メジャードブートとは何ですか？

起動プロセスの各ステップ（UEFI→ブートローダー→OS）の測定値をTPMに順番に記録していく仕組み。セキュアブートが起動をブロックするのに対し、記録して後からアテステーションで検証する。

メジャードブートのポイントは？

起動の各段階でハッシュ値を計算し、TPMのPCR（Platform Configuration Register）に蓄積する。セキュアブートは「怪しければ起動を止める」がメジャードブートは「記録して後から検証する」。TPMに記録された測定値チェーンはリモートアテステーションの証拠として使われる。WindowsのBitLockerやLinuxのIMAもメジャードブートの測定値を活用している

【めじゃーどぶーと】

メジャードブートとは？

💡 起動の全ステップを「証拠写真」として残す、改ざん検知の黒歴史帳

📌 このページのポイント

起動の各段階でハッシュ値を計算し、TPMのPCR（Platform Configuration Register）に蓄積する
セキュアブートは「怪しければ起動を止める」がメジャードブートは「記録して後から検証する」
TPMに記録された測定値チェーンはリモートアテステーションの証拠として使われる
WindowsのBitLockerやLinuxのIMAもメジャードブートの測定値を活用している

起動の各ステップがTPM PCRにハッシュ値として積み上げられるイメージ

ひよこ

メジャードブートってセキュアブートと似た名前だけど、何が違うの？

ペンギン先生

セキュアブートは「署名のないコードを実行させない」ガードマンで、メジャードブートは「誰が何をしたか全部記録する」監視カメラのイメージだよ

ひよこ

具体的にどんな記録をするの？

ペンギン先生

UEFIが起動したときのハッシュ、ブートローダーのハッシュ、カーネルのハッシュ…って順番にTPMのPCRというレジスタに積み上げていくんだよ

ひよこ

PCRって何なの？

ペンギン先生

Platform Configuration Registerの略で、TPMの中にある特殊なメモリだよ。値を書き込むと「前の値 + 新しい値」をハッシュした結果に更新されるから、一度でも変わると全部の値が変わるんだ

ひよこ

それって後から改ざんできないの？

ペンギン先生

TPMはハードウェアで守られているから外から書き換えられないんだよ。だからPCRの値はアテステーションの「信頼できる証拠」として使えるんだ

ひよこ

BitLockerでも使われてるって聞いたんだけど、どういうふうに使われるの？

ペンギン先生

BitLockerは「起動時のPCR値が変わったら暗号化キーを解放しない」という仕組みで保護しているんだよ。ブートローダーやカーネルが改ざんされたら起動できなくなるんだ

まとめ：ざっくりこれだけ覚えればOK！

「メジャードブート」って出てきたら「起動の各段階の状態をTPMに記録する仕組み」と思えればだいたいOK！

📖 おまけ：英語の意味

「Measured Boot」＝計測起動

💬 「Measure（計測する）」がポイントで、各ステップを「ものさし」で計って記録していくイメージだよ。「Secure Boot（セキュアブート）」とセットで語られることが多いんだよ

← 用語集にもどる

メジャードブート とは？

メジャードブートとは？