セキュアブート・とは？初心者にもわかる安全な起動の仕組みガイド共起語・同意語・対義語も併せて解説！

この記事を書いた人

岡田康介

名前：岡田康介（おかだこうすけ）ニックネーム：コウ、または「こうちゃん」年齢：28歳性別：男性職業：ブロガー（SEOやライフスタイル系を中心に活動）居住地：東京都（都心のワンルームマンション）出身地：千葉県船橋市身長：175cm 血液型：O型誕生日：1997年4月3日趣味：カフェ巡り、写真撮影、ランニング、読書（自己啓発やエッセイ）、映画鑑賞、ガジェット収集性格：ポジティブでフランク、人見知りはしないタイプ。好奇心旺盛で新しいものにすぐ飛びつく性格。計画性がある一方で、思いついたらすぐ行動するフットワークの軽さもある。 1日（平日）のタイムスケジュール 7:00 起床：軽くストレッチして朝のニュースをチェック。ブラックコーヒーで目を覚ます。 7:30 朝ラン：近所の公園を30分ほどランニング。頭をリセットして新しいアイデアを考える時間。 8:30 朝食＆SNSチェック：トーストやヨーグルトを食べながら、TwitterやInstagramでトレンドを確認。 9:30 ブログ執筆スタート：カフェに移動してノートPCで記事を書いたり、リサーチを進める。 12:30 昼食：お気に入りのカフェや定食屋でランチ。食事をしながら読書やネタ探し。 14:00 取材・撮影・リサーチ：街歩きをしながら写真を撮ったり、新しいお店を開拓してネタにする。 16:00 執筆＆編集作業：帰宅して集中モードで記事を仕上げ、SEOチェックやアイキャッチ作成も行う。 19:00 夕食：自炊か外食。たまに友人と飲みに行って情報交換。 21:00 ブログのアクセス解析・改善点チェック：Googleアナリティクスやサーチコンソールを見て数字を分析。 22:00 映画鑑賞や趣味の時間：Amazonプライムで映画やドラマを楽しむ。 24:00 就寝：明日のアイデアをメモしてから眠りにつく。

セキュアブートとは何かをやさしく解説

セキュアブートはパソコンの起動時に読み込まれるソフトウェアを検証して安全を守る仕組みです。主にUEFIと呼ばれる最新の起動方式の一部として使われます。

この仕組みの目的は「不正なソフトウェアが起動時に実行されるのを防ぐ」ことです。たとえばウイルスやマルウェアが起動時に勝手に動き出すと、以降の動作が危険になります。セキュアブートはこうしたリスクを減らすために、信頼できるソフトウェアだけを実行するように動作します。

どうやって動くのか

セキュアブートは起動時にソフトウェアの「署名」を検証します。署名とはソフトウェア作者が作成したデータのことで、正しい鍵で署名されたものだけが認証されます。起動時にマザーボードはこの署名を確認し、信頼されていないものは遮断します。

署名を管理する仕組みには 公開鍵 と 証明書 が使われます。OSのブートローダーやカーネル、重要なドライバが署名されていれば起動できます。署名されていないアプリケーションや拡張機能は読み込まれません。

なぜ重要なのか

起動時の検証は、OSが完全に読み込まれる前にマルウェアが入り込むのを防ぎます。これにより、パソコン使用中の個人情報やデータの安全性が高まります。また、OSベンダーやハードウェアメーカーが提供する署名ポリシーに従って動作するため、セキュリティの一貫性が保たれます。

実際の仕組みとよくある用語

UEFIは従来のBIOSよりも新しい起動仕様です。セキュアブートはこのUEFIの機能の一部として組み込まれており、起動シーケンスの最初の段階で検証が行われます。OS側の署名ポリシーがどう設定されているかにより、どのソフトウェアが許可されるかが決まります。

able>項目説明目的起動時に不正ソフトウェアの読み込みを防ぐ対象ブートローダーやカーネル、重要なドライバ位置づけUEFIの機能の一部として動作ble>

有効化と確認方法

多くのパソコンでは初期状態で有効になっていることが多いですが、必要に応じて BIOS または UEFI の設定画面から セキュアブート を有効化または無効化できます。設定画面は機種によって名称が異なりますが大まかには「Security」「Boot」「UEFI設定」などの項目にあります。

Windows の場合は セキュアブート状態 を確認する方法が分かりやすいです。検索窓で「msinfo32」と入力して起動情報を開くと、system summary に「Secure Boot State」という項目があります。これが On なら有効、Off なら無効です。

Linux の場合はディストリビューションにより手順が異なります。例えば最新の多くのディストリビューションはセーフブートと署名検証に対応していますが、カスタムカーネルを使う場合は署名の管理が必要になることがあります。事前に配布元の公式ガイドを確認してください。

