TPMを使う
<TPMセキュリティーチップ搭載モデル>
TPM(Trusted Platform Module)の機能を使うと、セキュリティーの基本機能が提供され、データの暗号化や復元を行ってセキュリティーを強化することができます。
* TPMは、TCG (Trusted Computing Group)により定義されています。
下記のソフトウェアでTPM機能を使った暗号化ができます。
- Infineon TPM Professional Package
- BitLockerドライブ暗号化(以下BitLockerと略します。)(Windows 7 Ultimate搭載モデルのみ)
- 本機は、TPMを用いたセキュリティー機能を搭載していますが、データやハードウェアの完全な保護を保障するものではありません。
TPMの使用によるいかなる障害・損害に関しても、当社は一切の責任を負いかねますのであらかじめご了承ください。
- 本機を修理などに出す場合、TPM内およびハードディスクまたはSSD上のデータなどは、お客様にてバックアップしてください。バックアップしたファイルを他人に知られないように管理してください。
修理により、万一データが消失した場合に関しても、当社は一切の責任を負いかねますのであらかじめご了承ください。
- 本機の修理の際にメイン基板を交換する場合は、TPMも交換されます。
- TPMに関するデータの保守・運用は、お客様にて行ってください。TPMに関するデータの保守・運用に関して、当社は一切の責任を負いかねますのであらかじめご了承ください。
Infineon TPM Professional PackageでTPMを設定する
Infineon TPM Professional Packageを使うと、TPM機能を使用したデータの暗号化や復号化ができます。
- TPMの初期化を行う場合、設定したパスワードはメモを取るなどして、忘れないようにしてください。メモしたパスワードを他人に知られないように管理してください。
パスワードを忘れた場合、TPMで保護されたデータはいかなる手段を用いても復元することはできません。
- TPMの初期化を行う際に保存する自動バックアップ アーカイブ、緊急時復元用トークン、パスワードリセットトークン、パスワード リセット シークレットファイルなどは、必ずバックアップしてください。バックアップしたファイルを他人に知られないように管理してください。
これらのファイルを紛失した場合、TPM設定の復元やパスワードリセットなどの機能が使用できなくなる場合があります。
- ユーザーの初期化を行う場合、初期化ウィザード終了後に自動バックアップの設定を必ず行ってください。
また、この設定終了時の画面で、[自動バックアップを今すぐ起動]をチェックし、バックアップファイルを更新してください。
これらの作業を行わない場合、バックアップファイルを使ったTPMの復元処理が正しく行われない場合があります。
- BitLockerとInfineon TPM Professional Packageを同時に使う場合は、必ずInfineon TPM Professional Package上でTPMを初期化してください。
オペレーティングシステムファイルやプログラムファイルの暗号化に対するご注意
TPMを使用した暗号化ファイルシステム(EFS)により、オペレーティングシステムや各種プログラムが使用しているファイルを暗号化すると、それらの起動や動作に支障をきたす場合があります。「Windows」フォルダー、「Program Files」フォルダーやその中のファイルを暗号化しないでください。
EFSをお使いいただくときは、以下の点にご注意ください。
- 暗号化したいデータは、初期化の際に既定値で作成する「暗号化されたデータ」フォルダーに保存するか、自分のアカウントの「ドキュメント」フォルダーに新たなフォルダーを作成して暗号化し、その中に保存してください。
または、Personal Secure Driveにデータを保存すると、自動的に暗号化されます。
- エクスプローラーの[フォルダーと検索のオプション]の[表示]タブ内の以下の設定を、既定値のままにしてください。
- ファイルとフォルダーの表示:隠しファイル、隠しフォルダー、または隠しドライブを表示しない
- 保護されたオペレーティング システム ファイルを表示しない(推奨):チェックあり
- 必要な場合以外は、ファイル属性(読み取り専用、隠しファイル、システム属性)を変更しないでください。
- 「ユーザー」フォルダーやその中のアカウントのフォルダーをすべてまとめて暗号化しないでください。
Personal Secure Drive(PSD)とは、ハードディスクまたはSSDの一部に作成される、暗号化された仮想ドライブのことです。
キー ファイルやPersonal Secure Drive ファイルの暗号化に対するご注意
