TPM 2.0脆弱性

Windows 11要件TPM 2.0に、深刻度「重要」の脆弱性が発見されました。更新プログラムの迅速な適用が必要です。

原因:バッファオーバーフロー

Windows 11アップグレード要件にもなっているTPM 2.0ライブラリ内のバッファオーバーフロー起因だそうです(CVE-2023-1017、CVE-2023-1018)。

ウィキペディアにバッファオーバーフロー具体例が示されています。MCU開発で使われるC言語でも、簡単に起こりうるバグです。

対策:更新プログラム適用

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁

2023年2月末、このTPM 2.0脆弱性対策に、CISA:米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁は、更新プログラムの迅速な適用、場合によってはTPM工場出荷時リセットを指摘しています。

TPMには、個人情報などのWindows機密データが保存されています。

更新プログラム適用と不揮発性メモリへの機密データ再書込みが必要になりそうです。対象デバイスは、TPM 2.0実装済みのWindows PC数十億台規模になる可能性もあります。

関連投稿:WindowsのTPM使い方

TPM機能(出展:PC Watch記事)
TPM機能(出展:PC Watch記事)

懸念事項

PCベンダ対策が遅れ気味なこと、TPM 2.0更新が上手く成功するかが気になります。

一般的なWindows更新でも失敗はあります。ましてUEFI/BIOS更新と同様、TPM更新は、PCハードウェア根源レベルの更新です。万一の失敗時、PC起動不能もあり得ます。

また、TPMは、BitLockerなど普段あまり意識しないセキュリティにも関連します。TPM更新に成功した場合でも、TPM更新前ユーザファイルを確実にリカバリできる準備なども必要になるかもしれません。

関連投稿:BitLockerトラブル

安易にTPM更新を行った結果、機密データが消えるだけでなく、自分のデータも消え失せるリスクがある「重要更新」だと思います。PCベンダ対策が遅れ気味なのも、多少理解ができます。

Windows 12新要件

Windows 10、11、12、Linux?
Windows 10、11、12、Linux?

メタバースやAI活用検索などの新機能搭載やセキュリティ強化Windows 12 2024年秋リリースと予想できそうなニュースが増えてきました。

仮に今回の数十億台規模Windows 11 TPM 2.0更新が不成功なら、PCベンダやMicrosoftは、Windows 12アップグレードの新要件として、TPM 2.0の次バージョン(例えば、根源レベル更新強化TPM 3.0など)採用などへ発展する可能性のあるインシデントだと筆者は思います。



Windows 11 22H2更新2ヶ月

最新Windows 11 22H2大型更新の一般公開は、2ヶ月前の2022年9月21日。弊社3PCを手動にてWin11 22H2へ更新後、2か月経過状況を示します。

Win11 3PC状況

Windows 11 22H2大型更新後、2ヶ月間に配布されたUpdateと現在のPC状況
Windows 11 22H2大型更新後、2ヶ月間に配布されたUpdateと現在のPC状況

Win11更新後、2ヶ月間に配信された9件のWin11 Updateと、現在のPC状況です。

3PC中、1台はWin11アップグレード要件を満たしていませんが、3PCとも上記状況です。また、3PCともWin11に、今日現在不具合はありません。

他のPCと同様、TPM要件未達PCでも、Win11にアップグレードできUpdateも2ヶ月間の更新の履歴から正常に適用できたことが判りました。

関連投稿:Win11 22H2手動大型更新方法

3種の累積更新プログラム:B、C、定例外(Out of Band)

Windows Updateは3種類あり、この2ヶ月間に提供されたWin11 Updateは、これら3種類全てを含みます。

  • Bリリース:毎月第2水曜(日本時間)配布。適用必須。
  • Cリリース:Bリリース以外の月例配布。適用任意。
  • 定例外(Out of Band)リリース:B/C以外の緊急配布。適用必須。

最初の図のKB5019509が定例外、KB5019980/KB5020622/KB5018427がBリリース、それ以外がCリリースです。弊社は、Cリリースでも配布時に即適用する方針です。

Microsoftは、2023年のBリリース配布スケジュールを公開しています。Bリリース内容が重要だからです。

2023年1月11日、2月15日、3月15日、4月12日、5月10日、6月14日、7月12日、8月9日、9月13日、10月11日、11月15日、12月13日(全て日本時間)。

PCを運用していれば、定期的にPC自身がWindows Updateチェックを行います。従って、これら日程のカレンダー登録までは不要だと思います。

但し、Bリリース重要性、適用必須はお忘れなく!

関連投稿:Windows重要パラメタ

結論:Win11 22H2更新後2ヶ月実績

Windows11無償アップグレード完了
Windows11無償アップグレード完了

Win11要件を満たすPCと同様、アップグレード要件未達PCであっても、Rufus利用で最新Win11へ手動更新でき、Updateなども問題なく適用できることが、この2ヶ月間で判りました。

OSコアがWin10と同じWin11の操作性は、Win10と大差ありません。Win10アプリケーションも、Win11で動作します。新しいOSに慣れる目的なら、Win10との機能差が少ないWin11は適しています。

関連投稿:Rufus利用Windows 11要件未達PCアップグレード方法Windows 11ペイント改善

新PC購入はWindows 12発表後

Win11アップグレード要件、特にセキュティ関連が厳しくWin10のまま使い続けるユーザも多いと思います。

Win10は、2025年10月14日にサポート終了、残り3年です。ちなみにWin10 22H2でも、2024年5月14日までの18ヶ月サポートです。残り3年の間にWin11対応新PC購入が、多くのユーザアクションでしょう。

ただ、Win10比セキュリティ強化のWin11は、関連投稿Rufus利用の無理やりアップグレードでも本稿で示したように十分に使えます。無理やりアップグレードの不安は、累積更新プログラムの適用、万一に備えたバックアップなど、基本的PC運用で小さくできます。

要件を満たすWin11 PC2台と無理やりアップグレードWin11の3PC 2ヶ月間運用実績、Win11無償アップグレード終了の可能性なども考慮すると、Win10継続利用にこだわる必要はないと思います。

新PC購入は、2024年予定のWindows 12発表後が良いかもしれません。Win12では、セキュリティ強化だけでなく、新たなWindows魅力機能が提供され、その魅力に見合う新しいPCハードウェアが必要になると思うからです。