よくある質問と誤解

Q1 セキュアブートを有効にするとパソコンが動かなくなるのではと心配する人がいます。実際には対応しているソフトウェアを使えば通常は問題ありませんが、署名されていない古いOSや自作のOSを使うと起動できないことがあります。

Q2 署名を自分で作って登録できますかという質問もあります。基本的にはOSベンダーが提供する署名と鍵の管理の枠組みを使います。自分で署名を作って登録するには高度な知識と慎重な設定が必要であり、誤設定が起こると起動不能になる可能性があります。

Q3 すべての機器で同じく有効ですかという点ですが、機種やOSの実装により差があります。新しい機器ほどセキュアブートの設定が直感的に行える場合が多いですが、古い機器や一部の組み込み機器ではサポートされていないこともあります。

セキュアブートのポイントを整理

ポイント	起動時の信頼性を高める
リスク	署名されていないソフトウェアに依存しやすい環境では一部のアプリが使えなくなることがある
おすすめ	新しいPCを導入する際はセキュアブートを有効化しておくと安心

まとめとして セキュアブートは起動時の安全を確保する重要な仕組みです。用途や環境に応じて正しく設定すれば、マルウェアや不正な変更からOSを守る力を高めることができます。

セキュアブートの関連サジェスト解説

uefi セキュアブートとは: uefi セキュアブートとは、コンピューターが起動するときに使われる新しいタイプのファームウェアである UEFI と、その中の重要な機能のひとつです。UEFI は古い BIOS の代わりに動作し、OS を立ち上げる前の準備を行います。セキュアブートはその機能の中で、起動に関係するソフトウェアが「正しい署名」を持っているかを確認して、安全な起動を守る仕組みです。署名とはソフトウェアに付けるデジタルの判子のようなもので、正しいキーを持つ人だけが作成したことを証明します。もし改ざんされたり、未承認のソフトが混ざっていたりすると、起動が停止するか、警告が表示されます。これにより、悪いソフトが勝手に PC を動かすのを防ぐ効果があります。仕組みのイメージとしては、起動時に読み込まれるブートローダやカーネルにデジタルの署名が付いており、その署名が信頼できる鍵で発行されたものかどうかをファームウェアがチェックします。署名が正しければ起動が続きますが、そうでなければ起動せずに警告が出ます。これにより、ウイルスの一種であるブートキットなどの根っこを抑え、PCを守る効果があります。署名を信頼する鍵はファームウェアの中に保管されており、OS の開発元やPC メーカーが管理します。必要に応じて自分の鍵を追加したり、黒リスト DBX という署名を排除する設定を使うこともできます。設定の手順は、パソコンを再起動して BIOS/UEFI の設定画面に入ります。セキュアブートを有効にするオプションを探し、有効にします。場合によっては OS の種類を Windows などに設定する欄があり、Linux などを使う場合は一部の署名付きブートローダを使う前提となることがあります。鍵の管理は初心者には難しく感じますが、メーカーの公式ガイドを見ながら進めれば大丈夫です。メリットは、起動時のマルウェアや改ざんを防ぎやすくなる点です。一方で古いOSや署名されていないソフトを使うと起動できなくなることがあります。特に Windows 11 など最新の OS ではセキュアブートが推奨または必須の場合があるため、設定の前に自分の環境を確認しましょう。初心者向けのコツとしては、まず有効化して動作を確認してみることです。何か問題が起きたら無理に続けず、設定を元に戻すか、公式のサポート情報を調べて対応しましょう。
bios セキュアブートとは: bios セキュアブートとは、起動時にPCが読み込むソフトウェアを“信頼できる”かどうか確認してから起動を進める仕組みです。実際にはBIOSより新しい技術であるUEFIに組み込まれている機能の一つで、署名というデジタル証明を使って、ブートローダーやカーネルが改ざんされていないかを検証します。安全な起動チェーンを作ることで、ウイルスやマルウェアがOSの前段で潜り込むのを防ぎます。仕組みの中身は難しく感じるかもしれませんが、ポイントは4つです。1) 信頼できる鍵(キー)の集合体であるPK、KEK、db、dbxを使って、起動時に読み込むソフトウェアをチェックする。2) 許可された署名を持つブートローダーとカーネルだけが起動を許される。3) 未署名や信頼されていない署名のソフトは起動をブロックする。4) Windows 11や多くの最新版Linuxはこの仕組みを前提として動く。設定の話としては、BIOS/UEFI設定画面に入り、Secure Bootを探して有効にするか無効にするかを選びます。設定を変える際は、現在のOSやドライバが署名済みかを確認することが大切です。古い機種や自作環境では、署名の管理を変更する必要が出る場合があります。なお、機能自体はセキュリティを高めるための重要な要素ですが、使い方次第で起動の障害にもつながるので、公式の情報を確認しながら進めると安心です。
