セキュアブートとは何ですか？

PCの起動時にブートローダやOSのデジタル署名を検証し、正規のソフトウェアのみを実行することで、マルウェアによる起動プロセスの改ざんを防ぐ機能。

セキュアブートのポイントは？

UEFIファームウェアに組み込まれたセキュリティ機能。ブートローダ・OSカーネルが信頼できる証明書で署名されているか検証する。Windowsは標準でセキュアブートに対応、Linuxも多くのディストリビューションが対応。セキュアブート非対応のOSをインストールする場合は無効化が必要になることがある

【せきゅあぶーと】

セキュアブートとは？

💡 OS起動前に「署名を確認」して不正ソフトの実行を防ぐセキュリティ機能

📌 このページのポイント

UEFI ファームウェアに組み込まれたセキュリティ機能
ブートローダ・OSカーネルが信頼できる証明書で署名されているか検証する
Windowsは標準でセキュアブートに対応、Linuxも多くのディストリビューションが対応
セキュアブート非対応のOSをインストールする場合は無効化が必要になることがある

セキュアブートのイメージ

ひよこ

セキュアブートって何をするの？

ペンギン先生

PCが起動するとき、BIOSの後継のUEFIがブートローダやOSの「デジタル署名」を確認する機能だよ。署名が正規でなければ起動を拒否して、マルウェアが起動前から潜む「ブートキット」を防ぐ。

ひよこ

なんで起動前にマルウェアが潜むの？

ペンギン先生

OSより先に起動するブートローダを改ざんできれば、ウイルス対策ソフトの監視より前に動けるから。セキュアブートはそこを守る。一度感染すると非常に発見・除去が難しい「ルートキット」も防げる。

ひよこ

Linuxを入れようとしたら無効化が必要だった

ペンギン先生

古いLinux ディストリビューションや自前ビルドのカーネルは署名なしのことがある。その場合はUEFI設定でセキュアブートをオフにする必要がある。最近のUbuntuやFedoraはMicrosoftが署名した「shim」を使ってセキュアブートを維持したままインストールできるよ。

ひよこ

セキュアブートってWindowsだけの機能なの？

ペンギン先生

いや、UEFI規格の機能だからOSに依存しないよ。Windowsは11から事実上セキュアブートを必須にしたけど、macOSはApple独自のセキュアブートを実装しているし、Androidもverified bootという類似機能を持っている。起動時の改ざん検知はOSを問わず重要なセキュリティ対策なんだ。

ひよこ

セキュアブートが有効でもマルウェアに感染することはあるの？

ペンギン先生

あるよ。セキュアブートはあくまで「起動プロセスの改ざん」を防ぐもので、OS起動後にインストールされるマルウェアは防げない。実際に2022年にはセキュアブートをバイパスするBlackLotusというUEFIブートキットが発見されて話題になった。セキュリティは一つの対策だけで完璧にはならず、多層防御が大事だということだね。

まとめ：ざっくりこれだけ覚えればOK！

セキュアブートって出てきたら「PC起動時に署名検証でマルウェアを弾くUEFIのセキュリティ機能」と思えばOK！

📖 おまけ：英語の意味

「Secure Boot」＝安全な起動

💬 UEFI仕様の一部として標準化されている。Windows 11ではセキュアブート対応が必須要件の一つとなっている

← 用語集にもどる

セキュアブート とは？

セキュアブートとは？