関連投稿:TPM 2.0の古さWindows 12



Windows 11非対応PCアップグレード後3ヶ月

Windows 11非対応PCアップグレード後3ヶ月
Windows 11非対応PCアップグレード後3ヶ月

本稿は、Windows 11非対応PCアップグレード後の3ヶ月状況、Win11 GUI変更ツール、次期Windows 12/13情報などをまとめます。

今年の4月15日、Windows 11アップグレート要件を満たさないWin10 PCを、強引にWin11 21H2へアップグレード後、3か月が経過しました。この期間、トラブルも無く安定動作しています。

今秋大型更新Windows 11 22H2の情報も出回ってきました。評判が悪いモニタ下タスクバー固定は、変わりそうにありません。つまり、次期Win 11 22H2もタスクバー右配置は期待できません。

2024年Windows 12

Windows 12開発着手は、コチラで投稿しました。7月15日、Microsoftが、新しいWindowsを3年周期でリリースするかもしれないという情報も入ってきました。つまり、2024年Windows 12リリースの可能性です。

Microsoft は、「最後のWindowsはWindows 10を破棄」しましたので当然の事かもしれません。

Win11は、OSコアがWin10の流用です。メタバースなどの新世代クラウドエッジクライアントOSとして旧Win10コア流用は中途半端、ハードウェアの世代交代が激化する昨今、OSコア進化も必然の気がします。

事実、今年発売のIntel 12世代プロセサは、11世代から大きく性能向上し、新発売のノートPCは、こぞって12世代を採用しています。Microsoftが、プロセサ性能向上分を新コア設計へ適用しWindows 12をリリースしても不思議ではありません。

Windows 11非対応PCアップグレード後3ヶ月状況

Win11アップグレード要件を満たさないPCは、2025年10月14日、Win10サポート終了までがその寿命です。アップグレード非対応PCを、「Win10アプリケーションとデータ維持」の条件で強引にWin11 21H2へアップグレードし、延命可能かの評価が前投稿でした。

前投稿、1週間の評価結果抜粋が、下記です。

・Win10アプリ(MCU開発アプリ含む)は、Win11 21H2でも正常動作
・アップグレード後のWindows Updateは、問題なく動作
・悪評ツールバー下固定など使いにくいGUIは、次期更新22H2で改善期待

3か月経過したPCの状況が、下記です。

・Win10アプリ(MCU開発アプリ含む)更新なども正常動作
・Windows Updateも問題なく動作

Window 11 Update正常動作
Window 11 Update正常動作

つまり、要件未達PCをWin11 21H2に強制アップグレードしても、何ら問題なく運用できています。

残る課題は、このPCが次期Win11 22H2へ更新できるか否かです。これは、今秋結果が判り次第レポートします。なお、本PCは、TPM 2.0が未達要件です。従って、Win11 22H2大型更新時に、TPM足切りがあるかが判明します。

Windows 11 GUIカスタマイズツール

様々なWindows GUIカスタマイズツールがあります。お勧めが下記2ツールで、使用感がかなり改善されます。これらツールを使うと、従来操作性も維持しながら、新しいWin11 GUIへの移行も容易です。

Winaero Tweaker-1.40.0.0 (Win11対応済み)
Open-Shell-Menu(Win11未対応、旧名:クラシックスタートメニュー)

OSは、アプリの動作基盤にすぎません。

タスクバー下固定のような操作性悪化Win11 GUI変更に対し、これらツールが役立ちます。

Winaero Tweaker

Winaero Tweaker v1.40.0.0
Winaero Tweaker v1.40.0.0

Winaero Tweakerは、メニュー表示やタスクバー位置変更ができるツールです。1.40.0.0では、タスクバーのモニタ上変更が可能です。左右はまだNGです。

その他、多くのWin11 GUIカスタマイズが可能ですので重宝します。

Open-Shell-Menu

クラッシックスタートメニュー 4.4.170
クラッシックスタートメニュー 4.4.170

スタートメニューカスタマイズツールが、Open-Shell-Menuです。クラシックスタートメニューからOpen-Shell-Menuへ名称が変わりました。Windows 11未対応ですが、Win11 21H2で動作します。

Windowsボタン+Shiftで、下記Win11オリジナルスタートメニュー操作も可能です。

Windows 11オリジナルスタートメニュー
Windows 11オリジナルスタートメニュー

まとめ

TPM 2.0要件未達Windows 10 PCを、アプリケーションとデータ維持のままWindows 11 21H2へアップグレード後3ヶ月間運用し、各種Win10アプリ正常動作、Windows Updateも問題なく安定動作中です。

Windows 11の使い勝手は、GUIカスタマイズツールを使うと改善できます。

残る課題は、このPCが今秋予定Windows 11大型更新22H2可能か否かです。TPM要件未達のため、大型更新できない可能性は残っています。

OSコア設計とTPM 2.0の古さ

Win10とWin11は、同じOSコアです。Win11でのWin10アプリ動作は、本稿で示したように当然とも言えます。

一方、セキュリティ対策は、終わりが無く、常に新しい攻撃への防御更新が必要です。

COVID-19で急拡大したテレワークなどの新しいPC環境やメタバースに対し、2014年リリースTPM 2.0と、毎年大型更新したとはいえ2015年基本設計のWin10 と同じOSコアのWin11で、セキュリティ上十分かは疑問です。

プロセサ性能向上が著しい今、ハードウェア的なセキュリティは、2014年のTPM 2.0よりも、例えば、PlutonプロセサIntel vProAMD Proなどの最新セキュリティ強化プロセサが登場しています。これらを活かすOSコア刷新版が、2024年Windows 12かもしれません。

Windows MeやVista経験も持つMicrosoftです。Win11アップグレート要件TPM 2.0は破棄、Win11はWin10からのGUI変更、Win12で抜本的OSコアセキュティ刷新へと段階的リリースを行えば、多くの既存Winユーザにも受け入れられるシナリオになると思います。

筆者推測ですが、通常のWindows Updateが問題なく動作することから、Win11の「OSコア深層を変更しない限りTPM非動作」だと思います。TPM動作更新は、手順が複雑な分、Update失敗リスクも高いからです。