linux セキュアブートとは: linux セキュアブートとは、コンピュータの起動時に安全で信頼できるソフトウェアだけが実行されるようにする仕組みです。これは主にUEFIという新しいタイプの起動プログラムを使い、鍵の仕組みで動きます。セキュアブートはPCのファームウェアと組み合わせて、起動時に読み込まれるブートローダーやカーネルの署名を確認します。署名はソフトウェアの作成者が本物であることを示すデジタルの印で、変更されていないかを確かめます。Linux 側の対応として、ディストリビューションごとに署名付きのブートローダーとカーネルを用意しています。多くの Linux ディストリビューションは shim という小さなブートローダーを使い、Microsoft の鍵で署名されたブートローダーを介して Secure Boot を通過させます。shim が GRUB などの本格的な起動プログラムへ繋ぎ、最終的にカーネルが読み込まれます。これで Linux でも Secure Boot の恩恵を受けつつ、自由にカーネルやモジュールを追加できます。鍵の仕組みには PK（プラットフォームキー）、KEK、DB、DBX などがあり、DB は許可された署名、DBX は拒否された署名を指します。ユーザーが自分で署名を追加したり、署名されていないカスタムカーネルを使うには、設定を変えるか Secure Boot を一時的に無効にする必要があります。メリットは、ウイルスやブートキットによる起動混入を防ぎ、システムの安全性を高める点です。一方デメリットは、非標準な構成や古いハードウェア、カスタムカーネルを使う場合に起動が難しくなることがある点です。新しい PC では Windows と Linux の共存を前提にした実装が多く、Ubuntu や Fedora などの代表的なディストリビューションは安全に動くように設計されています。もし Secure Boot を有効にしていてトラブルが出た場合は、BIOS/UEFI の設定画面で Secure Boot を一時的に無効にするか、必要に応じてディストリビューションの署名サポートを確認してください。初心者はまず有効のまま運用して、問題が出たときにだけ無効化するのが無難です。結論として、linux セキュアブートとは、起動時の信頼性を高める仕組みであり、正しく使えばセキュリティの大きな味方になります。
windows11 セキュアブートとは: windows11 セキュアブートとはまずセキュアブートとは起動時の安全チェックのことです。パソコンを起動する時に重要なソフトが正しいかどうかを確認し、悪いソフトが勝手に動き出さないようにします。Windows11 ではセキュアブートが推奨または必須となることがあります。具体的にはOSが起動する前にハードウェアとソフトの信頼性を確かめ、署名付きのプログラムだけを動かす仕組みです。これによりマルウェアや改ざんから守られ、パスワード盗難やデータ漏えいのリスクが減ります。この機能を使うには PC がセキュアブートに対応していることと、TPM 2.0 というセキュリティチップが有効であることが多くの条件になります。対応していても設定が無効になっている場合があります。設定方法はメーカーや機種によって違いますが、基本はBIOSまたはUEFI 画面に入ってセキュアブートを Enabled に切り替え、起動モードをUEFI に統一します。Windows11 のインストールやアップデート時にこの設定があるとエラーを回避しやすくなります。設定を変更する前にはデータのバックアップを取り、現行OSの状態を確認してください。セキュアブートを有効にすると一部の古いOSや起動ディスクが使えなくなることもあります。まとめとしてセキュアブートはPCの起動時に安全を確保する仕組みであり Windows11 の安全性を高める重要な要素です。
hp セキュアブートとは: hp セキュアブートとは、起動時に読み込む OS のブートローダーの署名を検証する仕組みです。UEFI と呼ばれる最新の起動方式を使い、信頼できる署名だけを許可します。これにより、起動時にマルウェアが入るのを抑え、OS が正しく動くよう守ります。HP のノートパソコン（関連記事：ノートパソコンの激安セール情報まとめ）ではこの機能がデフォルトで有効になっていることが多く、Windows を安全に使うための基本的なセキュリティ設定として位置づけられています。仕組みの中身としては、プラットフォーム鍵 PK や鍵交換鍵 KEK、署名データベース DB と DBX といった鍵が使われ、署名付きのブートローダーやカーネルだけが起動可能になります。これにより、ウイルスや改ざんされたソフトが勝手に起動するのを防ぎます。なお、デュアルブートや Linux を入れる場合には、Secure Boot を無効にしたり特定の鍵を登録したりする必要が出る場面があります。OS によって対応が異なるため、機種の取扱説明書や公式情報を事前に確認してください。確認方法は Windows 側と BIOS 側の2つがあります。Windows では設定ではなくシステム情報 msinfo32 を開き、Secure Boot State が On か Off かを確認します。変更したい場合は HP の機種で起動時に Esc を押して Startup Menu を表示し、F10 で BIOS 設定に入り、Security や Boot のメニューから Secure Boot を Disable あるいは Other OS に切り替え、保存して再起動します。ただし Windows 11 を使う場合は Secure Boot が推奨されることが多い点に注意してください。まとめとして、hp セキュアブートとは PC を起動時から守る安全機能で、通常は有効です。OS の入れ替え時には設定変更が必要になることがある点を覚えておきましょう。
