セキュアブート 【secure boot】 トラステッドブート / trusted boot / ベリファイドブート / verified boot

概要

セキュアブート（secure boot）とは、コンピュータ起動時の安全性を確保するため、デジタル署名で起動するソフトウェアを検証する機能。UEFI(BIOS)の機能として提供され、攻撃者に仕込まれた悪意あるソフトウェアが起動するのを防止する。

解説 パソコンなどの主基板（マザーボード）に内蔵されたUEFIの機能の一つで、オペレーティングシステム（OS）側の対応が必要だが、OSの種類によらず利用できる。対応製品には出荷時にあらかじめ信頼できる認証局（CA：Certificate Authority）が発行したデジタル証明書が組み込まれている。

コンピュータの起動時に実行されるブートローダやOSのカーネル（中核プログラム）、デバイスドライバなどに付されたデジタル署名をUEFIが自身の証明書を用いて検証する。署名が無い場合はハッシュ値で代用し、あらかじめ登録された有効なハッシュのリストと照合する。

検証の結果、署名が無効であると判断された場合には、ブートローダやOSなどが外部の攻撃者やマルウェアによって不正に改竄されたり差し替えられた偽物である危険性があるため、起動を拒否してエラーメッセージを表示する。

2013年に策定されたUEFI 2.3.1に盛り込まれた仕様で、主に米マイクロソフト（Microsoft）社のWindows 8以降に対応するコンピュータに導入されている。WindowsだけでなくVMware製ハイパーバイザや著名なLinuxディストリビューションなども対応している。UEFIの設定画面で有効と無効を切り替えることができる。