今秋Win11 22H2でTPMのため大型更新できない場合は、TPM回避更新ツールなどを探し対応する予定です。

Windows 11非対応PCアップグレード

要件未達PCのWindows 11アップグレード
要件未達PCのWindows 11アップグレード

Windows 11要件を満たさないWindows PCの寿命は、2025年10月14日までの残り3年半です。Windows 10が快適に動作するPCでも、この寿命は同じです。

延命するには、強引にWindows 11へアップグレードするか、または、Linux載せ替えの2択です。Linux化は、専用機を用いて載せ替えリスクを評価中です。

本稿は、Windows 11要件未達PCのアップグレード結果をレポートします。

下記内容です。
①:結論(Windows 11要件未達PCをアップグレードして使えるか?)
②:アップグレードWindows 11 21H2のWindows 10アプリケーション動作
③:Windows 11 21H2利点と欠点
④:アップグレート方法
⑤:Windows 11要件未達PCアップグレード所感

①:結論(Windows 11要件未達21H2アップグレードのまとめ)

本稿の目的は、Windows 11要件を満たさないPCを、Windows 10アプリケーションとデータを維持したまま11へアップグレードしても使えるか、つまり、Windows PC延命ができるか否かを評価することです。

総括結論が、以下です。
Windows 11要件未達PCをアップグレードしても、Windows 10アプリは正常動作、2022年4月時点では、Windows 11 21H2として運用できる。

*  *  *

詳細が、以下です。
Windows 11は、年1回、予定では今秋に大型更新を行います。誰もが入手できる最新機能確定版は、Windows 11 21H2です。本稿もこの21H2で試行しました。

対象は、TPM 2.0実装無し以外は、Windows 10 21H2が正常・快適に動作するPCです。

1週間の試行中、TPM 2.0有無がWindows 11のWindows Updateなど運用上、問題を与えることはありませんでした。また、Windows 10で動作したMCU開発ツールは、Windows 11上でも正常動作しました。

その他、モニタ下側だけのツールバー位置固定などWindows 11に使いにくい点は、多々あります。ただ、慣れの問題で許容範囲内とも言えます。年1回の大型機能更新で、これら欠点は改善されるかもしれません。

アップグレードWindows 11運用はOK
アップグレードWindows 11運用はOK

追記が、以下です。
Microsoftは、TPM回避Windows 11アップグレード方法を公開するなど、Windows 11要件は、現在曖昧です。しかし、ウクライナ危機により、より強固なセキュリティ要件を設定する可能性があります。曖昧なのは、共産圏へのWindows 11販売に配慮した結果と推測するからです。

従って、あくまで投稿時点のWindows 11 21H2要件未達PCでの結果であることに留意してください。

本投稿と同じ要件未達PCアップグレート評価を、今秋11大型更新後の22H2に再適用する予定です。結果が変わるかは、お楽しみです。

②:MCU開発ツール動作

弊社は、MCU開発ツールの動作環境としてWindows PCを利用します。

各社MCU開発ツールの公式推薦動作環境は、投稿時点はWindows 10です。そこで、アップグレートWindows 11で、MCU開発ツールが正常に動作するかをテストした結果が下記です。

・NXP)MCUXpressoIDE_11.5.0_7232動作
・ST)STM32CubeIDE_1.9.0動作
・Renesas)e2studio_v2022-01_fsp_v3.6.0動作

その他、LibreOffice等のWindows 10アプリも、Windows 11で正常動作しました。

また、アップグレード後、Windows Updateも問題なく動作します。

③:Windows 11 Pros Cons

Windows 10ユーザの立場から、Windows 11 21H2利点と欠点を評価します。

利点は、使い慣れたWindows PC寿命が、とりあえず延びることです。

欠点は、セキュリティ強化以外のWindows 11設計指針が見えないことです。Windows 10の何をどのような目的で改良したかが不明確なので、使いにくいと感じる箇所が多々あります。コチラの記事に対策がまとまっています。

Windows 10(左)とWindows 11(右)フォルダ比較
Windows 10(左)とWindows 11(右)フォルダ比較

また、従来は真四角のフォルダ表示が、角が丸みを帯びた表示に変わるなど、グラフィック能力を無駄に消費していないかも不安です。

④:要件未達PCアップグレート方法

Windows 11要件を満たさない、つまり、TPM 2.0無し、セキュアブート無しWindows 10のアップグレード方法を示します。Microsoft公式方法以外でも、いろいろな方法があります。簡単なのが、下記ツールの利用です。

使用ツール:Rufus v3.18

Windows 11インストール準備完了
Windows 11インストール準備完了

ツールの使い方は、リンク先を参照ください。ローカルアカウントのWindows 10起動状態でRufus作成のUSBを実行すると、アプリとデータを維持したままローカルアカウントでWindows 11へアップグレートできます。アップグレード完了までのクリック回数は3回、1~2時間程度で完了します。

Windows 11アップグレート後、再度Windows Updateを実行し、PCを最新の状態にしてください。

タスクマネジャーを見ると、ユーザ処理が無くてもSystemプロセス負荷が20%位とやや高い状態が半日程度続きます。半日後、通常状態に落ち着きます。

⑤:Windows 11要件未達PCアップグレード所感

Windows 11要件を満たさないPCでも、ツールを使うと簡単にWindows 11 21H2へアップグレートできました。アップグレード手順は、Windows 10手動大型更新と殆ど同じです。

Windows 11は、Windows 10と比べると使い辛さがあります。この点を我慢すれば、TPM 2.0など11アップグレード障壁は、投稿時点では思ったより高くなさそうです。

逆に11要件未達PCなら、今すぐリスク覚悟でWindows 11へアップグレートするよりも、最新Windows 10で安全・安心な公式サポート終了2025年10月頃まで運用し、その後11へアップグレードしても良いと感じました。

Windows 11要件未達PCのアップグレートによる「生産性、操作性向上分」対「リスク」では、リスクが上回ると思います。

Windows 10、11、12

Windows 10、11、12、Linux?
Windows 10、11、12、Linux?

