セキュアブートとvTPM

セキュアブートは、システムの起動を担当するUnified Extensible Firmware Interface (UEFI) の機能です。これにより、起動プロセス中に信頼されたソフトウェアのみがロードされることが保証されます。

Trusted Platform Module (TPM) は、暗号化キーやその他の機密データを安全に保存するためのハードウェアチップです。仮想Trusted Platform Module (vTPM) はTPMと同じ機能を実行しますが、暗号コプロセッサ機能をソフトウェアで実行します。TPMはセキュリティを強化できますが、セキュアブートの要件ではありません。

サポートされているクラウドサービスの詳細については、以下を参照してください。

• AWSにおけるセキュアブートとNitroTPM
• グーグル クラウド プラットフォームでのセキュアブートと仮想TPM
• マイクロソフト アジュールでのセキュアブートと仮想TPM
• ヴイエムウェアにおけるvTPM
• ゼンサーバー向けセキュアブートとvTPM

AWSにおけるセキュアブートとNitroTPM

AWS環境では、NitroTPMおよび/またはUEFIセキュアブートが有効なマスターイメージ (AMI) を選択できます。したがって、カタログ内のプロビジョニングされたVMもNitroTPMおよび/またはUEFIセキュアブートが有効になります。この実装により、VMが保護され、信頼できるものになります。NitroTPMおよびUEFIセキュアブートの詳細については、Amazonドキュメントを参照してください。NitroTPMおよびUEFIセキュアブートが有効なカタログの作成については、VMインスタンスのNitroTPMおよびUEFIセキュアブートを有効にするを参照してください。

グーグル クラウド プラットフォームにおけるセキュアブートとvTPM

Google Cloud Platform (GCP) でシールドされた仮想マシンをプロビジョニングできます。シールドされたVMの検証可能な整合性は、次の機能を使用することで実現されます。

• セキュアブート
• vTPM対応測定ブート
• 整合性監視

シールドされたVMでカタログを作成するためのPowerShellの使用方法の詳細については、「シールドされたVMでカタログを作成するためのPowerShellの使用」を参照してください。

注：

マスターイメージにWindows 11をインストールする場合、マスターイメージ作成プロセス中にvTPMを有効にする必要があります。また、カタログ作成にマシンプロファイルを使用する場合、マシンプロファイルソース（VMまたはインスタンステンプレート）でvTPMを有効にする必要があります。単一テナントノードでのWindows 11 VMの作成については、「単一テナントノードでのWindows 11 VMの作成」を参照してください。

Microsoft Azure環境におけるセキュアブートとvTPM

Azure環境では、Trusted Launchが有効なマシンカタログを作成できます。Azureは、第2世代VMのセキュリティを向上させるシームレスな方法としてTrusted Launchを提供しています。Trusted Launchは、高度で永続的な攻撃手法から保護します。Trusted Launchを有効にするには、マシンプロファイルベースのカタログ構成を使用します。Trusted Launchの根幹には、VM用のSecure Bootがあります。Trusted Launchは、クラウドによるリモートアテステーションを実行するためにvTPMも使用します。これは、プラットフォームの健全性チェックと信頼に基づく決定を行うために使用されます。Secure BootとvTPMは個別に有効にできます。Trusted Launchでマシンカタログを作成する方法の詳細については、「Trusted Launchを使用したマシンカタログ」を参照してください。

ヴイエムウェアにおけるvTPM

MCSはvTPMを使用したマシンカタログの作成をサポートしています。マスターイメージにWindows 11がインストールされている場合、マスターイメージでvTPMを有効にすることが要件となります。マシンプロファイルベースの構成が使用され、vTPMが有効になっている場合、カタログ内のVMはVMテンプレートから同じvTPMコンテンツを継承します。マシンプロファイルが使用されておらず、マスターイメージでvTPMが有効になっている場合、カタログ内のVMは空のvTPMを持ちます。詳細については、「マシンプロファイルを使用してマシンカタログを作成する」を参照してください。

XenServer®におけるセキュアブートとvTPM

XenServerは、サポートされている一部のVMオペレーティングシステムでUEFI Secure Bootを提供しています。Secure Bootは、署名されていない、誤って署名された、または変更されたバイナリが起動中に実行されるのを防ぎます。Secure Bootを強制するUEFI対応VMでは、すべてのドライバーが署名されている必要があります。詳細については、「ゲストUEFIとSecure Boot」を参照してください。

XenServer 8では、UEFI Secure BootにvTPMは必須ではありません。ただし、vTPMをVMにリンクするには、Secure Bootが有効かどうかにかかわらず、そのVMがUEFIで起動されている必要があります。Windows 11 VMにはリンクされたvTPMが必要であり、提供されたテンプレートからWindows 11 VMが作成されると自動的に作成されます。他のオペレーティングシステムの場合、vTPMはオプションです。詳細については、「vTPM」を参照してください。