セキュア ブートの概要

更新日: 2014年2月

適用対象: Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

セキュア ブートは、PC 業界のメンバーによって開発されたセキュリティ標準で、PC の製造元から信頼されるソフトウェアのみを使って PC が起動されるようにします。

PC が起動されると、ファームウェアにより、ファームウェア ドライバー (オプション ROM) を含む各ブート ソフトウェアとオペレーティング システムの署名がチェックされます。署名が有効な場合は、PC が起動され、ファームウェアからオペレーティング システムに制御が渡されます。

セキュア ブートがサポートされる Windows は、Windows 8.1、Windows Server 2012 R2、Windows RT 8.1、Windows 8、Windows Server 2012、Windows RT です。

noteメモ
Windows 8.1、Windows Server 2012 R2、Windows RT 8.1 にアップグレードした後に "セキュア ブートが正しく構成されていない" という透かしが表示されるようになった場合の対処法

透かしを削除する修正プログラムがリリースされています。

Windows 8.1 および Windows Server 2012 R2 のユーザーは、修正プログラムをインストールして透かしを削除できます (Microsoft サポート技術情報の記事 ID 2902864)。

詳しくは、「"セキュア ブートが正しく構成されていない": トラブルシューティング」をご覧ください。

  • 最新バージョンの Windows にアップグレードするには、セキュア ブートが必要ですか。

    いいえ。Windows Vista または Windows 7 からの追加のハードウェア要件はありません。

    セキュア ブートは、PC のセキュリティを強化するために PC 製造元がアクティブ化できるオプションの機能であり、新たにロゴ認定されたすべての Windows 8.1 PC、Windows RT 8.1 PC、Windows(R) 8 PC、Windows RT PC に含まれています。

  • 新しいハードウェアが信頼されていない場合はどうなりますか。

    通常は、PC を起動できません。発生する可能性がある問題は、次の 2 種類です。

    • ファームウェアは、オペレーティング システム、オプション ROM、ドライバー、またはアプリがセキュア ブート データベースによって信頼されていないために、それらを信頼しない場合があります。

    • 一部のハードウェアは、署名される必要があるカーネル モードのドライバーを必要とします。注: カーネル モード ドライバーの署名はセキュア ブートの最近の要件であるため、多くの古い 32 ビット (x86) ドライバーは署名されていません。詳しくは、カーネル モード ドライバーに関するセキュア ブート機能の署名要件についてのページをご覧ください。

    詳しくは、セキュア ブートを有効にした Windows 8 が新しいハードウェアのインストール後に起動できなくなる問題に関するページをご覧ください。

  • 製造元によって信頼されていないハードウェアを追加したり、ソフトウェアやオペレーティング システムを実行したりするには、どうすればよいですか。

    • Microsoft や PC 製造元からのソフトウェアの更新を確認できます。

    • 製造元に連絡して、新しいハードウェアやソフトウェアをセキュア ブート データベースに追加するように要求することもできます。

    • ほとんどの PC では、PC の BIOS 設定でセキュア ブートを無効にできます。詳しくは、「セキュア ブートの無効化」をご覧ください。

      ロゴ認定を取得した Windows RT 8.1 PC および Windows RT PC ではセキュア ブートを構成する必要があり、無効化することはできません。

  • PC のセキュア ブート データベースを編集するにはどうすればよいですか。

    この操作は、PC 製造元だけが行うことができます。

セキュア ブートには、UEFI 仕様バージョン 2.3.1、Errata C 以降に適合する PC が必要です。

セキュア ブートは UEFI クラス 2 およびクラス 3 の PC でサポートされています。UEFI クラス 2 の PC では、セキュア ブートが有効になっている場合、承認された UEFI ベースのオペレーティング システムのみを起動するように、互換性サポート モジュール (CSM) を無効にする必要があります。

セキュア ブートには、トラステッド プラットフォーム モジュール (TPM) は必要ありません。

カーネル モード デバッグの有効化、TESTSIGNING の有効化、または NX の無効化を行うには、セキュア ブートを無効にする必要があります。OEM について詳しくは、Windows 8 セキュア ブート キーの作成と管理に関するガイダンスをご覧ください。

PC 上でセキュア ブートがアクティブになっている場合、PC は各ソフトウェア、UEFI ドライバー (オプション ROM とも呼ばれます)、オペレーティング システムを、ファームウェアに保持されている既知の適切な署名のデータベースと照合します。各ソフトウェアが有効である場合、ファームウェアはソフトウェアとオペレーティング システムを実行します。

PC が展開される前に、OEM はセキュア ブート データベースを PC に格納します。これには、署名データベース (db)、失効した署名データベース (dbx)、キー登録キー データベース (KEK) が含まれます。これらのデータベースは、製造時にファームウェアの不揮発性 RAM (NV-RAM) に格納されます。

署名データベース (db) と失効した署名データベース (dbx) は、UEFI アプリケーションの署名者またはイメージ ハッシュ、オペレーティング システム ローダー (Microsoft オペレーティング システム ローダー、ブート マネージャーなど)、個々の PC に読み込むことができる UEFI ドライバー、信頼されなくなって読み込みを許可されないアイテムの失効したイメージのリストを持っています。

キー登録キー データベース (KEK) は、これらとは別の署名キーのデータベースです。KEK は署名データベースと失効した署名データベースの更新に使います。将来マイクロソフトが新しいオペレーティング システムを署名データベースに追加したり、既知の正しくないイメージを失効した署名データベースに追加したりできるように、マイクロソフトが指定するキーを KEK データベースの中に含める必要があります。

OEM は、これらのデータベースを追加し、ファームウェアの最後の検証とテストを行った後で、編集されないようにファームウェアをロックします。ロックの例外は、正しいキーで署名された更新プログラム、またはファームウェア メニューを使う実在のユーザーによる更新です。その後プラットフォーム キー (PK) を生成します。 PK は、KEK の更新プログラムの署名、またはセキュア ブートをオフにするために使うことができます。

OEM がこれらのデータベースを作る際のツールや支援については、ファームウェアの製造元に問い合わせてください。詳しくは、Windows 8 セキュア ブート キーの作成と管理のガイダンスをご覧ください。

  1. PC の電源を入れると、署名データベースがそれぞれプラットフォーム キーに対して確認されます。

  2. ファームウェアが信頼されない場合、ファームウェアを信頼された状態に復元するために、UEFI ファームウェアは OEM 固有の回復を開始します。

  3. Windows ブート マネージャーに問題がある場合には、ファームウェアは Windows ブート マネージャーのバックアップ コピーによる起動を試みます。これも失敗した場合、ファームウェアは OEM 固有の修復を開始します。

  4. Windows ブート マネージャーが起動した後で、ドライバーまたは NTOS カーネルに問題があった場合には、これらのドライバーまたはカーネル イメージを回復できるように、Windows 回復環境 (Windows RE) が読み込まれます。

  5. Windows がマルウェア対策ソフトウェアを読み込みます。

  6. Windows が他のカーネル ドライバーを読み込み、ユーザー モード プロセスを初期化します。

詳しくは、ホワイトペーパーの「セキュア ブートとメジャー ブート: マルウェアに対する初期ブート コンポーネントの強化」をご覧ください。

関連項目

表示: