UEFI の機能で、署名検証された(信頼された)ブートローダー・カーネルのみが起動を許可されるセキュリティ機構。OS 起動前に動作するルートキット・ブートキット(Bootkit)対策として、Windows 8 以降で標準化された。
仕組み
UEFI ファームウェアに Microsoft の証明書などが組み込まれており、起動時にブートローダーの署名を検証する。署名が無いか不正なら起動を拒否する。
電源 ON
↓
UEFI が ESP のブートローダーを読込
↓
署名を検証
├─ ✅ 検証 OK → ブートローダー実行
└─ ❌ 検証 NG → 起動拒否Linux との関係
Linux は Microsoft の署名を直接持たないため、Shim という中間ブートローダーを介して対応する。
UEFI(Microsoft 署名を検証)
↓
Shim(Microsoft が Linux 用に署名)
↓
GRUB(Shim が検証)
↓
Linux カーネル(GRUB が検証)Ubuntu 22.04 以降は Shim 経由で Secure Boot に完全対応しており、Secure Boot を ON のままインストール・運用できる。
よくある誤解
| 誤解 | 実態 |
|---|---|
| 「Linux 入れるなら Secure Boot OFF」 | 古い情報(Ubuntu 22.04 以降 ON のままで OK) |
| 「Secure Boot で何でもブロックされる」 | 署名のないブートローダーのみ拒否。ユーザーキー追加で任意の OS も可 |
| 「Secure Boot は完全な防御」 | 起動段階の対策のみ。OS 起動後のマルウェアには無力 |
デュアルブート時の注意
Secure Boot を OFF にすると Windows 側の BitLocker が回復キー要求を発動することがある。BitLocker が有効な業務 PC では、Secure Boot は ON のまま維持するのが安全。
関連記事
- Windows 11 + Ubuntu 26.04 LTS デュアルブート構築 — Secure Boot ON のままインストールする手順