Windows 11リリース後、数か月が経過しました。早くもMicrosoftは、次期Windows 12開発着手の情報もあります。そこで、Windows PCの使い方をまとめます。何をどう対処すべきかの指針を、整理するためです。

Windows 11問題

筆者PCの使い方では、TPM以外のWindows 11問題は、タスクバーとMicrosoftのユーザカスタマイズを拒む姿勢です。Windows HelloやBitLockerは、使いません。が、今後セキュリティ比重は増しますので、TPM 2.0導入は我慢できます。

しかし、利用頻度が高いタスクバーがWindows 10のようにカスタマイズできない点と、それを強要するMS姿勢は、OSシェア断然トップのWindowsらしくありません。

過去アップグレード後のWindowsは、各種カスタマイズが容易でした。ところが、アップグレード時、MSアカウント必須に変われば、Hello利用やOneDrive接続、ユーザフォルダ名などもMS推薦設定になります。

10とコア共通のWindows 11リリース後、上記以外にもブラウザEdge、検索エンジンBing設定などにユーザカスタマイズを拒む姿勢変化が見られます。いずれも、Chrome、Google検索に比べ低シェアのためでしょう。

例えると、Macはクリエイター向けオートクチュール、従来Windowsはユーザがカスタマイズ容易なプレタポルテでした。ところが、Windows 11は、カスタマイズを許容しません。MSが想定した通りのメガネ(検索エンジン)と上着(タスクバー)を着なさい、と言っているようなものです。

従来Windowsユーザの生産性向上に反したMSの姿勢です。うがった見方をすれば、これはWindows 12の布石かもしれません。つまり、12は過去Windowsしがらみを切った全く新しいOSへ変わる可能性です。

解決DeadlineとOS利用形態

上記のようにカスタマイズを拒むWindows 11と10の混在利用は、効率を下げるため避けたいです。OS検討Deadlineは、Windows 10サポート終了の2025年10月です。

それまでのOS状況を整理すると、3利用形態があり得ます。

形態1:Windows 10を2025年10月まで利用

2025年10月14日まで、いかに上手くWindows 10を活用するかの特集が公開されました。

年1回へ減ったWindows 10大型更新さえ行えば、殆どのユーザが、従来の基本的OSメインテナンス実施でDeadlineまで安全に使えます。

Windows 10をサポート終了まで使う意味で、重要な記事です。Windows 10の手動による大型更新方法は、コチラの関連投稿を参照ください。

形態2:Windows 11アップグレード

未完成OSがWindows 11です。ユーザ反応をMSが見たうえで機能変更や追加を随時行っていきます。この方法も、従来新OSに無い新しいMS姿勢です。

悪評タスクバーが、改善されるかがポイントです。年1回のWindows 11大型更新は、Windows 10からのアップグレード採否を見極める機会にします。

また、使用中PC買換えタイミングもこの3年半に重なります。故障前に新PC購入が必要です。日本では、春と年末商戦時が、時期的に良いと考えています。

形態3:Windows 12アップグレード

現在のWindows 11は、Windows MeやVistaになるかもしれません。MSのWindows 12開発着手が、従来比、早いのか遅いのかも不明です。

しかし、11が不評で、中途半端なOSであることは確かです。Windows 12は、当然OSコア刷新、セキュリティもメタバース向けに強化した新世代OSになると思われます。インターネット進化版メタバースは、コチラの関連投稿を参照ください。

PCハードウェア仕様が許せば、11を飛ばして、12へアップグレートする可能性もあり得ます。

Plan B:Linux PC乗換え

Windows 10は、Deadline後は使えません。11や12アップグレートが困難な時は、WindowsからLinuxへ乗換えます。

現行PCのハードウェア仕様は、Linux化に問題ありません。詳細は、専用Linux Mint 20.3を使って評価します。Linux上でWindowsソフトを動作させるWine 7.0なども活用予定です。

まとめ:OS対策3指針

Deadline は、Windows 10サポート終了2025年10月14日、残り3年半です。PC OS対策は、保守的か革新的かで、指針が別れると思います。筆者は、以下3指針で臨みます。

指針1:11見極め・・・・・・2022年秋、23年秋、24年秋、25年秋
Windows 11初回大型更新の今秋まで現行Windows 10 21H2利用、11アップグレード採否は、大型更新内容で判断。この判断は、年1回の11大型更新毎に再検討。

指針2:12情報取集とLinux乗換リスク評価
Deadlineまでに11アップグレードを行わない場合は、Windows 12に期待するか、または、Linux PCへ乗換え。実務移行問題洗い出し専用Linux PC:Linux Mint 20.3/4/5で乗換リスク評価。

指針3:11 カスタマイズ性見極め
DeadlineまでにPCハードウェア新規購入の場合は、最新ハードウェア(Microsoft Plutonプロセサなど)搭載Win 11機とし、使い慣れたWin10カスタマイズがどの程度可能かを探る。

予定より少し早く新PCを調達し、指針3の11 カスタマイズ性の見極めを行う予定です。

メタバースとIoT

コロナ過での海外出張、特に日本帰国時が大変です。(少し長い!)出国時帰国時記事で良く判ります。デジタル達人でさえこうですから、一般人の肉体的、精神的負担は計り知れません。

COVID-19が生んだコンタクトレス・テクノロジ、メタバースやアバターは、パンデミック社会生活の負担解消が目的です。また、IoTとも無関係ではありません。

インターネット進化版メタバース

インターネット進化版メタバース構成
インターネット進化版メタバース構成

電子メールやウェブサイトを生んだインターネット、その進化版がメタバースです。世界中のコンピュータやネットワーク内で構築される3次元仮想空間とその提供サービスです(Wikipediaより)。

SNSのMeta(旧Facebook)やMicrosoftが、メタバースに注力するのは、必然です。巨大インターネット企業GAFAMの次の収入源、ビジネス領域だからです。
※Metaverseは、meta(超)+universe(宇宙)の造語。
※GAFAMは、Google、Apple、Facebook、Amazon、Microsoftのこと。Big Fiveとも呼ばれる。

これら企業のメタバースは、「現実」の人の移動や接触無しに、安全でより効率的な社会生活ができる「仮想空間」をリアルに提供します。仮想空間内の「本人」が、アバターです。

インターネット進化版メタバースは、COVID-19パンデミック規制が例え終息したとしても、ウイルス耐性を持つ仮想空間による新しい社会生活基盤を全世界に与え、経済活動もこの中で行われます。電子メールやSNS、ウェブサイト同様、生活必需基盤となるでしょう。

メタバース内のなりすまし防止、安全性や本人を保証する要素技術がセキュリティです。メタバース入口のWindows 11のTPMもその1つと言えそうです(Windows 11 TPMは、コチラの関連投稿を参照)。