TPMソフトウェアがインストールされている環境で、プラットフォームの初期化が終わり、かつユーザーの初期化の際にEFS機能が選択されている状態で、下記フォルダー内に作成されているファイルをEFSで暗号化すると、TPMソフトウェアが正常に起動しなくなり、暗号化したデータを復号できなくなります。
下記のフォルダー内のファイルをEFSで暗号化したり、フォルダーやファイルの属性を変更しないでください。
なお、TPMソフトウェアをインストールして初期化した状態では、下記フォルダー内のファイルはシステム属性を持たせることにより暗号化されるのを防いでいます。
- C:\ユーザー\All Users\Infineon
- C:\ユーザー\<account>\AppData\Roaming\Infineon
- Personal Secure Driveファイル
- C:\Security Platform\Personal Secure Drive\System Data\xxxxxxxx.FSF
- Windowsの初期設定の状態では、上記のフォルダーは参照できません。
- C:\ユーザー\All Usersは、C:\ProgramDataへのショートカットです。
バックアップファイルやその他ファイルの暗号化に対するご注意
バックアップ アーカイブ、緊急時復元トークンを暗号化すると、緊急時に復元ができなくなります。またパスワード リセット トークン、パスワード リセット シークレットファイルを暗号化すると、パスワードのリセットができなくなります。
以下のファイルまたはフォルダーを暗号化しないでください。
- 既定のファイル名:SPSystemBackup.xml
またはSPSystemBackup_"コンピューター名".xml
- 自動バックアップ アーカイブ格納フォルダー(その中のファイルも含む)
- フォルダー名(固定):SPSystemBackup(SPSystemBackup.xmlファイルが作成されるフォルダーのサブフォルダーとして作成されます。)
またはSPSystemBackup_"コンピューター名"(SPSystemBackup_"コンピューター名".xml ファイルが作成されるフォルダーのサブフォルダーとして作成されます。)
- 既定のファイル名:SPEmRecToken.xml
- 既定のファイル名:SPPwdResetToken.xml
- 統合された緊急時復元/パスワード リセット トークン ファイル
- 既定のファイル名:SPToken_"コンピューター名".xml
- 既定のファイル名:SPPwdResetSecret.xml
またはSpPwdResetSecret_"コンピューター名"_"ユーザー名"[."ドメイン名"].xml
- 既定のファイル名:SpBackupArchive.xml
- 既定のファイル名:"ドライブ名"-Personal Secure Drive.fsb
- 既定のファイル名:SpOwner_"コンピューター名".tpm
- 既定のファイル名:SpProtocol_"コンピューター名"_"ユーザー名"[."ドメイン名"].txt
これらのファイルの保存先の既定パス、または[参照]をクリックしたときの既定パスは、ドキュメント\Security Platform、またはリムーバブル メディアの\Security Platformです。
誤って上記フォルダーをEFS暗号化した場合やTPMソフトウェアのアーカイブ、緊急時復元用トークン、パスワードリセットトークン、パスワード リセット シークレットファイルを暗号化した場合、当社でデータを復元することはできません。
また、この場合のいかなる障害・損害に関しても、当社は一切の責任を負いかねますのであらかじめご了承ください。
基本ユーザーパスワードの有効期限に関するご注意
基本ユーザーパスワードの有効期限の初期値は、[無期限]になっています。
ステップ1:BIOS設定でTPMを有効にする
- 本機の電源を入れる。
- VAIOのロゴマークが表示されたらF2キーを押す。
BIOSセットアップ画面が表示されます。
BIOSセットアップ画面が表示されなかった場合は、F2キーを数回押してください。
- ←または→キーで[Security]を選択し、表示された画面で「Change TPM State」を[Enable]にする。
- ←または→キーで[Exit]を選択し、[Exit Setup]を選択してEnterキーを押す。
- 本機が再起動した後、確認画面が表示されるので、[Execute]を選択する。
BIOS設定内では、次の設定ができます。
- 設定をクリアした場合、TPMで暗号化されているデータに再びアクセスすることはできません。
TPMで暗号化されているデータが残っている場合は、必要に応じてデータのバックアップなどを行ってから、設定をクリアしてください。
TPMを有効にする場合は、設定を第三者に変更されることのないようパワーオン・パスワードを設定してください。
【詳細】
ステップ2:「Infineon TPM Professional Package」をインストールする
