対象試験と出題頻度
セキュアブートは、ITパスポート・基本情報技術者・応用情報技術者のいずれでも出題されるテーマです。
基本情報のH30秋と応用情報のR5秋では、ほぼ同一の問題が出題されました。ITパスポートでもR5・R6で登場しており、Windows 11でセキュアブートが必須要件になったことで今後も出題される可能性が高い用語です。
詳細をクリックして確認
ITパスポート
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
セキュアブート(Secure Boot)とは、一言で言うと
「PCの起動時にOSやドライバのデジタル署名を検証し、正当なものだけを実行することで、OS起動前のマルウェア実行を防ぐ仕組み」
のことです。
イメージとしては、「空港の搭乗ゲートで行われるパスポートチェック」のようなものです。
飛行機に乗るとき、搭乗ゲートで全員のパスポートと搭乗券が確認されます。偽造パスポートの持ち主は搭乗を拒否されます。セキュアブートはこれと同じで、PCの電源を入れてからOSが起動するまでの「搭乗ゲート」で、読み込まれるプログラムに正規の「身分証(=デジタル署名)」があるかを一つずつ検証します。
署名が正当でないプログラムは実行を拒否されるので、OSが立ち上がる前にマルウェアが紛れ込む余地がありません。
📊 セキュアブートの基本情報
| 項目 | 内容 |
|---|---|
| 英語表記 | Secure Boot |
| 目的 | OS起動前に不正なプログラム(マルウェアなど)が実行されるのを防ぐ |
| 検証方法 | OSやドライバに付与されたデジタル署名をUEFIが保持する証明書で検証する |
| 規定元 | UEFI(Unified Extensible Firmware Interface)仕様 |
| 対応OS | Windows 8以降(Windows 11では必須要件)、主要なLinuxディストリビューション |
解説
セキュアブートが必要になった背景には、ブートセクタ感染型マルウェアの脅威があります。
従来のマルウェア対策ソフトはOSが起動した後に動き始めるため、OS起動前のタイミングで実行されるマルウェアには対処できませんでした。
HDDのブートセクタ(OSを読み込む先頭領域)に感染するマルウェアは、OSより先に動作するため、マルウェア対策ソフトから検知されません。この「盲点」を塞ぐために、UEFIの仕様としてセキュアブートが導入されました。
セキュアブートの動作の流れ
PCの電源投入からOS起動までの間に何が起きるか、順を追って整理します。
📊 セキュアブートの動作手順
| 順序 | 処理 | 内容 |
|---|---|---|
| 1 | 電源ON | PCの電源が入り、まずUEFIファームウェアが起動する |
| 2 | 署名の検証 | UEFIが、ブートローダー・OS起動ファイル・ドライバなど読み込むプログラムのデジタル署名を一つずつ検証する |
| 3 | 判定 | 署名が有効 → 実行を許可する / 署名が無効または未署名 → 実行を拒否する |
| 4 | OS起動 | 検証に合格したプログラムだけが実行され、安全な状態でOSが起動する |
ポイントは、検証を行うのが「UEFI」である点と、タイミングが「OS起動前」である点の2つです。
過去問では、この2つのキーワードが正解を見分けるカギになっています。
UEFIとBIOSの違い
セキュアブートを理解するには、UEFIとBIOSの関係を押さえておく必要があります。
📊 BIOSとUEFIの比較
| 比較項目 | BIOS | UEFI |
|---|---|---|
| 正式名称 | Basic Input/Output System | Unified Extensible Firmware Interface |
| 役割 | PCのハードウェア初期化とOSの読み込み | 同左+セキュアブートなどの拡張機能 |
| セキュアブート | 非対応 | 対応(仕様に含まれている) |
| 関係 | UEFIはBIOSの後継仕様。現在販売されているPCの大半はUEFI搭載 | |
試験ではBIOSとUEFIの違いそのものは深く問われません。
「セキュアブートはUEFIで規定されている機能である」という点だけ覚えておけば十分です。
混同しやすい用語との区別
セキュアブートと紛らわしい選択肢が過去問に繰り返し登場しています。正解を確実に選ぶために、混同しやすい3つの概念を整理します。