デジタル後進国日本

江戸時代の鎖国や国民性も影響しているデジタル後進国日本は、最新情報の海外調達でも障害や人的負担が大きいことが、最初の2記事から判ります。

アジア唯一のG7国:日本も、最新情報を遅延なく入手し続けないと、後進化に拍車がかかるかもしれません。※劣化日本の傾向と対策は、お時間があればコチラの関連投稿も参照ください。

AI翻訳も身近になりましたが、IoT MCU開発者は、和訳に拘らず英文による情報入手が効率的なのは明らかです。

IoT進化

全てのモノがインターネット接続するIoTも、メタバースにより進化します。

現在は、主に自動車や産業機器などの「人間以外」のモノが対象です。メタバースでは、これら対象に「人間」も加わります。例えば、2~3年後実現の舐めると味がするテレビ。人間の味覚もネットで繋がります。

IoTデバイスは、モノのセンサデータAD化とネット登り方向への送信が主でした。メタバースにより、人間相手の下りデータDA化やGUIなども重要になりそうです。上下データ同時制御や高度GUIには、IoT MCU高性能化も必要です。

ゲームヘッドセットの視覚、聴覚の仮想化
ゲームヘッドセットの視覚、聴覚の仮想化

現在のゲームヘッドセットが提供する視覚、聴覚の仮想化に加え、触覚、味覚、嗅覚などの五感も仮想化できれば、より人間が使いやすいメタバースになります。

更に、エッジ/クラウドAIやロボット技術も加えれば、モノ対人間、人間(アバター含む)同士、人間対モノの繋がり実現のメタバースは、無限の可能性をIoTデバイスへ与えます。

同様に、

・熱さ・冷たさを判断する感覚
・空間の中で、自分の体がどこにあるのかを把握する感覚
・身体のバランスをとるための平衡感覚

など、五感に加えメタバースとの相性が良い三感覚の研究もあります。これらは、IoTデバイスとも相性が良さそうです。

メタバースは、モノから人間を対象に加えたIoTデバイスへ、多大なインパクトを与えると思います。

TPM SoC Microsoft Plutonプロセサ搭載PC 5月発売

Microsoft Plutonプロセサとは、Windows 11アップグレート要件のTPMとCPUをSoCで一体化し、より強固なセキュリティを実現したWindows PCのことで、2022年5月発売予定のRenovo ThinkPad Z16/Z13が初のPlutonプロセサ搭載PCです。

Microsoft Plutonプロセサ

Microsoft Pluton(出展:Microsoft News Centor)
Microsoft Pluton(出展:Microsoft News Centor)

現行のTPMは、CPUとは別チップです。このため、TPMセキュリティを破る方法が公開されています。

この対策にMicrosoftは、TPMをSoC(System on Chip)でCPUと一体化した「Microsoft Plutonプロセサ」を、AMD、Intel、Qualcommと共同開発すると2020年11月に発表しました。

Microsoft Plutonプロセサ搭載PCのSoCセキュリティサブシステムの更新は、Windows Updateと連動しており、定期的なシステムセキュリティ更新が実行されます。

スマホ、Xbox標準のセキュリティ一体化プロセサ

SoCでセキュリティ機能を一体化したプロセサは、スマホでは標準的、ゲーム機のMicrosoft Xbox Oneでも2013年に既に導入済みです。また、コチラの関連投稿4章:TrustZone内蔵Cortex-M33にも近づいた感じがします。

スマホやXboxに遅れること約10年目の2022年、一般的なPCへもMicrosoft Plutonプロセサ(Ryzen PROシリーズ+SoC TPM)が、Renovo ThinkPad Z16/Z13へ導入されました。終わりが無くエンドレスなセキュリティ対策の実例です。

ThinkPad Z13(出展:PC Watch記事)
ThinkPad Z13(出展:PC Watch記事)

Pluton PCの今後

気になるのは2点。1つは、Microsoft Plutonプロセサが、Windows 11以降(例えばWindows 12)の一般PC要件になるかもしれない点😥、もう1つが、自己責任で「TPM 2.0回避アップグレート」したTPM無しWindows 11のTPM更新(Windows Update)はどうなるか、という点です。

2つ目に関しては、昨年TPM 2.0を回避して11アップグレートした先進ユーザが、様々な情報をネットに投稿してくれると思いますので期待しています。

仮にTPM以外の月例セキュリティUpdateは成功、今年秋のWindows 11大型更新もTPM 2.0装着PC同様成功するなら、2025年10月サポート終了Windows 10の後継OSとして、11の選択もあり得ます。OSアップグレードに対しPCハードウエアの著しい性能向上をMicrosoftが求めなかった過去経緯ともマッチするのは、このアップグレード方法です。

もちろん、TPM 2.0非搭載リスクは、自己責任です。このリクスを根底から無くすには、PCのPluton PC化が必須です。Windows 11は、PC Pluton化への過渡期用OSで、だからこそ、TPM回避Windows 11インストールをMicrosoftが公式発表したのかもしれません。

セキュリティ起因のPluton PCが一般PCに普及すれば、次期Windowsは、Pluton PCを要件とするでしょう。今後もMicrosoft動向とWindows 11改良、TPM回避先進ユーザ情報に注視したいと思います。

WindowsのTPM使い方

Windows 11アップグレート要件のTPM 2.0の使われ方を調査しました。WindowsがどのようにTPMを使っているかを知れば、11アップグレート足切り要件を筆者が納得し、加えて、IoT MCUセキュリティのTrustZone開発工数を顧客へ説明する時、参考になるかもしれないからです。

WindowsのTPM

Windows 10から追加・変更された現行Windows 11の機能は、生産性や弊社ビジネス向上に直結するものは無いと思っています。対処法などは、最悪Windows 11へアップグレードする際に備え収集中です。

アップグレード要件で最も不満な点が、TPM 2.0です。このTPMで何を行い、なぜ要件になったのかを整理してみます。

TPM機能(出展:PC Watch記事)
TPM機能(出展:PC Watch記事)

その結果、TPM 2.0は、11アップグレード要件というよりも、国際標準規格制定団体:Trusted Computing Group(TCG)が2014年10月にリリースし、TPM 2.0としてISO/IEC標準セキュリティ規格となったPCの普及が目的、と結論しました。

