TPMを使う
<TPMセキュリティチップ搭載モデル>
TPM(Trusted Platform Module)の機能を使うと、セキュリティの基本機能が提供され、データの暗号化や復元を行ってセキュリティを強化することができます。
* TPMは、TCG (Trusted Computing Group)により定義されています。
下記のソフトウェアでTPM機能を使った暗号化ができます。
- Infineon TPM Professional Package
- BitLockerドライブ暗号化(以下BitLockerと略します。)(Windows Vista Ultimate搭載モデルのみ)
- 本機は、TPMを用いたセキュリティ機能を搭載していますが、データやハードウェアの完全な保護を保障するものではありません。
TPMの使用によるいかなる障害・損害に関しても、当社は一切の責任を負いかねますのであらかじめご了承ください。
- 本機を修理などに出す場合、TPM内およびハードディスクまたはSSD上のデータなどは、お客様にてバックアップしてください。バックアップしたファイルを他人に知られないように管理してください。
修理により、万一データが消失した場合に関しても、当社は一切の責任を負いかねますのであらかじめご了承ください。
- 本機の修理の際にメイン基板を交換する場合は、TPMも交換されます。
- TPMに関するデータの保守・運用は、お客様にて行ってください。TPMに関するデータの保守・運用に関して、当社は一切の責任を負いかねますのであらかじめご了承ください。
Infineon TPM Professional PackageでTPMを設定する
Infineon TPM Professional Packageを使うと、TPM機能を使用したデータの暗号化や復号化ができます。
- TPMの初期化を行う場合、設定したパスワードはメモを取るなどして、忘れないようにしてください。メモしたパスワードを他人に知られないように管理してください。
パスワードを忘れた場合、TPMで保護されたデータはいかなる手段を用いても復元することはできません。
- TPMの初期化を行う際に保存するシステムバックアップアーカイブ、緊急時復元用トークン、パスワードリセット用トークン、個人シークレットファイルなどは、必ずバックアップしてください。バックアップしたファイルを他人に知られないように管理してください。
これらのファイルを紛失した場合、TPM設定の復元やパスワードリセットなどの機能が使用できなくなる場合があります。
- ユーザーの初期化を行う場合、初期化ウィザード終了後に自動バックアップの設定を必ず行ってください。
また、この設定終了時の画面で、「自動バックアップを今すぐ起動」をチェックし、バックアップファイルを更新してください。
これらの作業を行わない場合、バックアップファイルを使ったTPMの復元処理が正しく行われない場合があります。
- BitLockerとInfineon TPM Professional Packageを同時に使う場合は、必ずInfineon TPM Professional Package上でTPMを初期化してください。
キーの暗号化に対するご注意
TPMソフトウェアがインストールされている環境で、プラットフォームの初期化が終わり、かつユーザーの初期化の際にEFS機能が選択されている状態で、下記フォルダ内に作成されているファイルをEFSで暗号化すると、TPMソフトウェアが正常に起動しなくなり、暗号化したデータを復号できなくなります。
なお、初期状態においては、下記フォルダ内のファイルはシステム属性を持たせることにより暗号化されるのを防いでいます。
下記のフォルダやファイルの属性を変更しないでください。
- C:\ユーザー\All Users\Infineon\TPM Software 2.0フォルダ内のBackupData、PlatformKeyData、RestoreData
- C:\ユーザー\<account>\AppData\Roaming\Infineon\TPM Software 2.0\UserKeyData
- Windowsの初期設定の状態では、上記のフォルダは参照できません。
- C:\ユーザー\All Users は、C:\ProgramDataへのショートカットです。
バックアップファイルやその他ファイルの暗号化に対するご注意
アーカイブ、バックアップ、トークンファイルを暗号化すると、緊急時に復元ができなくなります。またパスワードリセットトークン、シークレットファイルを暗号化すると、パスワードのリセットができなくなります。
以下のファイルまたはフォルダを暗号化しないでください。
- デフォルトファイル名:SPSystemBackup.xml
- フォルダ名(固定):SPSystemBackup(SPSystemBackup.xmlファイルが作成されるフォルダのサブフォルダとして作成されます。)
- デフォルトファイル名:SPEmRecToken.xml
- デフォルトパス:リムーバブルメディア(フロッピーディスク、USBメモリ等)
- デフォルトファイル名:SPPwdResetToken.xml
- デフォルトパス:リムーバブルメディア(フロッピーディスク、USBメモリ等)
- デフォルトファイル名:SPPwdResetSecret.xml
- デフォルトパス:リムーバブルメディア(フロッピーディスク、USBメモリ等)
- デフォルトファイル名:SpBackupArchive.xml
- デフォルトファイル名:SpPSDBackup.fsb
デフォルトパスが指定されていないファイルは、[参照]をクリックしたときに「ユーザーフォルダ」\ドキュメント\Security Platform が開きます。
誤って上記フォルダをEFS暗号化した場合やTPMソフトウェアのアーカイブ、バックアップ、トークンファイル、パスワードリセットトークン、シークレットファイルを暗号化した場合、当社でデータを復元することはできません。
また、この場合のいかなる障害・損害に関しても、当社は一切の責任を負いかねますのであらかじめご了承ください。
Personal Secure Drive(PSD)に関するご注意
Personal Secure Drive(PSD)はシステムによってあらかじめ使用されている領域があるため、実際に使用できる容量は設定時の初期値より約10 MB以上少なくなります。(PSDのサイズが大きくなるとあらかじめ使用されている領域も増えます。)
