セキュアブートとは - Windows 11の要件

What is Secure Boot? Windows 11 OS Requirement

セキュアブートとは? 

セキュアブートは、検証済みプログラムのみがコンピュータの起動時に実行されるようにするコンピュータセキュリティツールです。このプロトコルにより、不正なプログラム、特に悪意のあるルートキットが、コンピュータの起動時にアンチウイルスソフトウェアの検出を回避して実行されないようにします。この機能は、最新のオペレーティングシステムであるWindows 11をインストールするために必須であり、Windows 11インストールの前提条件であるUEFI(Unified Extensible Firmware Interface)またはBIOSの一部です。これは、Windows 10 IoT 2021 LTSCのような以前のバージョンのWindowsでは必須ではありませんが、産業用エンタープライズアプリケーションでは必要です。

セキュアブートはどのように機能しますか? 

セキュアブートはUEFI BIOS内のプロトコルであるため、コンピュータの起動ごとに動作します。これは、Windows 11インストールの前提条件でもあるTPM (Trusted Platform Module)と密接に連携します。要するに、TPM 2.0は、ソフトウェアベースのセキュリティでは対応できない追加のデータ保護を提供するハードウェアベースのセキュリティツールです。このプロセスは、ハードウェアが改ざんされた場合や、悪意のあるソフトウェアのような不正なプログラムが実行された場合に、コンピュータの起動を防止します。セキュアブートは、デジタル署名および認定されたプログラムのみが起動されることを保証する、もう1つのデータセキュリティおよび保護層です。ここでは、署名データベース(DB)、失効した署名データベース(DBX)、鍵登録データベース(KEK)の3つの主要なデータベースについて説明します。

  • 署名データベース(DB) –署名データベースには、信頼されたファームウェアコンポーネント、Microsoftオペレーティングシステムローダーなどのオペレーティングシステムブートローダー、UEFIアプリケーション、UEFIドライバーの公開鍵と証明書が含まれています。
     
  • 失効した署名データベース(DBX) – 失効した署名データベースには、悪意のある脆弱なコンポーネント、侵害された鍵、および侵害された証明書のハッシュが含まれており、これらが実行されるのをブロックしてシステムを保護します。
     
  • プラットフォームキー (PK) –プラットフォームキーは、システムオーナーとBIOS内のファームウェア間の信頼関係を確立し、KEKデータベースへのアクセスを制御します。
     
  • 鍵交換キー (KEK)–鍵交換キーは、オペレーティングシステムとファームウェア間の信頼関係を確立するデータベースです。KEKには、ホワイトリストデータベースまたは失効した署名データベースを変更する際にチェックできる公開鍵のリストが含まれています。1つのプラットフォームに複数のKEKが存在する可能性があります。

産業用エッジアプリケーションにとってなぜ役立つのでしょうか? 

サイバー攻撃が増加している世界において、企業が貴重なデータの改ざんを阻止し、防止するためにあらゆる予防策を講じることが重要です。Microsoft、AMD、Intelなどのティア1企業は、マルウェアに対する保護を強化するために独自のメソッドを開発しました。MicrosoftはWindows 11をTPM 2.0とセキュアブート要件でリリースし、主要な半導体大手であるIntelとAMDは、それぞれのバージョンのファームウェアTPM(fTPM)を開発しました。TPMは、主に機密データを扱う企業によって利用されていたレガシーコンポーネントと見なされていました。今日では、サイバー攻撃の増加により、TPM 2.0は産業用エッジコンピュータに搭載され、ほぼ必須となっています。

セキュアブートとTPM 2.0の違いは何ですか? 

セキュアブートは、UEFI BIOSを介して有効化されるシンプルな予防策機能です。セキュアブートの役割は、検証されデジタル署名されたソフトウェアのみを起動することです。例えば、対応するオペレーティングシステムや、アンチマルウェアプログラムなどのその他の起動アプリケーションが挙げられます。一方、TPM 2.0は、システムを起動するために必要な機密デジタルキーと証明書を保存および暗号化する保管庫として機能します。TPMが新しいハードドライブまたは間違ったオペレーティングシステムのライセンスを検出した場合、コンピュータの起動をそれ以上許可しません。セキュアブートは、検証された起動プログラムにのみアクセスを許可するセキュリティチェックポイントとして機能します。

セキュアブートの欠点/デメリットは何ですか? 

セキュアブートは、異なるオペレーティングシステムやデュアルブートのような不正なソフトウェアを起動しようとする際に、わずらわしさとなることがあります。デュアルブートを行うには、セキュアブートを無効にする必要がありますが、ご安心ください、Ubuntuはデュアルブートプロセスでセキュアブートをサポートしています。デュアルブート設定のためにセキュアブートを無効にする必要がある場合は、Ubuntuを再インストールするとセキュアブートを再度有効にすることができます。このわずかなデメリットは、セキュアブートの利点とセキュリティを無効にするような決定的な要因となるべきではありません。

Secure Boot Enabled for Windows 11 OS

Windows 11でセキュアブートを有効にする方法 

まず、セキュアブートがすでに有効になっているかを確認しましょう。Windows検索メニューで「msinfo32」と検索し、「セキュアブート状態」の項目を探します。「ON」と表示されていれば、セキュアブートはすでに有効になっています。「OFF」と表示されている場合は、UEFI BIOSで有効にすることができます。セキュアブートを有効にするには、マザーボードのマニュアルを参照してUEFI BIOSを操作してください。もう一度、セキュアブートが有効になっているかを確認します。セキュアブートを無効にする必要がある場合は、UEFI BIOSに入ってセキュアブートを無効にするだけです。セキュアブートはパフォーマンスや互換性にほとんど影響がないため、有効にしておくことが強く推奨されますが、セキュアブートを無効にすることは必須ではありません。エンドユーザーがルートキットウイルスや悪意のあるプログラムをダウンロードしない限り、コンピュータの使用にセキュアブートは必要ありません。

関連記事

fTPMとdTPMの違い – Windows 11でTPM 2.0に対応しているか?

fTPMとdTPMの違い、およびWindows 11のTPM 2.0要件について理解する。
TPM 2.0: エッジでのIoTデプロイメントのセキュリティ確保

監視されないIoTデプロイメントで信頼されるエッジコンピュータは、システムとデータを保護するためにハードウェアレベルのセキュリティを必要とします。TPM 2.0テクノロジーは、エッジデバイスが意図したとおりに動作することを保証する基礎的なサイバーセキュリティを提供します。
セキュアブートとは - Windows 11の要件

Windows 11にはSecure Bootが必須です。その理由と有効化する方法をご覧ください。
Windows 10 Enterprise IoT LTSC 2021 とは何か?

Windows 10 Enterprise IoT LTSC 2021が産業用コンピューターの原動力となっている理由について詳しく説明します。