今年6月にPCが起動しなくなる心配はないが、セキュアブートが機能しないとWindowsのセキュリティ機能は一部使えなくなる

2026年05月06日 10時00分更新

文● 塩田紳二　編集● ASCII

セキュアブートが無効でも多くの人は気づかないままかも
でもあえて無効にするべきでもない

　このように、セキュアブートが無効だと、Windows 11の多くのセキュリティ機能に影響してしまう。ただし、だからといって、Windows 11が動かないわけではない。筆者は自宅で自作マシンをデスクトップマシンとして使っていた。そのマザーボードの初期状態ではセキュアブートが無効になっており、気がつかないまま、ずっとマシンを利用していた。

　Windowsの多くのセキュリティ機能は、条件を満たしたときに勝手に有効になる、あるいは既定値が有効になっている。結局気がついたのは、デスクトップマシンでセキュリティ機能の画面写真を撮ろうとしたときで、インストールから1年以上経過していた。

　その間、危険といえば危険だったはずだが、デスクトップマシンで、パケットフィルタが有効で、外部からの接続がほとんどないルーターの内側にあったため、セキュリティ上の問題は発生しなかった。しかし、これがモバイルマシンだった場合、ネットワーク側の関門はWindowsのファイアウォールしかなく、危険度は上がっていたと考えられる。

　セキュアブートは、起動ドライブに記録されているブートローダーの電子署名を検証する。ブートローダーは、Windowsを起動するプログラム（Windows OSローダー）を読み出し、これを実行する。OSローダーは、起動メディアに記録されているWindowsカーネルをロードして起動する。Windowsカーネルは、デバイスドライバをロードしてWindows実行環境を構築していく。

　この流れで、前段のプログラムが後段のプログラムの電子署名を検証し、検証できたプログラムだけを実行する。もし、検証に失敗した場合はその時点で起動処理が止まる。この一連の検証、起動の連鎖を「信頼できるブート」(Trusted Boot）という。

　セキュアブートは、信頼できるブートの一部であり、ブートローダーの電子署名を検証し、改竄がないことを確認する。これに対して信頼できるブートは、OS（Windows）が起動する直前までが監視範囲である。具体的には、ファームウェア（UEFI）の起動からカーネルの起動、初期ブートデバイスドライバまでを検証する。

　信頼できるブートと同時に実行されるのが「メジャー・ブート」（Measured Boot）で、これは、検証対象の実行過程をハッシュ化してPCR（Platform Configuration Register）に記録していく。PCRは、TPMの中にある記憶領域で、1バンクに0～23の24個の領域がある。バンクは、ハッシュ関数（SHA-256やSHA-384、あるいは後方互換性用のSHA-1など）ごとに分かれている。ただし、現在SHA-256以外はTPMの実装依存である。

　メジャー・ブートでは、検証がされる場合に、モジュール単位で実行順にSHA-256でハッシュ値を作っていく。検証対象に対応するPCR番号に格納されたハッシュ値の後に今計算したハッシュ値をつなげ、そのハッシュ値を計算してPCRに書き込む。これを「累積」（extend）と呼ぶ。PCRに記録されている値は、同じモジュールを同じ実行順でハッシュ計算したときだけ一致する。このことを使って信頼できるブートでは、対象を検証していく。以下の表にWindowsが利用するPCRを示す。

　Windows 11では、可能ならPCR 7だけを使って検証を行う。しかし、PCR 7が利用できてい場合、PCR 0/2/4/11を使う。なお、PCR 7を使っているか、そうでないか（セキュアブートが無効の場合を含む）は、msinfo32.exeを管理者に昇格させて起動することで調べられる。

PCR 7が利用されているかどうか、あるいはセキュアブートが有効かどうかは、msinfo32.exeを管理者権限で実行すること（sudo msinfo32.exe）で判断できる。セキュアブートが有効な場合、「PCR7 構成」は「バインド済み」となり、無効の場合には「バインド不可」と表示される

　モジュールのハッシュ値を実行順に計算していくというのは、一見難しそうである。たとえば、UEFIは、内部に仮想ファイルシステムを持っており、実行されるUEFIの機能は、この仮想ファイルシステムからメモリにロードして実行するようになっている。このため、UEFIの機能を実行順にモジュールごとにハッシュ値を計算することは難しくない。

　このようにして、メジャー・ブートは、PCRに検証の記録を残していく。Windowsが起動したあとでもPCR値を検証することで、Windows起動までの検証がどうだったのかを確認できる。

　信頼できるブートでは、対象を検証するプログラムは前段階のプログラムから検証を受けているため、改竄されたプログラムを実行してしまう可能性は低い。

　前述のようにWindows 11のセキュリティ機能の多くは、信頼できるブートを前提としている。信頼できるブートの一部であるセキュアブートが無効になれば、信頼できるブートも意味をなさなくなる。結果的に、セキュアブートが有効かどうかが多くのセキュリティ機能に影響するわけだ。

　セキュアブートは、UEFI設定（BIOS設定）で有効無効を選択できるが、再インストールしたマシンならともかく、現在利用中のマシンであれば、有効であるものを無効にすることは避けるべきだ。

前へ 1 2 次へ

ツイートする

カテゴリートップへ