📊 セキュアブートと混同しやすい概念
| 概念 | 内容 | セキュアブートとの違い |
|---|---|---|
| BIOSパスワード | BIOS設定画面にパスワードを設定し、起動時に入力を要求する | パスワードによる起動制限であり、プログラムのデジタル署名検証は行わない |
| HDDパスワード | HDD/SSDにパスワードを設定し、起動時にパスワードを要求する | ストレージへの不正アクセス防止が目的であり、起動プログラムの正当性は検証しない |
| 起動時マルウェアスキャン | マルウェア対策ソフトをスタートアップに登録し、OS起動時にスキャンする | OSが起動した後のスキャンであり、OS起動前のマルウェア実行は防げない |
この3つはいずれも過去問で不正解選択肢として登場した実績があります。
セキュアブートの核心は「OS起動前にデジタル署名を検証する」点にあるので、パスワード入力やOS起動後のスキャンとは本質的に異なります。
では、この用語が実際の試験でどのように問われるか見ていきましょう。
💡 セキュアブートの核心を3行で
・PCの起動時にOSやドライバのデジタル署名を検証し、正当なものだけを実行する仕組み
・BIOSの後継仕様であるUEFIに規定されている機能
・OS起動前のマルウェア実行を防止する点が、通常のマルウェア対策ソフトとの最大の違い
📌 試験対策のポイント
UEFIの内部構造やデジタル署名の暗号アルゴリズムまでは問われません。
「OS起動前にデジタル署名を検証して、不正なプログラムの実行を防ぐ」という定義を覚え、BIOSパスワード・HDDパスワード・OS起動後のスキャンと区別できれば得点できます。
試験ではこう出る!
セキュアブートは、基本情報と応用情報で同一問題が出題された実績があり、ITパスポートでも繰り返し登場しています。
出題パターンは「セキュアブートの説明はどれか」を問う四択形式がほぼ固定されています。
📊 過去問での出題実績
| 試験回 | 出題内容 | 正解の趣旨 |
|---|---|---|
| 応用情報 R5秋 問42 |
「セキュアブートの説明はどれか」。BIOSパスワード・HDDパスワード・スタートアップスキャンが不正解選択肢。 | PCの起動時にOSやドライバのデジタル署名を検証し、有効なものだけを実行してOS起動前のマルウェア実行を防ぐ |
| 基本情報 H30秋 問43 |
上記R5秋とほぼ同一の問題。選択肢の文言が一部異なるが正解の趣旨は同じ。 | 同上 |
| ITパスポート R5 問85 |
「OS起動時にデジタル署名を検証し、正当な場合だけ実行する技術はどれか」。GPU・RAID・リブートが不正解選択肢。 | セキュアブート |
| ITパスポート R6 問63 |
「SSDの全データを消去する方法はどれか」。セキュアブートが不正解選択肢として登場(正解はSecure Erase)。 | セキュアブートはデータ消去の技術ではないことの理解が必要 |
出題パターンには明確な傾向があります。
正解選択肢は毎回「デジタル署名を検証」「OS起動前」「不正なプログラムの実行を防ぐ」という3つのキーワードで構成されています。
不正解選択肢には「BIOSパスワード」「HDDパスワード」「マルウェア対策ソフトの自動スキャン」が定番で並びます。
【頻出キーワード】
- OS起動前(OS起動完了前)のマルウェア実行を防止
- デジタル署名の検証
- UEFI(BIOSの後継仕様)
- ブートローダー・ドライバの正当性確認
- ブートセクタ感染型マルウェアへの対策
試験問題で「起動時にOSやドライバのデジタル署名を検証して、正当なものだけを実行する」という記述が選択肢にあれば、それが「セキュアブート」です。逆に「パスワード入力を要求する」「マルウェア対策ソフトを自動起動する」は別の仕組みです。
📝 IPA試験での出題パターン
午前問題では「セキュアブートの説明はどれか」形式が定番です。基本情報と応用情報で同一問題が使い回されており、今後も同じパターンで出題される可能性が高いです。
ITパスポートでは用語の名称を答えさせる形式(「この技術は何か」)や、不正解選択肢として登場するパターンもあります。「デジタル署名」「OS起動前」「UEFI」の3語をセットで覚えておけば、どの出題形式にも対応できます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. セキュアブートの説明として、最も適切なものはどれでしょうか?