基本ユーザーパスワードの有効期限に関するご注意
基本ユーザーパスワードの有効期限の初期値は、[無期限]になっています。
ステップ1:BIOS設定でTPMを有効にする
- 本機の電源を入れる。
- VAIOのロゴマークが表示されたらF2キーを押す。
BIOSセットアップ画面が表示されます。
BIOSセットアップ画面が表示されなかった場合は、F2キーを数回押してください。
- ←または→キーで[Security]を選択し、表示された画面で「Change TPM State」を[Enable]にする。
- ←または→キーで[Exit]を選択し、[Exit Setup]を選択してEnterキーを押す。
- 本機が再起動した後、確認画面が表示されるので、[Execute]を選択する。
BIOS設定内では、次の設定ができます。
- 設定をクリアした場合、TPMで暗号化されているデータに再びアクセスすることはできません。
TPMで暗号化されているデータが残っている場合は、必要に応じてデータのバックアップなどを行ってから、設定をクリアしてください。
TPMを有効にする場合は、設定を第三者に変更されることのないようパワーオン・パスワードを設定してください。
【詳細】
ステップ2:「Infineon TPM Professional Package」をインストールする
「C:\Infineon\Readme」のフォルダ内にあるReadme.txtファイルをよくお読みになった後、「C:\Infineon\setup.exe」にあるインストーラをダブルクリックしてインストールを行ってください。
この操作を行うには、「コンピュータの管理者」など、管理者権限を持つユーザーとしてログオンする必要があります。
ステップ3:TPMの初期化・設定を行う
(スタート)ボタン−[すべてのプログラム]−[Infineon Security Platform ソリューション]−[ヘルプ]をクリックして表示されるヘルプをご覧いただき、お客様に必要な設定を行ってください。
- 初期化ウィザード終了後には、次の手順で必ず自動バックアップの設定をしてください。
デスクトップ画面右下の通知領域にある (TPMアイコン)を右クリックして表示されるメニューから、Windowsのマークの付いた[Security Platform を管理する]を選択する。
表示された画面の[バックアップ]タブをクリックして、[設定]をクリックする。
自動バックアップのスケジュールなどを設定する。
設定終了時に[自動バックアップを今すぐ起動]チェックボックスが表示された場合はチェックをつけ、バックアップファイルを更新してください。
これらの作業を行わない場合、バックアップファイルを使ったTPMの復元処理が正しく行われない場合があります。
- 設定したパスワードを忘れたり、バックアップファイルを紛失したりすると、TPMで保護されたデータを復元することができなくなります。パスワードは必ずメモを取るなどして、忘れないようにしてください。
また、バックアップしたファイルを他人に知られないように管理してください。
BitLockerでTPMを設定する
BitLockerは、Windows Vista Ultimateに搭載されている暗号化機能です。BitLockerを使うとすべてのドライブのデータを暗号化することができます。
BitLockerの設定や使いかたについて詳しくは、「Windows ヘルプとサポート」をご覧ください。
BitLockerを使用するときのご注意
- Infineon TPM Professional Package とBitLockerを同時に使う場合は、BitLockerをオンにする前にInfineon TPM Professional PackageでTPMの初期化を行ってください。TPMの初期化を行わずにBitLockerをオンにするとTPMの所有者パスワードがユーザーに提示されないため、Infineon TPM Professional Packageの設定ができなくなります。
- Infineon TPM Professional Packageでは、BitLockerで必要なファイル(回復パスワード)のバックアップは行いません。
- BitLockerの解除キーを保存したディスク(USBメモリなど)は、BitLocker暗号化機能で暗号化しないでください。
USBメモリをBitLockerの解除キーとして使用する場合
BitLockerの解除キーとしてUSBメモリを使う場合、以下の手順でUSBメモリから解除キーを読み込むことができるように設定してください。
- 本機の電源を入れる。
- VAIOのロゴマークが表示されたらF2キーを押す。
BIOSセットアップ画面が表示されます。
BIOSセットアップ画面が表示されなかった場合は、F2キーを数回押してください。
- ←または→キーで[Security]を選択し、表示された画面で「Change TPM State」を[Enable]にする。
- ←または→キーで[Boot]を選択し、表示された画面で「External Device Boot」を[Enabled]にする。
- 「Boot Priority」の「Internal Hard Disk Drive」を「External Device」より上位に設定する。
操作方法について詳しくは、「起動デバイスを変更する」
【詳細】をご覧ください。
リカバリディスクを使ってリカバリする場合は、「Internal Optical Disc Drive」を一番上に移動する必要があります。
- ←または→キーで[Exit]を選択し、[Exit Setup]を選択してEnterキーを押す。
- 本機が再起動した後、確認画面が表示されるので、[Execute]を選択する。
- 「Windows ヘルプとサポート」を参照して、BitLockerをオンにする。
- 回復パスワードの保存画面で、USBメモリにパスワードを保存する。
以降、画面の指示に従って進むと、本機が再起動します。再起動した後、BitLockerの暗号化が始まります。
- VAIO Updateなどを利用してBIOSをアップデートすると、BIOSの設定が初期値に戻ります。その場合は、再度上記の手順を繰り返して設定し直してください。