「C:\Infineon\Readme」のフォルダー内にあるReadme.txtファイルをよくお読みになった後、「C:\Infineon\setup.exe」にあるインストーラーをダブルクリックしてインストールを行ってください。
この操作を行うには、「コンピューターの管理者」など、管理者権限を持つユーザーとしてログオンする必要があります。
ステップ3:TPMの初期化・設定を行う
(スタート)ボタン−[すべてのプログラム]−[Infineon Security Platform ソリューション]−[ヘルプ]をクリックして表示されるヘルプをご覧いただき、お客様に必要な設定を行ってください。
- 初期化ウィザード終了後には、次の手順で必ず自動バックアップの設定をしてください。
デスクトップ画面右下の通知領域にある (TPMアイコン)を右クリックして表示されるメニューから、Windowsのマークの付いた[Security Platform を管理する]を選択する。
表示された画面の[バックアップ]タブをクリックして、[設定]をクリックする。
自動バックアップのスケジュールなどを設定する。
設定終了時に[自動バックアップを今すぐ起動]チェックボックスが表示された場合はチェックをつけ、バックアップファイルを更新してください。
これらの作業を行わない場合、バックアップファイルを使ったTPMの復元処理が正しく行われない場合があります。
- 設定したパスワードを忘れたり、バックアップファイルを紛失したりすると、TPMで保護されたデータを復元することができなくなります。パスワードは必ずメモを取るなどして、忘れないようにしてください。
また、バックアップしたファイルを他人に知られないように管理してください。
BitLockerでTPMを設定する
BitLockerは、Windows 7 Ultimateに搭載されている暗号化機能です。BitLockerを使うとすべてのドライブのデータを暗号化することができます。
BitLockerの設定や使いかたについて詳しくは、「Windows ヘルプとサポート」をご覧ください。
BitLockerを使用するときのご注意
- Infineon TPM Professional Package とBitLockerを同時に使う場合は、BitLockerをオンにする前にInfineon TPM Professional PackageでTPMの初期化を行ってください。TPMの初期化を行わずにBitLockerをオンにするとTPMの所有者パスワードがユーザーに提示されないため、Infineon TPM Professional Packageの設定ができなくなります。
- Infineon TPM Professional Packageでは、BitLockerで必要なファイル(回復パスワード)のバックアップは行いません。
- BitLockerの解除キーを保存したディスク(USBメモリーなど)は、BitLocker暗号化機能で暗号化しないでください。
USBメモリーをBitLockerの解除キーとして使用する場合
BitLockerの解除キーとしてUSBメモリーを使う場合、以下の手順でUSBメモリーから解除キーを読み込むことができるように設定してください。
- 本機の電源を入れる。
- VAIOのロゴマークが表示されたらF2キーを押す。
BIOSセットアップ画面が表示されます。
BIOSセットアップ画面が表示されなかった場合は、F2キーを数回押してください。
- ←または→キーで[Security]を選択し、表示された画面で「Change TPM State」を[Enable]にする。
- ←または→キーで[Boot]を選択し、表示された画面で「External Device Boot」を[Enabled]にする。
- 「Boot Priority」の「Internal Hard Disk Drive」を「External Device」より上位に設定する。
操作方法について詳しくは、「起動デバイスを変更する」
【詳細】をご覧ください。
リカバリーディスクを使ってリカバリーする場合は、「Internal Optical Disc Drive」を一番上に移動する必要があります。
- ←または→キーで[Exit]を選択し、[Exit Setup]を選択してEnterキーを押す。
- 本機が再起動した後、確認画面が表示されるので、[Execute]を選択する。
- 「Windows ヘルプとサポート」を参照して、BitLockerをオンにする。
- 回復パスワードの保存画面で、USBメモリーにパスワードを保存する。
以降、画面の指示に従って進むと、本機が再起動します。再起動した後、BitLockerの暗号化が始まります。
- VAIO Updateなどを利用してBIOSをアップデートすると、BIOSの設定が初期値に戻ります。その場合は、再度上記の手順を繰り返して設定し直してください。