Windowsと一緒に第二のOSをインストールしてみたことはありますか？OSによっては、UEFIセキュアブート機能に遭遇することがあります。

Secure Bootがインストールしようとしているコードを認識しない場合、インストールが中止されます。セキュアブートは、悪意のあるコードがシステム上で実行されるのを防ぐことができる便利な機能です。ただし、kalilinux、androidx86、TAILSなど、一部の正規のOSの起動を妨げることもあります。

この短いガイドでは、UEFI Secure Boot を無効にして、好きなオペレーティングシステムをデュアルブートできるようにする方法を説明します。

uefiセキュアブートは何ですか？

セキュアブートがどのようにシステムの安全性を確保するのか、じっくり考えてみましょう。

セキュアブートは、UEFI（Unified Extensible Firmware Interface）の機能です。UEFIは、多くのデバイスでBIOSインターフェースの代わりとなっており、より多くのカスタマイズや技術的オプションを備えた、より高度なファームウェアインターフェースとなっています。

セーフティーブーツは、セーフティーゲートのようなものです。システム上で実行される前に、コードを解析する。コードが有効なデジタル署名を持っている場合、Secure Bootはゲートウェイを通過させることができます。コードが認識できないデジタル署名を持っている場合、Secure Bootはコードの実行を妨げ、システムを再起動する必要があります。

あなたが安全で信頼できるソースからのものだと知っているコードが、セキュアブートデータベースでデジタル署名されていないことがあります。

例えば、多くのLinuxディストリビューションを開発元から直接ダウンロードすることができ、さらにディストリビューションのチェックサムを検証して改ざんがないかどうかを確認することもできます。しかし、検証を行ったとしても、セキュアブートは特定のOSや他の種類のコード（ドライバやハードウェアなど）を拒否します。

セキュアブートを無効にする方法

さて、軽々しくSecure Bootを無効にすることはお勧めしません。特にルートキットやブートキットのようなマルウェアの亜種（Windowsの不正コピーを阻止するためのセキュリティ対策と見る人もいます）については、安全を確保することができます（下記の「Secure Boot vs. NotPetya ransomware」の動画のように）。とはいえ、時にはそれが邪魔になることもあります。

セキュアブートの再起動にはBIOSリセットが必要な場合がありますが、システムのデータが失われることはありませんので、ご注意ください。ただし、カスタムBIOSの設定はすべて削除されます。また、二度とセキュアブートを開けなくなるケースもありますので、その点はご留意ください。

さて、どうすればいいかというと

1. コンピュータの電源を切る。その後、起動中に再度開き、BIOSのエントリーキーを押します。これはハードウェアの種類によって異なりますが、通常はF1、F2、F12、Esc、Delです。Windowsユーザーは、Shiftキーを押しながら「再起動」を選択すると、詳細な起動メニューにアクセスすることができます。その後、「トラブルシューティング」 > 「詳細オプション」：UEFIファームウェアの設定を選択します。
2. セキュリティタブ、ブートタブ、認証タブのいずれかにあるはずです。
3. システムが再起動します。

セキュアブートの無効化に成功しました。これまで起動できなかった最寄りのUSBドライブを手に入れ、最後にOSを自由に探ってみてください。私たちのベストLinuxディストリビューションのリストは、その手始めとして良い場所です

セキュアブートを再有効化する方法

もちろん、セキュアブートをオンに戻す必要がある場合もあります。結局のところ、マルウェアやその他の不正なコードを防ぐのに役立っているのです。署名されていないオペレーティングシステムを直接インストールする場合は、セキュアブートの再有効化を試みる前に、すべてのトレースを削除する必要があります。そうでない場合は、処理に失敗します。

1. セキュアブート無効時にインストールされた署名されていないOSやハードウェアをアンインストールしてください。
2. パソコンの電源を切り、再度電源を入れ、上記のように起動中にBIOSのエントリーキーを押してください。
3. セキュアブートオプションを探し、「Enabled」に設定します。
4. セキュアブートが有効になっていない場合は、BIOSを工場出荷時の設定にリセットしてみてください。工場出荷時の設定に戻した後、再度セキュアブートを有効にしてみてください。
5. システムが再起動します。
6. システムが起動しない場合は、Secure Bootを再度無効にしてください。

セキュアブートイネーブルのトラブルシューティング

Secure Bootを有効にしてシステムを起動させるために、試せる小さなパッチがいくつかあります。

• BIOSメニューでUEFI設定がオンになっていることを確認します。これは、Legacy Boot ModeとEquivalent Modeがオフになっていることを確認することも意味します。
• ドライブのパーティションタイプを確認するには、UEFIは古いBIOSセットアップで使用されているMBRではなく、GPTパーティションスタイルを必要とします。これを行うには、Windowsスタートメニューの検索バーで「コンピューターの管理」と入力し、最適なものを選択します。の項目があります。メニューから、「ディスクの管理」を選択します。次に、プライマリドライブを見つけ、右クリックして「プロパティ」を選択します。ここで、「ボリューム」を選択します。パーティションスタイルの一覧はこちらです。(MBRからGPTに変更する必要がある場合、パーティションスタイルを変更するには、データをバックアップしてドライブを消去する、という選択肢しかない)。
• ファームウェアマネージャーによっては、工場出荷時のキーを復元するオプションがあり、通常は他のセキュアブートオプションと同じタブに表示されます。このオプションが有効な場合は、セキュアブートのファクトリーキーを復元します。その後、保存して終了し、再起動します。

信頼できるスタート

Trusted Bootは、Secure Bootが終了した後に起動しますが、実際にはWindows 10のデジタル署名にのみ適用されます。UEFIセキュアブートにバトンタッチすると、トラステッドブートはドライバーやブートファイルなど、Windowsの他のすべての面を検証するようになります。

セキュアブートと同様に、トラステッドブートは破損したコンポーネントや悪意のあるコンポーネントを見つけると、その読み込みを拒否します。しかし、セキュアブートとは異なり、トラステッドブートは、深刻度によって、目の前の問題を自動的に解決することもあります。下図は、セキュアブートとトラステッドブートがWindowsのブートプロセスの中でどのような位置づけにあるかをさらに説明したものです。

安全靴の電源は切ったほうがいいのか？

Secure Bootを無効にすることは、やや危険であり、人によってはシステムのセキュリティを危険にさらすことになります。

セキュアブートは、現時点では間違いなくこれまで以上に有用です。ランサムウェアに対するブートローダ攻撃は非常に現実的であり、ルートキットやその他の特に厄介なマルウェアの亜種も野放しにされているのです。Secure Bootは、UEFIシステムに追加レベルのシステム検証を提供し、お客様に安心感を与えます。