次の方法で共有


セキュア ブートと信頼できるブート

この記事では、Windows 11 に組み込まれているセキュア ブートとトラステッド ブートのセキュリティ対策について説明します。

セキュア ブートとトラステッド ブートは、Windows 11 デバイスの起動時にマルウェアや破損したコンポーネントの読み込みを防ぐのに役立ちます。 セキュア ブートは初期起動保護で開始され、次にトラステッド ブートによってプロセスが選択されます。 セキュア ブートとトラステッド ブートを組み合わせることで、Windows 11 システムを安全かつ安全に起動できます。

セキュア ブート

オペレーティング システムを保護する最初の手順は、初期ハードウェアとファームウェアのブート シーケンスが初期ブート シーケンスを安全に完了した後に安全に起動するようにすることです。 セキュア ブートは、Windows カーネルのトラステッド ブート シーケンスを介して、統合拡張ファームウェア インターフェイス (UEFI) から安全で信頼されたパスを作成します。 Windows ブート シーケンスに対するマルウェア攻撃は、UEFI、ブートローダー、カーネル、およびアプリケーション環境間のブート シーケンス全体を通して、署名強制ハンドシェイクによってブロックされます。

PC が起動プロセスを開始すると、最初にファームウェアがデジタル署名されていることを確認し、ファームウェア ルートキットのリスクを軽減します。 次に、セキュア ブートは、オペレーティング システムの前に実行されるすべてのコードをチェックし、OS ブートローダーのデジタル署名を確認して、セキュア ブート ポリシーによって信頼されていて、改ざんされていないことを確認します。

トラスト ブート

トラステッド ブートは、セキュア ブートで開始されたプロセスを選択します。 Windows ブートローダーは、読み込む前に Windows カーネルのデジタル署名を検証します。 Windows カーネルは、ブート ドライバー、スタートアップ ファイル、マルウェア対策製品の早期起動マルウェア対策 (ELAM) ドライバーなど、Windows スタートアップ プロセスの他のすべてのコンポーネントを検証します。 これらのファイルのいずれかが改ざんされた場合、ブートローダーは問題を検出し、破損したコンポーネントの読み込みを拒否します。 Windows ブート シーケンスに対する改ざんまたはマルウェア攻撃は、UEFI、ブートローダー、カーネル、およびアプリケーション環境間の署名強制ハンドシェイクによってブロックされます。

多くの場合、Windows は破損したコンポーネントを自動的に修復し、Windows の整合性を復元し、Windows 11 デバイスを正常に起動させることができます。

Windows エディションとライセンスに関する要件

次の表は、セキュア ブートとトラステッド ブートをサポートする Windows エディションの一覧です。

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
はい はい

セキュア ブート ライセンスとトラステッド ブート ライセンスエンタイトルメントは、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
はい はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

関連項目

Windows ブート プロセスをセキュリティで保護する