来年秋のWindows 11大型更新後、弊社PCの11アップグレート状況が変わるか楽しみです。

TPM利用Windows HelloとBitLocker

暗号化、乱数⽣成、暗号鍵⽣成と保存、デジタル署名がWindowsのTPM 2.0チップ利用箇所で、MacのBoot CampでもWindows 11が動作しない理由は、コチラに良くまとまっています。

ちなみに、TrustZone対象も、TPM 2.0と同様になる可能性も高く、特に、暗号化アルゴリズム可変の機能は、優れています。アルゴリズムを変更するWindowsのOTA相当にも注目しています。

Windowsは、これらTPM機能を利用し、パスワードを使わずにWindowsへサインインする「Windows Hello」や、内部ストレージ暗号化の「BitLocker」を実行します。また、「Microsoft Azure Attestation」(MAA)などにも使うようです。

WindowsのTPM使い方例(出典:セパゴのITブログ)
WindowsのTPM使い方例(出典:セパゴのITブログ:https://www.sepago.de/)

BitLockerやWindows Helloは、Windows 10でも利用した企業向けノートPCユーザもいるかもしれません。ただ、個人ノートPCや自宅PCユーザは、Microsoftアカウントを使うWindows HelloやPINの代わりに、ローカルアカウントの利用者が多いハズです。手間が掛からないことや、PC使用履歴をクラウド記録されるのが嫌だからです。

Windows 11は、Microsoftアカウント利用が基本ですが、アプリケーション個人認証にスマホ併用も必須になりつつあります。例えば、Googleログインも、スマホ2段階認証が有効に変わりました。

Googleログインの2段階認証プロセス
Googleログインの2段階認証プロセス

従って、例えWindows 11でTPMパスワードレス認証後でも、Googleログイン2段階認証は必要になる訳です。一方、TPM 2.0未搭載Windows 10でも、BitLockerやWindows Helloは利用でき、スマホ2段階認証などで様々なアプリケーションのセキュリティにも対応可能です。

つまり、TPMは、Windows 11の技術的アップグレード要件ではなく、OSセキュリティ強化が目的、というのが筆者TPM評価です。

ちなみに、ローカルアカウントによるWindows 11セットアップ方法は、コチラにまとまっています。

TPM理由

Microsoftが強調するOSセキュリティ強化には、TPMと手間暇、処理能力が必要です。処理能力要件が、Windows11対応CPUです。Windows 10が正常に動作するCPUでも、この能力要件を満たさないCPUも多数あります。理由は不明ですが、今回はTPMにフォーカスするため追求しません。

さて、筆者のようなセキュリティ素人には、TPMセキュリティ強化分と便益(手間暇)比を、ゲーム/個人/企業などのPCユースケース毎に評価、公表してほしいです。現行Windows 11は、最強セキュリティを求める企業向けユーザのみを対象にしている気がします。

仮に、Windows 11普及にTPMセキュリティ強化が障害になっているとMicrosoftが判断すれば、コチラの関連投稿2章のユーザアカウント制御のようなセキュリティを弱める対策を打出すと思います。

ユーザアカウント制御の設定
ユーザアカウント制御の設定

好みのセキュリティレベル設定は、個人ユーザに歓迎されるハズです。既に、TPM回避Windows 11インストール公式発表などがその現れです。これは、Windows 10サポート終了2025年10月14日が近づけば、より効果を発揮します。

しかし、Windows 11の魅力が現行のままなら、2025年10月以降は、Mac/Linuxなどの別OSやWindows 365などに乗換えるユーザも少なくないと思います。11乗換魅力の無さが、普及を妨げているからです。

TPM の理由は、最もセキュリティに敏感で、新PC購入/入替えも容易な企業向けPCユーザへ、ISO/IEC標準セキュリティ規格PCへの買換え動機付けだと思います。

TrustZone Cortex-M33はM4比2倍説明応用

TrustZoneとTPMの類似性
TrustZoneとTPMの類似性

IoT MCU顧客へ、Cortex-M33 TrustZone活用開発工数は、Cortex-M4比2倍となる説明が必要と前稿で書きました。

2倍根拠は、Cortex-M33/M4動作周波数比、Secureと通常の2プロジェクト同時開発必須などです。これらは、目に見える差分です。しかし、セキュリティに関しては、リスクが増減という話ばかりで、数値で表せないセキュリティ差分を、顧客に納得してもらえるかは、正直分かりません。

しかも、TrustZone活用には、通常の開発スキルに加え、セキュリティスキルも必要です。組込み開発は、1人で全て担当することも多いので、セキュリティ知識は持てても、利用スキル:暗号化ライブラリ選択やAPI利用法などに限定したいハズです。

セキュリティの詳細内容は、一般的なIoT MCU開発者には背景知識が少ないため、根本理解は困難でしょう。この状況で、セキュリティ利用スキルも必要となるTrustZone活用開発の差分を、顧客に上手く納得してもらうには、開発者として何らかの工夫も有効かもしれません。

Windows 11のTPMも、上記TrustZoneと全く同じ状況だと思います。そこで、現時点のTPMを整理しました。

今後Microsoftが、どのようにTPMの理由をユーザへ説明(12/4更新)していくかを、IoT MCU顧客へのTrustZone Cortex-M33開発工数が、M4比、2倍の説明にも応用したいと考えています。

実務的には、セキュリティの根本理解よりも、この方法の方が近道の気がします😅

組込み開発 基本のキ:IoT MCUセキュリティ

本稿は、IoT MCUソフトウェア/ハードウェア開発者向けTipsで、「MCU開発基本のキ」シリーズの第1回目です。MCUベンダ横断的に開発ポイント、Tipsなどを不定期に投稿します。

今回は、そもそもIoT MCUに、なぜセキュリティが必要かという最も基本的な点について示します。

幅広い技術がIoT MCU開発者には必要です。しかし、全てを理解し、時々刻々変化する状況に対応するには時間がいくらあっても足りません。情報が多く幅広いからこそ、短時間で効率的なIoT MCU開発のためのポイントやTipsが必要です。

