セキュアブート せきゅあぶーと
簡単に言うとこんな感じ!
パソコンの電源を入れたとき、「このOS、本物?怪しいやつじゃない?」って確認する仕組みだよ。悪意あるソフトがOSより先に動き出してしまうのを防ぐ「起動時の入場チェック」なんだ!
セキュアブートとは
セキュアブート(Secure Boot)とは、コンピューターの電源投入からOSが起動するまでの一連のプロセスにおいて、読み込むソフトウェアが信頼できる提供元によって署名されたものかどうかを検証する仕組みです。現代のPCやサーバーに広く搭載されているUEFI(Unified Extensible Firmware Interface)というファームウェア規格の機能として提供されています。
従来のセキュリティ対策はOSが起動してから動くものがほとんどでした。しかし攻撃者はOSよりも先に動くブートローダーやファームウェアレベルにマルウェアを仕込む手口(ブートキット・ルートキット)を編み出しました。セキュアブートはこの「OS以前」の領域を守るために設計されており、一般的なウイルス対策ソフトでは検出・除去が非常に難しい脅威に対抗します。
Windows 11の要件にセキュアブート対応が含まれるなど、企業・個人を問わず標準的なセキュリティ基盤として普及しています。特に企業が多数のPCを管理するシーンでは、設定の有効化が情報漏洩対策の第一歩として求められます。
セキュアブートの仕組み
セキュアブートは「鍵と署名による信頼の連鎖(Chain of Trust)」で動いています。電源オンからOSロードまで、各ステップで前のステップが次のステップを検証します。
起動フロー(信頼の連鎖)
| ステップ | 処理内容 | 検証の仕組み |
|---|---|---|
| ① 電源ON | UEFIファームウェアが起動 | ハードウェアに焼き付けられたPK(プラットフォームキー)を確認 |
| ② ブートローダー読み込み | UEFIがブートローダーを検証 | db(許可済み署名DB)に登録された署名か照合 |
| ③ OSカーネル読み込み | ブートローダーがOSを検証 | OSのデジタル署名が正規のものか確認 |
| ④ ドライバー読み込み | OSがドライバーを検証 | 署名なしドライバーの実行をブロック |
関係する鍵の種類
| 鍵の名称 | 英語名 | 役割 |
|---|---|---|
| PK | Platform Key | PCメーカーが管理する最上位の鍵 |
| KEK | Key Exchange Key | 署名DBを更新する権限を持つ鍵 |
| db | Signature Database | 実行を許可する署名・ハッシュのリスト |
| dbx | Forbidden Signature DB | 実行を禁止する(失効した)署名のリスト |
覚え方のコツ
「空港の手荷物検査」に例えると分かりやすい!
搭乗口(UEFI)で搭乗券(デジタル署名)を確認→偽造券(未署名のソフト)は乗せてもらえない。
検査をすり抜けて機内(OS起動後)に入り込む悪者を「外」で止めるのがセキュアブートの役割。
歴史と背景
- 2011年 — Microsoftが「Windows 8の認定要件にセキュアブート対応を含める」と発表。業界に大きな議論を呼ぶ
- 2012年 — UEFI 2.3.1仕様にセキュアブートが正式定義される。Windows 8搭載PCで初めて広く普及
- 2013年頃 — Linuxコミュニティが対応を進める。MicrosoftはLinux向けにも署名付きシムローダー(shim)を提供
- 2015年 — Windows 10リリース。セキュアブート有効状態での出荷がOEM標準に
- 2018年 — UEFIフォーラムがセキュアブートのベストプラクティスガイドを更新
- 2021年 — Windows 11がセキュアブートを動作要件として明記。企業PCの対応確認が急増
- 現在 — サーバー向け(UEFI Secure Boot)・ARM系デバイス・クラウドVM(仮想マシン)にも展開が進む
関連技術との比較・対応関係
セキュアブートは単独で動く技術ではなく、いくつかのセキュリティ技術と組み合わせて使われます。
| 技術 | 守る対象 | セキュアブートとの関係 |
|---|---|---|
| セキュアブート | 起動プロセス(UEFI〜OS) | 中心技術 |
| TPM(Trusted Platform Module) | 暗号鍵・測定値の保存 | セキュアブートの状態記録に使用。BitLockerとも連携 |
| BitLocker | ストレージの暗号化 | TPMを介してセキュアブートの状態を確認し、改ざん検知に活用 |
| UEFI | ファームウェア全般 | セキュアブートの「土台」となる規格 |
| ウイルス対策ソフト | OS起動後のマルウェア | セキュアブートと補完関係(守る時間帯が異なる) |
セキュアブートが守る範囲(図解)
セキュアブートの有効・無効を確認する方法(Windows)
[スタート] → [設定] → [システム] → [回復] → [PCの情報]
または
msinfo32.exe を起動 → 「セキュアブートの状態」が「有効」かを確認関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| UEFI Specification 2.10 | セキュアブートを含むUEFIの公式仕様。Section 32でSecure Bootを定義 |
| NIST SP 800-147 | BIOSプロテクションガイドライン。セキュアブートの実装要件を含む |
| NIST SP 800-155 | BIOSの整合性測定に関するガイドライン(TPMとの連携を規定) |
関連用語
- UEFI — BIOSの後継となるファームウェア規格。セキュアブートの土台
- TPM(トラステッドプラットフォームモジュール) — セキュアブートの測定値を保存するセキュリティチップ
- BitLocker — Windowsのディスク暗号化機能。セキュアブートとTPMと連携して改ざん検知を行う
- デジタル署名 — データが正規の発行元によるものかを証明する暗号技術
- ルートキット — OSより深い領域に潜むマルウェア。セキュアブートが対抗する主な脅威
- ブートローダー — OSを起動させるためのプログラム。セキュアブートによる検証対象
- ファームウェア — ハードウェアに組み込まれた低レベルのソフトウェア
- ゼロトラストセキュリティ — 「何も信頼しない」を前提にしたセキュリティ設計思想。セキュアブートはその基盤の一つ