対象試験と出題頻度
TPMは、ITパスポート・基本情報技術者・応用情報技術者で出題されるテーマです。
「PCに搭載されたハードウェアベースのセキュリティチップ」というポイントを確実に押さえておきましょう。
応用情報技術者ではH30春期 問45・R2秋期 問44・R5春期 問41と、ほぼ同一の問題が繰り返し出題されています。
詳細をクリックして確認
ITパスポート
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
TPM(Trusted Platform Module)とは、一言で言うと
「PCのマザーボードに搭載され、暗号鍵の生成・保管やハッシュ演算などを行うセキュリティ専用チップ」
のことです。
イメージとしては、「PC内部に埋め込まれた小さな金庫」です。
たとえば、自宅の大事な書類や印鑑を、机の引き出し(=ソフトウェア)に入れておくと、泥棒に簡単に持ち出されてしまいます。
しかし、壁に埋め込まれた耐火金庫(=TPM)に保管しておけば、たとえ泥棒が侵入しても金庫ごと持ち去ることはできません。金庫自体がこじ開けようとすると中身が壊れる構造(=耐タンパ性)になっていれば、なおさら安全です。
TPMはまさにこの「壁埋め込み型の金庫」をPC内で実現しています。暗号鍵をソフトウェアとは別のハードウェア領域で管理することで、OSがマルウェアに侵されても鍵を盗み出せない仕組みを作っています。
📊 TPMの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Trusted Platform Module(信頼されたプラットフォームモジュール) |
| 形態 | マザーボード上に直付けされるハードウェアチップ(またはファームウェア実装) |
| 主な機能 | 暗号鍵の生成・保管、ハッシュ演算、暗号化/復号、デジタル署名、乱数生成 |
| 仕様策定 | TCG(Trusted Computing Group)が策定、ISO/IEC 11889 として国際標準化 |
| 現行バージョン | TPM 2.0(Windows 11のシステム要件として必須) |
解説
TPMが登場した背景には、「ソフトウェアだけで暗号鍵を守る限界」があります。
OSやアプリケーション上で暗号鍵を管理すると、マルウェアによるメモリスキャンやディスクの抜き取りで鍵が漏えいするリスクがつきまといます。
そこで、暗号鍵をソフトウェアから切り離し、独立したハードウェアチップの中で一貫して管理する発想が生まれました。これがTPMです。
TPMの主要な機能
TPMが提供する機能は多岐にわたりますが、試験で押さえておくべき柱は次の4つです。
📊 TPMの4つの主要機能
| 機能 | 内容 |
|---|---|
| 鍵ペアの生成・保管 | 公開鍵と秘密鍵のペアをチップ内部で生成し、秘密鍵をチップ外に出さずに保管する。鍵が外部に漏れる経路を物理的に遮断している |
| 暗号化・復号 | チップ内部で暗号化と復号を完結させる。WindowsのBitLockerによるドライブ暗号化で活用される代表的な機能 |
| ハッシュ演算・改ざん検知 | OSやファームウェアの起動時にハッシュ値を計算し、改ざんがないかを検証する。セキュアブートの基盤となる処理 |
| プラットフォーム認証 | チップ固有の鍵で端末そのものを識別し、なりすまし端末によるアクセスを防止する |
ここだけは確実に押さえてください。
中でも「鍵ペアの生成」は、過去問で繰り返し正解選択肢として出題されている最重要ポイントです。
耐タンパ性とは
TPMを語るうえで欠かせないキーワードが「耐タンパ性」です。
タンパ(tamper)は「不正にいじる」という意味で、耐タンパ性とは外部からの物理的な攻撃に対する耐性を指します。
TPMはチップを分解して内部データを読み取ろうとすると物理的に破損する構造になっており、ソフトウェア攻撃だけでなくハードウェアレベルの攻撃にも強いのが特徴です。
HSM(Hardware Security Module)との違い
TPMと混同しやすい用語にHSM(Hardware Security Module)があります。
どちらも「ハードウェアで暗号鍵を守る」という共通点がありますが、用途とスケールが大きく異なります。
📊 TPM vs HSM の比較
| 比較項目 | TPM | HSM |
|---|---|---|
| 形態 | マザーボード上の小型チップ | 独立した外付け装置やサーバー搭載型 |