このポイントやTipsについて筆者個人の考え方を示します。これを、たたき台にして、ブログ読者の方々の考え方に発展・貢献できれば幸いです。

接続とセキュリティ

インターネット接続とセキュリティ
インターネット接続とセキュリティ

IoT MCUは、インターネットなどに接続し動作することが前提です。

人がネットに接続する時は、事前にアカウント登録し、IDやパスワードなどの登録情報を接続時に手入力、ネット側で受信データと事前登録情報と比較し接続を許可します。

IoT MCUは、人の手入力の代わりに自動で登録情報をネット送信することで接続します。この時大切なのが、IoT MCU内部に保存済みの登録情報です。登録情報をサイバー攻撃やハッカーから守る手段がIoT MCUセキュリティです。

ハッカー、セキュリティ、OTA

ハッカーとセキュリティは、「いたちごっこ」を繰返します。

例えば、コチラのFirefox 91とWindows 10規定ブラウザー設定、Windows 11で更に複雑化する設定がその例です。この場合、ハッカー役がFirefox、セキュリティ役がWindow設定です。

様々なIoT MCUセキュリティ手段がありますが、ポイントは、守りは攻めに対する対処療法なので守りの追加や更新が必要となる点です。

つまり、個々のセキュリティ手段を知ることよりも、何を(IoT MCUの登録情報や秘密鍵などの重要情報)どのように守るかの方がより重要です。ソフトウェアによる守りよりもより強固な内蔵ハードウェアで重要情報を守るのが、ARM Cortex-M33コアのTrustZoneです。

いたちごっこの終息策として、MCU内蔵TrustZoneとその制御ソフトウェアを採用した訳です。

Windows 11で導入されるTPM 2.0も、TrustZone相当です。しかし、TPM保護PCから情報を抜出す方法という記事もあります。セキュリティには終わりが無いと言っても良いでしょう。

終わりが無いので、OTA(Over The Air)によりセキュリティ手段の追加や制御方法更新が必要になる訳です。OTAは、IoT MCUセキュリティ追加更新が本来の目的で、ソフトウェアバグ修正は副次的だと思います。

接続伝送路エラー訂正

無線であれ有線であれ、ネット接続の伝送路にノイズ混入の可能性があります。ただ、IoT MCUセキィリティが正常か異常かの判断は、受信データにノイズ(誤り)が無いことが前提です。

そこで、受信側に、受信データに混入ノイズを除去する機能があれば便利です。

2021年9月9日、米)MITは、あらゆる種類のデータ誤り検出し訂正するGuessing Random Additive Noise Decoding (GRAND)採用のハードウェアデコーダを開発しました。128ビットまでのコードを約1u秒でデコードでき、高速通信規格5GやIoT分野での利用が期待されています。

まとめ:IoT MCUセキュリティ3Tips

  1. ネット接続が前提のIoT MCUには、サイバー攻撃から内蔵重要情報を守るセキィリティ必須
  2. セキュリティは、対処療法なので機能追加更新OTA必須
  3. より強固に重要情報を守るTrustZone、受信データ誤り検出訂正GRANDデコーダなどのセキュリティ対策ハードウェアが、IoT MCU要件になる可能性あり

IoT MCUセキュリティ用語、関連性、対策ハードウェアがご理解頂けたと思います。
※TrustZoneに似たハードウェアに、ルネサス:Trusted Secure IP(TSIP)、STマイクロ:Secure Memoryなどもあります。

セキュリティは終わりがありません。どの程度のセキュリティをIoT MCUへ実装すれば良いかを検討するには、IoTセキュリティ手引書やPlatform Security Architecture: PSA Certified認証制度などが参考になります。

但し、IoT MCU開発者に解り易いかと言えば、正直疑問も感じます。そこで、IoT MCUセキュリティ関連で、最低限開発者が押さえておくべき3項目をまとめました。

特に項目3は、初めからIoT MCUに実装済みでないと後付けやOTA更新ができません。今後の欧米IoT規格や総務省動向にも注意を払う必要があるでしょう。

補足:IoTセキュリティコスト

筆者利用ネットカフェPCのWindows 11対応チェック結果を抜粋したのが下図です。2PCのみ抜粋しましたが、他PCも同様で、全項目OKのPCは皆無でした。弊社PCも3PC中1台のみ全OKですので、Windows 11無償アップグレード可能PCは、Windows 10 PCの30%以下になりそうです。

ネットカフェのWindows 11対応チェック結果
ネットカフェのWindows 11対応チェック結果

Windows 10サポート終了の2025年10月以降、多くのWindows 10セキュリティが低下し、サイバー攻撃に弱くなります。セキュリティ対サイバー攻撃コストを示すのは大変でしょうが、Microsoftは示す責任があると思います。

同様にIoT MCU顧客もセキュリティ対策コストを望むと思います。ちなみに、Cortex-M4比、Cortex-M33 TrustZone MCUは、2倍工数必要が弊社見解です(関連投稿:Cortex-M33とM0+/M4の差分の3章)。

Windows 11ショックとTPM

所有3PCのWindows11要件チェック結果
所有3PCのWindows11要件チェック結果

今秋リリース予定のSun Valleyは、新OSのWindows 11でした。TPM 2.0が障壁になり、所有3PCのうち2PC(Note/Backup)はWindows 10からWindows 11へ無償アップグレードができません。アップグレード要件に変更が無ければ、MainのみWindows 11になり、残りはWindows 10のまま・・・、Windows 11ショックです。

このWindows 11ショック原因のTPM、現状の対処法などをまとめます。

TPM (Trusted Platform Module)

TPMは、MicrosoftがWindows 11(以下Win 11)要件にした専用ハードウェアで、PCを起動するBIOS/UEFIのデバイスです。セキュリティキー、暗号鍵や機密性の高いユーザーデータの保護・保管機能を持ち、最新版Version 2が必要です。

このTPM機能を既に持っているPCでも、Win 10では未使用が多かったのが判っています。弊社Main PCもそうで、設定を変更し最初の図のようにWin11対応チェック結果が全てOKになりました。

テレワークでPC需要が高いこの時期に、敢えてTPMをWin 11アップグレード要件にしたMicrosoftの狙いが、もしも新しいPCへの買換え需要喚起だとしたら、残り2PCは、WindowsからLinux MintへのOS乗換も対処法に入れます。

※2021年7月8日、Linux Mint 20.2 MATEがリリースされました。サポート期間は2025年までです。

弊社テレワーク利用中のMCU開発アプリケーションは、マルチプラットフォーム対応なのでOS乗換に問題はありません。

MCUのTPM相当機能

MCUにも暗号鍵などを保管するTPM相当の外付けチップがあります。例えば、関連投稿のNXP)EdgeLock SE050、Maxim)DS28E38などです。これらは、MCU外付けのセキュリティ強化ハードウェアです。

また、これら外付けハードウェアを使わずに、セキュリティ強化内蔵Flashへ機密情報を保存するCortex-M33コアMCUなどもあります。

これらMCUへTPM相当の機密情報保持機能を実装すると、開発工数が増えることが判っています。

Win 11要件のTPMは、IoT MCUがMicrosoft Azure接続時、上記どちらかの機密情報保持機能を持たないMCUは、例え接続中であっても、将来のセキュリティ脅威を理由に接続拒否することに近いと思います。

MCU開発者は、新たな開発案件が増えて喜びそうですが、Azure利用中の顧客は、納得するでしょうか? Azure以外のAWSやGoogleクラウドへの移行にならないでしょうか?

