セキュアブート

セキュアブートは、UEFIに組み込まれたPC起動時のセキュリティ機能です。電源投入からOS起動までの間に、署名されたブートローダー・ドライバー・OSのみを読み込むよう制限することで、ルートキット（OSより下の階層で動作するマルウェア）の侵入を防ぎます。Windows 10以降の公式推奨、Windows 11では必須要件の1つになっています。

仕組みは『デジタル署名による検証』です。UEFIファームウェア内にはMicrosoft・OEMメーカー・認証局の公開鍵が保存されており、起動時に実行されるすべてのコードの署名をこの鍵で検証します。署名が正しくない（または署名がない）コードは実行を拒否され、信頼できないOS・マルウェアの起動がブロックされます。

設定はBIOS/UEFIのセットアップ画面から行います。PCを再起動して起動キー（F2、F10、Del等、機種による）を押してUEFI画面に入り、『Security』『Boot』メニュー内の『Secure Boot』項目を『Enabled』に変更すれば有効です。Windows上から有効状態を確認するには、『msinfo32』を実行して『セキュアブートの状態 = 有効』となっていればOKです。

注意点として、セキュアブートが有効だとサイン未対応のOS（一部の古いLinuxディストリビューション、カスタムOS）が起動できなくなります。Linuxを併用する場合は、最近のUbuntuやFedoraは対応済みなので問題ありませんが、古いディストリビューションや自作OSを試したい場合はセキュアブートを無効化する必要があります。

また、セキュアブートには『ブートローダーの署名データベース』が内部に保持されており、過去に脆弱性が判明したブートローダーは『失効リスト（DBX）』で無効化されます。Windows Updateで自動的にDBXが更新されるため、古いバージョンのLinuxが突然起動しなくなる、といったケースもあります。

Windows 11の必須要件であるため、Windows 11にアップグレードする際は『msinfo32』で有効状態を必ず確認しましょう。無効の場合はUEFIで有効化すれば多くの場合問題なくアップグレードできます。