ・デバイス上のデータが安全に暗号化されたままであることを確認するために､

03:34.470 --> 03:38.400
実際にはTPM内部のキーを使用しています｡

03:38.400 --> 03:40.560
TPMは､ UEFIコンフィギュレーション・ツールから有効化または無効化することができるほか､

03:40.560 --> 03:48.660
オペレーティング・システムがサポートしていれば､ オペレーティング・システム内のツールを使って管理することもできる｡

03:48.660 --> 03:50.850
例えば､ ウィンドウズ・オペレーティング・システムでは､

03:50.850 --> 03:56.970
tpmを使ってTPMを管理することができる｡

03:56.970 --> 03:56.970
Windows内のmscコンソールツール､

03:56.970 --> 04:02.490
またはWindows Server環境を使用している場合は､ グループポリシーエディターを使用して変更することができます｡

04:02.490 --> 04:07.290
試験では､ TPMを変更したり設定したりする方法を知る必要はありませんが､

04:07.290 --> 04:12.510
実際の現場では､ 技術者としてTPMを扱うことを求められることがあります｡

04:12.510 --> 04:16.890
もしそうなら､ マイクロソフトでいつでも最新のドキュメントを調べることができる｡

04:16.890 --> 04:16.890
comで､

04:16.890 --> 04:20.400
TPMを適切に変更・設定する方法をご覧ください｡

04:20.400 --> 04:23.100
ハードウェア・セキュリティ・モジュールまたはHSMとして知られる､

04:23.100 --> 04:27.030
ハードウェアRoot of Trustのもう一つの形態に注目する必要がある｡

04:27.030 --> 04:29.550
現在､ ハードウェア・セキュリティ・モジュールは､

04:29.550 --> 04:31.920
暗号鍵を生成・保存するためのアプライアンスであり､

04:31.920 --> 04:37.050
ストレージベースのソリューションを使用するよりも改ざんや内部脅威の影響を受けにくい｡

04:37.050 --> 04:38.700
ハードウェア・セキュリティ・モジュールは､

04:38.700 --> 04:41.490
従来のパスワードや秘密鍵を使用するよりもはるかに安全であるため､

04:41.490 --> 04:46.050
暗号化パスを使用してシステムを保護するために使用されるようになった｡

04:46.050 --> 04:48.150
その代わり､ ハードウェア・セキュリティ・モジュールには､

04:48.150 --> 04:52.680
暗号化装置で使用できる信頼され保護されたデジタル鍵が含まれている｡

04:52.680 --> 04:55.680
ハードウェア・セキュリティ・モジュールの作り方にはさまざまな方法があり､

04:55.680 --> 04:58.710
さまざまなフォームファクターで製造されている｡

04:58.710 --> 05:00.570
例えば､ ここにnCipherハードウェア・セキュリティ・モジュールが見えますが､

05:00.570 --> 05:05.400
ここには3つの異なるモデルがあります｡

05:05.400 --> 05:07.170
システム内に設置できる内蔵カード型､

05:07.170 --> 05:14.370
ラックマウント型､ そしてよりモノのインターネットに近いタイプのソリューションがある｡

05:14.370 --> 05:17.760
この種のシステムの本当の利点は､

05:17.760 --> 05:21.480
自動化されていることである｡

05:21.480 --> 05:23.400
方程式から個人を取り除くことで､

05:23.400 --> 05:25.620
私たちはシステムのセキュリティを向上させ､

05:25.620 --> 05:27.630
より安全にすることができる｡

05:27.630 --> 05:29.790
ハードウェア・セキュリティ・モジュールのもう一つの形態は､

05:29.790 --> 05:37.560
USBメモリやフラッシュ・ドライブのように見えるデバイスで､ ハードディスク・ドライブやその他のストレージ・デバイスを暗号化するために使用されるデジタル・キーを格納することができる｡

05:37.560 --> 05:39.870
そして､ そのドライブを復号化して読み込むには､

05:39.870 --> 05:42.570
HSMをシステムに挿入し､ デジタル・キーを読み取って検証し､

05:42.570 --> 05:47.610
ストレージ・デバイスを復号化する必要がある｡

05:47.610 --> 05:50.130
これは､ トラステッド・プラットフォーム・モジュールが現代のコンピューターの一部として一般的に搭載される以前は､

05:50.130 --> 05:54.633
ハードディスクを暗号化する方法として非常に一般的なものだった｡