関連投稿:多様化MCU RTOS対策

一方、スマホなどモバイルデバイスのTPM相当:機密情報保持機能も知りたいと思います。今後調査予定です。

TPM効果

  • なぜBIOS/UEFIのTPMハードウェアなのか、OSソフトウェアで代替しない(できない)理由は何か?
  • TPM情報は、PCのバックアップアプリでバックアップ/リカバリできるか?
  • BIOS/UEFI更新時、TPM情報は保持されるのか?
  • TPM不具合発生時、Win 11は起動しないのか?
  • PC廃棄時のTPM情報の完全削除とその確認方法は?
  • TPM搭載Win 11 PCと、非搭載Win 10 PCのサイバー攻撃防衛差は、どの程度か?

など、TPM採用の明確な理由とその効果を示した情報は、今のところ見当たりません。Win 10でTPMをデフォルト未使用としたのも、なんらかの理由や副作用があったからだと思います。

定性的には、セキュリティ対策が重要であることは解ります。しかし、定量的な比較や副作用も知りたいです。

具体的に、TPM無し(未使用)BIOS/UEFI のWin 10 PCと、TPM有効化Win 11 PCで比較し、攻撃防御差が大きいなら費用対効果によりWin 11対応の新PC購入もありえます。

もちろんPCハードウェアも経年劣化します。しかし、パーツ単体交換が容易なのもWin PCのMacやスマホに無い特徴です。最初の図のようにWin 10で快適に動作するハードウェアが、BIOS/UEFI TPMだけでNGになるのは、「足切り」に近いと感じます。

Win 10と同様、Win 11でもユーザ責任でTPM未使用オプションが設定できれば済む話です。Win 11プレビュー版は、TPM無しでも動作します。このオプション相当は既に存在します。

TPM効果、その具体的・数値的な攻撃防御差評価は、必要でしょう。

Windows 11とWindows 10の運用対処法

現在判っているWin 11とWin 10の主な運用面差が下表です。

Windows 11 Windows 10
OSコア 新OS(Cobalt) 旧OS
大型更新 年1回 年2回
サポート期間 大型更新後2年 大型更新後1.5年
サポート終了2025年10月

Win 11の下図のような新GUIに対して、使いなれたWin 10やWin 7に近いGUIへ戻す無償ツールが既にあります。筆者もOSの見た目の新しさは不要です。現行Win 10でさえ、上記ツールを使って効率的なGUIに変えて運用中です。

Windows11の新GUI
Windows11の新GUI

当然ながら新しいOSコア(Cobalt)ですので、旧OS比、見た目以外の性能も改善されるでしょう。

しかし、Win 10の旧OSコアがトラブルなく安定するまで数年を要したことや大型更新回数が年1回に減ったことも考慮すると、最低でもWin 11新OSコア(Cobalt)安定に1年はかかると思います。

従って、次回Win 11大型更新の1年後まで、アップグレードを待つのは、安全策として良さそうです。

Windows 10サポート延長

Win 10のサポート終了は、2025年10月14日となっています。しかし、良い意味で撤回し、「Win 7のようにサポート終了が延長」される可能性は高いと筆者は思います。

その理由は、Win 10 Version 21H1が、20H1からの3世代、2年に渡る同じOSコアの小規模更新をした結果、更新トラブルが減り安定度が増したこと、Win 11へ更新できない多くのWin PCの「最後の受け皿OS」となること、などです。

サポート終了のWin 7、2023年1月10日にサポート終了予定のWin 8.1のPCは、足切りTPMのためWin 11へのアップグレードが不可能です。Win 7/8.1世代のPCは全てWin 10になり、アップグレードしないWin 10を含めて2025年10月までこれらPC群は稼働できます。

4年半後、2025年10月予定のこれらPC群へのWin 10サポート終了は、多くのユーザ反感を買うと同時に、セキュリティ更新無しで稼働するPCを多数生みます。

何らかの方法でWin 10へTPM相当機能を実装するか、または、セキュリティサポートを延長することは、これまで足切りアップグレードを避けることでシェアを伸ばしてきたMicrosoftの宿命だと思います。

まとめ

2025年10月14日のWindows 10サポート終了までは、Windows 11 TPM要件のため、所有3PCをWin11とWin10の2種運用とするか、それとも3PCともWin10運用とするか、今秋のWindows 11リリース後のトラブル状況や、前章までに示した対処法で決める予定です。

ポイントの1つは、TPM未使用のWin 10 PCとTPMを使うWin 11 PCのサイバー攻撃防御差、その費用対効果です。
※ネットカフェのWin PC移行状況でこの評価結果が判ると思います。

ただMCUテンプレートを新たに開発する立場からは、最新PC環境、つまりWin 11で新開発テンプレートの動作確認は必須です。2 OS運用は余分に手間が掛かりますが、Win11とWin10の併用にならざるを得ない、というのがWindows 11ショックの根源です😣。

なおMicrosoftは、Win 11要件の見直しも行っているようです。TPM相当手段や未使用オプションなどに期待しています。また、7月14日発表のWindows 365 Cloud PCも、料金次第ですが気になる存在です。

* * *

速報:Microsoftは、7月15日(米国現地時間)、Windows 11とは別に、次期Windows 10バージョン 21H2 、サポート期間1.5年の提供を発表しました。また、5年サポート期間の Windows 10バージョンLTSC(Long-Term Servicing Channel)も提供するようです。今秋、提供開始予定です。