| 用途 | 個々のPCやデバイスの保護 | サーバーや認証局(CA)など大規模な暗号処理 |
| 処理能力 | 限定的(端末保護に特化) | 高性能(大量の暗号処理に対応) |
| 例えるなら | 自宅の壁埋め込み金庫 | 銀行の大型金庫室 |
試験対策としては「TPM=端末内蔵の小型チップ」「HSM=大規模な外付け暗号装置」という違いだけ分かっていれば十分です。
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 TPMの核心を3行で
・マザーボード上に搭載されるセキュリティ専用チップで、暗号鍵をハードウェア内に閉じ込めて守る
・鍵ペアの生成・暗号化/復号・ハッシュ演算・プラットフォーム認証が主な機能
・チップへの物理攻撃にも耐える「耐タンパ性」がソフトウェア方式との決定的な違い
📌 試験対策のポイント
試験では、TPMの内部構造や実装方法までは問われません。
「マザーボード上のセキュリティチップで、鍵生成・ハッシュ演算・暗号処理を行う」という定義と、紛らわしい選択肢(UTM、SIEM、SPFなど)との区別ができれば得点できます。
試験ではこう出る!
TPMは、応用情報技術者の午前試験で繰り返し出題されている定番テーマです。
出題パターンが非常に固定化されているため、一度覚えれば確実に得点できます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| ITパスポート R1秋 問73 |
「IoT機器やPCに保管されているデータを暗号化するためのセキュリティチップ」の説明に該当するものを選ぶ問題。選択肢にGPU・NFC・TLS・TPMが並んだ。 | ・TPMは「セキュリティチップ」 ・暗号鍵をチップ内部に保存 ・外部から取り出し困難な構造 |
| 応用情報 H30春 問45 |
「TPMに該当するものはどれか」と正面から定義を問う問題。選択肢にセキュリティチップ・SPF・UTM・SIEMが並んだ。 | ・TPMの定義(鍵生成・ハッシュ演算・暗号処理) ・SPF/UTM/SIEMとの区別 |
| 応用情報 R2秋 問44 |
H30春 問45とほぼ同一の出題。選択肢の文言も同じ構成で再出題された。 | ・同上(繰り返し出題を確認) |
| 応用情報 R5春 問41 |
三度、同じ形式で出題。選択肢構成も過去2回とほぼ共通。 | ・同上(3回目の再出題) |
| 情報処理安全確保支援士 H29春 午前II 問4 |
「TPMがもつ機能はどれか」を問う問題。選択肢に共通鍵の交換・鍵ペアの生成・デジタル証明書の発行・乱数送信が並んだ。 | ・TPMの機能は「鍵ペアの生成」 ・CA(証明書発行)やネットワーク機能とは別物 |
注目すべきは、応用情報では「TPMに該当するものはどれか」というまったく同じ形式が3回出題されている点です。
正解は毎回「PCなどの機器に搭載され、鍵生成、ハッシュ演算及び暗号処理を行うセキュリティチップ」です。
不正解の選択肢も固定されており、「送信ドメイン認証技術」(=SPF)、「複数のセキュリティ機能を統合したネットワーク監視装置」(=UTM)、「ログデータを一元管理し相関分析を行うシステム」(=SIEM)がお決まりのパターンです。
【頻出キーワード】
- セキュリティチップ(ハードウェアベース)
- 鍵生成・ハッシュ演算・暗号処理
- マザーボード上に搭載
- 耐タンパ性(物理的な改ざん耐性)
- 秘密鍵をチップ外に出さない
試験問題で「PCなどの機器に搭載され、鍵生成、ハッシュ演算及び暗号処理を行うセキュリティチップ」という記述があれば、それは「TPM」です。逆に、「ネットワーク監視装置」「送信ドメイン認証」「ログの相関分析」という記述が出たら、それぞれUTM・SPF・SIEMであり、TPMではありません。
📝 IPA試験での出題パターン
午前問題では「TPMに該当するものはどれか」という知識問題が鉄板です。
選択肢の顔ぶれ(SPF・UTM・SIEM)もほぼ固定なので、これら4つの用語を区別できるだけで正解できます。支援士試験では「TPMがもつ機能はどれか」と、より踏み込んだ機能レベルの出題になります。
「鍵ペアの生成」が正解で、「デジタル証明書の発行」(=CAの役割)は不正解という区別が問われました。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. TPM(Trusted Platform Module)に関する説明として、最も適切なものはどれでしょうか?
