セキュアブート
読み:セキュアブート
外語:secure boot
ディジタル署名されたソフトウェア以外ではコンピューターを起動できないようにする技術。UEFIで規定されている。
概要
コンピューター起動時に、ディジタル署名されていないソフトウェアを実行しないようにする技術。
ブートローダーと呼ばれる、オペレーティングシステム(OS)が起動するよりも前に動作する起動プログラムの書き換え(改竄)を検出し、各々が改竄されていないかをチェックしながら実行することで、第三者により改造されたプログラムの動作を不可能にする。
署名が不正であったり、署名されていないプログラムに置き換わっていた場合は、その場で動作を停止する。
これにより、コンピューターウイルスやrootkit等などがOS起動前に実行され、OSのマルウェア(不正プログラム)検出機構などを回避してしまうなどの不正動作を回避することができ、もってOS改竄などでのコンピューターセキュリティ侵害も防ぐことができる。
特徴
Windows
かねてより、Windowsはセキュリティ面で脆弱なOSであるとの批判がWindows以外のOS界隈から存在した。
そこでMicrosoftは、ユーザーアカウント制御(UAC)をWindows Vistaから導入したのに続き、Windows 8からはセキュアブートを認定の必須条件とすることで、Windowsをセキュリティ面でも強固なOSとした。
この機構を実装したUEFI(新設計のBIOS)を搭載しないと、Windows 8対応を謳うことができない。
以降、ハードウェアベンダーはWindows 8認定PCにWindows用の認証キーを組み込んでいる。
Linux
Windows 8認定PCで他のOSを起動するには、Windows用の認証キーが必要である。セキュリティのため、Windows用の認証キーがなければ他のOS(例えばLinux)を組み込んだり起動したりすることができない。
Windows用の認証キーはMicrosoftが持っており、有償で合鍵を入手できる。Red HatはWindows 8認定PC上でもRed Hat Enterprise Linuxが使えるように、Microsoftから認証キーを購入し、Red HatをUEFIセキュアブートに対応させた。
これに対してLinux界隈からは、セキュアブートに対する批判が相次いだ。Windowsがセキュリティを強固にしたことが不満なようである。
特にその筆頭はLinus Torvaldsだが、Linusの場合、セキュアブート自体は批判していないものの、そこで使われているUEFIキーの仕様について問題視をしているもようである。
再検索