セキュアブートは、PC起動時にOS起動ファイルやドライバのデジタル署名を検証する仕組みです。BIOSパスワードやマルウェア対策ソフトとの違いをSG試験向けに整理します。

最終更新日:2026年5月7日

sg sg-security-measures malware crypto_auth system_architecture

まず結論

セキュアブートとは、PCの起動時に、OS起動ファイルやドライバなどのデジタル署名を検証し、信頼できないプログラムを起動させない仕組みです。

SG試験では、セキュアブートは「OSが起動したあとにウイルスを検査する機能」ではなく、OSが起動する前の段階で、不正なプログラムの実行を防ぐ仕組みとして押さえるのがポイントです。

選択肢では、次のような表現を切り分けます。

  • 起動時に署名を検証する → セキュアブート
  • BIOSにパスワードを設定する → BIOSパスワード
  • HDDにパスワードを設定する → HDDパスワード
  • OS起動後にマルウェアスキャンする → マルウェア対策ソフト

直感的な説明

セキュアブートは、PCの電源を入れた直後に行う入場チェックのようなものです。

たとえば、会社の入口で社員証を確認して、許可された人だけを中に入れるイメージです。セキュアブートでは、人の代わりに、OS起動ファイルやドライバなどのプログラムを確認します。

ポイントは、確認するタイミングです。

マルウェア対策ソフトは、基本的にOSが起動してから動きます。一方、セキュアブートはOSが起動する前に確認します。

そのため、OSより先に動こうとする不正なプログラムを防ぐ対策として出題されやすいです。

定義・仕組み

セキュアブートは、UEFI(Unified Extensible Firmware Interface)で規定されている起動時のセキュリティ機能です。

PCの起動時には、OS本体だけでなく、起動に必要なプログラムやドライバが順番に読み込まれます。ここに不正なプログラムが入り込むと、OSが起動する前にマルウェアが動き出してしまう可能性があります。

セキュアブートでは、起動に関わるプログラムに付けられたデジタル署名を確認します。署名が正しく、信頼できるものだと判断されれば起動を続けます。信頼できないものは実行させません。

Microsoft Learn でも、Secure Boot は、デバイスがメーカーに信頼されたソフトウェアだけで起動することを助けるセキュリティ標準として説明されています。詳しくは Microsoft Learn の Secure boot が参考になります。

大まかな流れは、次のように考えると分かりやすいです。

  1. PCの電源を入れる
  2. UEFIが起動に必要なプログラムを確認する
  3. デジタル署名が信頼できるかを検証する
  4. 問題がなければOSの起動を進める
  5. 信頼できないものは起動させない

ここで大事なのは、セキュアブートが「暗号化」そのものではないことです。デジタル署名を使って、改ざんされていないか、信頼できる発行元かを確認する仕組みです。

どんな場面で使う?

セキュアブートは、PCやサーバーなどの端末を安全に起動させたい場面で使われます。

特に意識したいのは、ブートキットルートキットのように、OSより前の段階で動こうとするマルウェアへの対策です。

たとえば、HDDやSSDの起動領域に不正なプログラムが入り込むと、OSが起動する前にマルウェアが実行されるおそれがあります。OS起動後のマルウェア対策ソフトだけでは、このような攻撃を見つけにくい場合があります。

セキュアブートは、こうした起動時の改ざんを防ぐために有効です。

ただし、セキュアブートを有効にすれば、すべてのマルウェアを防げるわけではありません。OS起動後に実行されるマルウェア、フィッシング、標的型攻撃メール、脆弱性を悪用する攻撃などには、別の対策も必要です。

SG試験では、セキュアブートを「万能なマルウェア対策」と考えず、起動時の信頼性を確認する対策として切り分けることが大切です。

よくある誤解・混同

BIOSパスワードとの違い

BIOSパスワードは、PC起動時や設定変更時にパスワード入力を求める仕組みです。

目的は、勝手にBIOS設定を変更されたり、PCを不正に起動されたりすることを防ぐことです。

一方、セキュアブートは、パスワード入力ではなく、起動プログラムのデジタル署名を検証する仕組みです。

選択肢に「BIOSにパスワードを設定する」とあれば、セキュアブートではありません。

HDDパスワードとの違い

HDDパスワードは、HDDやSSDにアクセスする前にパスワード入力を求める仕組みです。

目的は、ストレージ内のデータへ不正にアクセスされることを防ぐことです。

一方、セキュアブートは、ストレージの読み取りをパスワードで制限するものではありません。起動時に読み込まれるプログラムが信頼できるかを確認します。

選択肢に「HDDにパスワードを設定する」とあれば、HDDパスワードの説明です。

マルウェア対策ソフトとの違い

マルウェア対策ソフトは、主にOS起動後にファイルや通信、実行中のプログラムを監視・検査します。

一方、セキュアブートは、OSが起動する前の段階で、起動に関わるプログラムを検証します。

選択肢に「スタートアッププログラムに登録して、OS起動時に自動スキャンする」とあれば、セキュアブートではなく、マルウェア対策ソフトの説明です。

デジタル署名=暗号化ではない

セキュアブートではデジタル署名が出てくるため、暗号化と混同しやすいです。

暗号化は、データを読めない形に変換して、内容を守るための技術です。

デジタル署名は、データやプログラムが改ざんされていないこと、信頼できる相手が作成したことを確認するための仕組みです。

セキュアブートで問われるのは、データを隠すことではなく、信頼できる起動プログラムかを確認することです。

まとめ(試験直前用)

セキュアブートは、OS起動前にデジタル署名を検証する仕組みです。

試験では、次の判断基準で切り分けます。

  • 起動時に署名を検証する → セキュアブート
  • BIOSにパスワードを設定する → BIOSパスワード
  • HDDにパスワードを設定する → HDDパスワード
  • OS起動後にスキャンする → マルウェア対策ソフト
  • すべてのマルウェアを防ぐ → 言いすぎなので注意

セキュアブートは、OSが動き出す前に「この起動プログラムは信頼できるか」を確認する対策です。SG試験では、起動前・署名検証・不正な起動プログラムを防ぐという3点を思い出せれば、選択肢を切りやすくなります。

© 2024-2026 stemtazoo. All rights reserved.