セキュアブート(Secure Boot)
セキュアブート(Secure Boot) とは何ですか?
セキュアブート(Secure Boot)起動の各コンポーネントの暗号署名を検証する UEFI 機能。信頼された発行元の署名がないブートローダー、カーネル、ドライバーの実行を拒否する。
セキュアブートは UEFI 仕様の機能で、プラットフォームファームウェアから OS まで信頼の連鎖を構築します。各段階でファームウェアは、保護変数 PK、KEK、db、dbx に格納された鍵を用いて次段(ブートローダー、カーネル、ドライバー)の署名を検証します。署名が欠落したり失効していたりすれば起動を停止します。LoJax や BlackLotus のような OS 前マルウェアや永続化 Rootkit/Bootkit からの防御に有効です。Windows 11 では必須で、主要な Linux ディストリビューションは shim 経由でサポートし、TPM PCR を用いた計測起動や Intel BootGuard などのリモート証明と組み合わせます。
● 例
- 01
BlackLotus の公表後、Microsoft が UEFI dbx を通じて脆弱な起動バイナリを失効させた。
- 02
Linux ディストリが Microsoft の UEFI CA 配下の shim で GRUB に署名し、OEM ファームウェアで起動する。
● よくある質問
セキュアブート(Secure Boot) とは何ですか?
起動の各コンポーネントの暗号署名を検証する UEFI 機能。信頼された発行元の署名がないブートローダー、カーネル、ドライバーの実行を拒否する。 サイバーセキュリティの 暗号 カテゴリに属します。
セキュアブート(Secure Boot) とはどういう意味ですか?
起動の各コンポーネントの暗号署名を検証する UEFI 機能。信頼された発行元の署名がないブートローダー、カーネル、ドライバーの実行を拒否する。
セキュアブート(Secure Boot) からどのように防御しますか?
セキュアブート(Secure Boot) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。