Windows Info 第525回

6月以降「PCが起動不可能に？」と間違った騒がれ方をしている原因の「セキュアブート」とは？

　2026年6月に証明書の期限切れを迎えることで、セキュアブートに関する記事をよく見かけるようになった。マイクロソフトのサイト上にも詳しい情報が掲載されている。しかし、ネット上ではPVを稼ぎたいのか、ユーザーを不安にさせるような、「起動不可能になる？」的なアオリを入れた記事は少なくない。しかし結論から言えば、Windows Updateさえちゃんと実行していれば、何も心配はなく忘れてしまってもいいような問題である。

適切にWindows Updateを実行していると、上画面のような表示となり、まったく問題は生じない

　もっとも問題の内容をきちんと理解したい人もいるだろうから、ここでは、基本に立ち返り、セキュアブートや証明書の更新などについてきちんと解説する。

そもそもセキュアブートとは？

　Windowsには、さまざまなセキュリティ機能が組み込まれているが、これらが基盤とするのは、Windows自身が正しい状態にあることだ。Windows自体がなんらかの悪意を持ったソフトウェアに影響されていては、いくらセキュリティを高めても意味はない。

　Windowsが一番脆弱になるのは、その機能が完全に動作していない起動時である。一般的にOSは、起動メディアに記録されているブートローダーがメモリに読み込まれ、これが、オペレーティングシステムを起動する準備をする。つまり、ブートローダーを書き換えてしまえば、OSを改変して起動させることが簡単にできてしまう。

より詳しい情報についてはマイクロソフトのサイトで解説されている

　その対策として、2012年のWindows 8で導入されたのが「セキュアブート」だ。セキュアブートはファームウェアがUEFIであることが前提となる。UEFIにはWindows Vista 64bit版から対応が始まったが、その後のWindows 7／8／10では推奨とはなったものの、必須ではなかった。つまり、Windows 10まではIBM PCから続くBIOSからの起動も可能だった。UEFIが必須となったのはWindows 11からである。

　セキュアブートでは、電子署名と電子証明書を使い、ブートローダーが改変されていない正しいものであることを確認する。

　ご存じの方もいらっしゃるかもしれないが、ここで簡単に電子署名と電子証明書について解説しておく。電子署名とは、対象のデータ（ファイル）の作成者を示すとともに、改竄されていないことを証明するものだ。それには公開鍵暗号を使う。秘密鍵で暗号化したデータは公開鍵で検証できる。

　逆に言うと、公開鍵で検証が可能なら、電子署名を作成したのは秘密鍵の所有者であることが確認できる。このとき、データの改竄を検出するために、データのハッシュ値を暗号化する。

　ハッシュ値は、デジタルデータの並びに対して生成される値で、改竄がされるちハッシュ値が変化してしまう。ハッシュ値は元のデータから計算することは簡単だが、ハッシュ値からそれを生成できるデジタルデータを作ることは困難であり、ハッシュ値を変えないようにデジタルデータを変更することは事実上不可能に近い。

　ハッシュ値を使うことで、対象のデータ自体を使わずに済むので、電子署名自体が小さくなり、短時間で計算できるようになる。

　ただしこのままでは、暗号化したのが誰なのかを確認できない。これを証明するのが「電子証明書」である。これは、認証局と呼ばれる組織が、署名者（秘密鍵の持ち主）の存在や正当性を確認したうえで、署名者の身元情報とその公開鍵を結びつけたものだ。

　認証局に問いあわせすることで、署名者の公開鍵と身元情報が得られ、電子署名から得られた署名者情報と比較して一致すれば、電子署名をした署名者の身元を確認できる。この電子証明書自体は改竄を防ぐために認証局が電子署名を行う。電子証明書は、具体的には、「公開鍵証明書」（X.509証明書）と呼ばれるデータである（https://ja.wikipedia.org/wiki/X.509#%E8%A8%BC%E6%98%8E%E6%9B%B8）。

　簡単に言えば、対象のデータのハッシュ値と署名者情報を秘密鍵で暗号化したものが「電子署名」で対象データと一緒に配布する。さらに電子証明書を使うことで、電子署名をした署名者の身元が確認できる。

ASCII倶楽部