- A. PCなどの機器のマザーボード上に搭載され、暗号鍵の生成・保管やハッシュ演算、暗号処理を行うセキュリティチップ
- B. ファイアウォールや侵入検知、マルウェア対策など複数のセキュリティ機能を一台に統合したネットワーク監視装置
- C. 各種機器のログデータを一元的に収集・管理し、セキュリティイベントの相関分析やアラート通知を行うシステム
正解と解説を見る
正解:A
解説:
TPM(Trusted Platform Module)は、マザーボード上に搭載されるセキュリティ専用チップで、暗号鍵の生成・保管、ハッシュ演算、暗号化/復号を行います。秘密鍵をチップの外に出さない設計と耐タンパ性が最大の特徴です。応用情報技術者H30春 問45・R2秋 問44・R5春 問41のいずれでも、この記述が正解でした。
選択肢Bは「UTM(Unified Threat Management:統合脅威管理)」の説明です。UTMはネットワークの境界に設置する装置であり、マザーボード上のチップであるTPMとは根本的に異なります。選択肢Cは「SIEM(Security Information and Event Management)」の説明です。SIEMはログの収集・分析に特化したシステムであり、暗号処理を行うTPMとは役割がまったく違います。
よくある質問(FAQ)
Q. Windows 11でTPM 2.0が必須になったのはなぜですか?
MicrosoftはWindows 11のセキュリティ基盤としてTPM 2.0を必須要件に設定しました。BitLockerによるドライブ暗号化、Windows Hello(顔認証・指紋認証)の資格情報保護、セキュアブートによるOS起動時の改ざん検証——これらの機能がすべてTPMに依存しているためです。「ソフトウェアだけでなくハードウェアレベルで端末を守る」というOSの設計思想が背景にあります。
Q. TPMのバージョン(1.2と2.0)にはどんな違いがありますか?
TPM 1.2はRSAとSHA-1に限定されていましたが、TPM 2.0ではECC(楕円曲線暗号)やSHA-256など複数のアルゴリズムに対応し、柔軟性が大幅に向上しています。IPA試験ではバージョンの違いまでは問われませんが、「TPM 2.0が現行標準」という認識は持っておくと安心です。
Q. 「セキュアブート」とTPMはどう関係していますか?
セキュアブートは、PCの電源投入時にファームウェアやOSが改ざんされていないかを検証して、不正なソフトウェアによる起動を防止する仕組みです。この検証処理の中で、TPMが計算・保管しているハッシュ値と照合することで改ざんの有無を判断します。セキュアブートが「門番」なら、TPMは門番が参照する「名簿」の役割です。
Q. 自分のPCにTPMが搭載されているか確認する方法は?
Windowsの場合、「Windowsキー + R」で「ファイル名を指定して実行」を開き、「tpm.msc」と入力してEnterを押すと、TPM管理ツールが起動します。「TPMが使用できる状態です」と表示されれば搭載済みです。バージョン情報もここで確認できます。
