セキュアブートとは
セキュアブートとは、PCの電源を入れてからOSが起動するまでの過程で、信頼された(デジタル署名を持つ)ソフトウェアだけを読み込むようにするUEFIファームウェアのセキュリティ機能です。ブートキットやルートキットと呼ばれる、OS起動前に動作する高度なマルウェアの感染を防ぐことができます。Windows 11のシステム要件としても必須とされている重要なセキュリティ機能です。
詳しい解説
セキュアブートの仕組み
PCの電源投入後、UEFIファームウェアがブートローダー(OSを読み込むプログラム)のデジタル署名を検証します。署名が正規のものと一致すれば起動を許可し、不正な署名や署名のないプログラムが読み込まれようとした場合は起動をブロックします。この検証にはPCメーカーやMicrosoftなどが発行した信頼された証明書のデータベースが使用されます。
TPMチップとの連携
セキュアブートはTPM(Trusted Platform Module)チップと連携することで、さらに強固なセキュリティを実現します。TPMはブートプロセスの各段階の測定値(ハッシュ値)を記録し、前回の正常起動時と比較します。もしブートプロセスが改ざんされていれば異常を検知できます。WindowsのBitLockerドライブ暗号化もTPMとセキュアブートの組み合わせで動作しており、起動プロセスが信頼できる場合のみドライブを自動復号します。
Windows 11とセキュアブート
Windows 11ではセキュアブートとTPM 2.0がシステム要件として必須になりました。これはOSレベルのセキュリティを根本から強化するためです。2015年以降に製造されたほとんどのPCはセキュアブートに対応していますが、設定が無効になっている場合もあります。UEFI設定画面(旧BIOS画面)から有効化できるため、Windows 11へのアップグレードを検討している方は事前に確認しておくとよいでしょう。
選び方のポイント
1. 有効・無効の確認方法
Windowsの場合、「msinfo32」コマンド(システム情報)を実行すると「セキュアブートの状態」が表示されます。「有効」になっていれば問題ありません。「無効」の場合はUEFI設定画面から有効化できます。
2. Linuxとの互換性
最近の主要なLinuxディストリビューション(Ubuntu、Fedoraなど)はセキュアブートに対応していますが、一部のディストリビューションでは手動で鍵を登録する必要がある場合があります。Linuxをデュアルブートで使いたい場合は、対応状況を事前に確認してください。
3. PC購入時の確認ポイント
新しいPCを購入する際は、セキュアブートとTPM 2.0に対応しているかを確認しましょう。2020年以降の主要メーカーのPCであれば基本的に対応していますが、格安PCや自作PCの場合はマザーボードのスペックを確認する必要があります。
まとめ
PCの起動時にOSの改ざんを検知するセキュアブートは、マルウェアによるシステムレベルの攻撃を防ぐ重要な防御機構です。BIOS/UEFI設定での有効化方法を確認し、OSとハードウェアの対応状況を把握しておきましょう。目に見えないところで安全を支えてくれる、縁の下の力持ちです。