- A. BIOSにパスワードを設定し、PC起動時にパスワード入力を要求することによって、OSの不正な起動を防ぐ技術
- B. PCの起動時にOSやドライバのデジタル署名を検証し、許可されていないものを実行しないようにすることによって、OS起動前のマルウェアの実行を防ぐ技術
- C. マルウェア対策ソフトをスタートアッププログラムに登録し、OS起動時に自動的にマルウェアスキャンを行うことによって、マルウェアの被害を防ぐ技術
正解と解説を見る
正解:B
解説:
セキュアブートは、PCの起動時にOSやドライバに付与されたデジタル署名をUEFIが検証し、正当なプログラムだけを実行する仕組みです。これにより、OSが立ち上がる前のタイミングで不正なプログラムが紛れ込むことを防止します。基本情報のH30秋 問43、応用情報のR5秋 問42で全く同じ趣旨の選択肢が正解になっています。
選択肢Aは「BIOSパスワード」の説明です。BIOSパスワードは起動を制限するための仕組みであり、読み込まれるプログラムの正当性を署名で検証する機能は持っていません。選択肢Cは「OS起動後のマルウェアスキャン」の説明です。マルウェア対策ソフトはOSが起動した後に動作するため、OS起動前に実行されるブートセクタ感染型マルウェアは検知できません。セキュアブートはこの「OS起動前の盲点」を塞ぐための技術です。
よくある質問(FAQ)
Q. セキュアブートとTPM(Trusted Platform Module)はどう違いますか?
セキュアブートは「起動時にプログラムの署名を検証して不正な実行を阻止する仕組み」、TPMは「暗号鍵の生成・保管やデータの暗号化を担う耐タンパ性を備えたセキュリティチップ」です。セキュアブートが「門番」なら、TPMは「金庫番」と考えてください。Windows 11ではセキュアブートとTPM 2.0の両方がシステム要件として求められており、互いに補完する関係にあります。
Q. セキュアブートを有効にするとLinuxが起動できなくなると聞きましたが?
かつてはセキュアブートがMicrosoft署名のOSしか認めなかったため、一部のLinuxが起動できない問題がありました。現在は主要なLinuxディストリビューション(Ubuntu、Red Hat Enterprise Linuxなど)がセキュアブートに対応しており、正規の署名付きブートローダー(shimなど)を使うことで問題なく起動できます。試験範囲では深掘りされないので、「現在は主要OSが対応済み」と覚えておけば十分です。
Q. セキュアブートはIoT機器にも使われていますか?
PC向けのUEFIセキュアブートとは実装が異なりますが、IoT機器でも同じ「起動時にファームウェアの正当性を署名で検証する」考え方が広く採用されています。IoTセキュリティガイドライン(総務省・経済産業省)でも、機器のソフトウェア改ざん対策としてセキュアブートの導入が推奨されています。ITパスポートのR5 問85では「IoT機器におけるソフトウェアの改ざん対策にも用いられ」という記述で出題されました。
Q. セキュアブートを無効にしても問題ありませんか?
セキュアブートを無効にすると、デジタル署名のないプログラムも起動時に実行可能になるため、ブートセクタ感染型マルウェアに対するリスクが高まります。開発やテスト目的で一時的に無効にするケースはありますが、通常の業務利用では有効のままにしておくことが推奨されます。なお、Windows 11はセキュアブートが無効だとインストール時に警告が表示されます。