vmware セキュアブートとは: vmware セキュアブートとは、仮想マシンの起動時に読み込まれるブートローダーやカーネルが、信頼された署名付きのものだけを読み込むように検証する機能です。これにより、起動時に潜むマルウェアや不正なコードの実行を防止し、仮想環境のセキュリティを高めます。VMwareでは、ゲストOSの起動チェーンを守る目的で、この機能を利用できるように提供しています。動作には仮想マシンのファームウェアを EFI（UEFI）に設定する必要があり、BIOSのままでは動作しません。ESXi（vSphere）やWorkstation、Fusion の比較的新しいバージョンでサポートされており、Windows 8/10/11 など署名済みブートを使うOSなら通常は問題なく起動します。Linuxの多くのディストリビューションも対応していますが、署名されていないカーネルモジュールやサードパーティ製のドライバを使う場合は起動がブロックされることがあります。設定手順は、仮想マシンを停止 → VM設定を開く（VM Options もしくはファームウェア設定）で「EFI」を選択 → Secure Boot をオンにする → ゲストOSを再起動、という流れです。ESXi では作成時に「セキュアブートを有効にする」オプションが表示されることがあります。セキュアブートはホストのセキュリティ対策の代替ではなく、仮想マシン内部の起動チェーンを守る追加の防御層です。もし署名されていないモジュールを使う必要がある場合は、一時的に Secure Boot を無効化するか、署名済みの代替ソフトウェアを検討してください。
dell セキュアブートとは: dell セキュアブートとは、起動時に正規のソフトウェアだけを読み込む機能のことです。PC が起動する前の段階で、OS のブートローダーやカーネルが改ざんされていないかを確認します。これによりマルウェアが起動時に勝手に実行されるのを防ぎ、PC の安全性を高めます。Dell のデスクトップやノートパソコンにもこの機能が搭載されており、UEFI という新しい起動方式と組み合わせて使われます。Secure Boot を有効にすると、署名付きのソフトウェアだけが起動時に読み込まれ、不審なソフトはブート時に遮断されます。この機能はOSの信頼性を高めますが、正規の署名を持たないブートローダーや一部の Linux 配布版を使う場合には起動できなくなることがあります。対処法としては、Linux を使うときは署名付きのブートローダーを用意するか、必要に応じて一時的に Secure Boot を無効化してからインストールや起動を行います。Dell の BIOS/UEFI 設定画面へは、PC を再起動して F2（設定）または F12（起動メニュー）を押し、Security もしくは Boot の項目に進みます。そこで「Secure Boot」を Enabled に設定し、OS Type を Windows UEFI モードに合わせると安全に起動できます。設定を保存して再起動すれば、署名済みソフトウェアのみが起動する状態になります。まとめとして、Secure Boot はWindows 11 など新しいOSで特に重要視されますが、用途によっては不要な場合もあります。導入前にはご自身の OS・アプリの署名サポートを確認し、Dell の公式情報に従って設定してください。
asrock セキュアブートとは: セキュアブートはUEFIの機能で、起動時に署名済みのソフトウェアだけを読み込む仕組みです。これによりブートキットやルートキットなどの悪意あるコードの実行を未然に防ぎ、PCの起動時のセキュリティを高めます。ASRockのマザーボードでもこの機能は多くの機種で搭載されており、設定方法はBIOS画面のセキュリティ関連のメニューにあります。前提として、OSがUEFIモードでインストールされていることが重要です。レガシーBIOSでインストールした場合はSecure Bootを使えないことがあります。実際の手順は次の通りです。1) PCを再起動してBIOSへ入る。2) セキュリティまたはブートのタブを開き、Secure Bootの設定を探す。3) Secure Bootを有効にする。多くの場合、OSタイプをWindows UEFIに設定する必要があります。4) PKや鍵の管理が表示される場合は自動で設定されることが多いですが、手動で登録する画面が出ることもあります。5) CSMの設定をDisabledにする必要がある場合が多いですが、古いOSを使う場合は例外があります。6) 設定を保存して再起動。Windowsであれば通常はそのまま起動します。Linuxなどの場合は署名を満たすブートローダーが必要になることがあります。なお、PKを紛失すると復旧が難しくなるので大切に管理しましょう。設定変更後は安全のためバックアップを取っておくと安心です。Secure Bootのメリットは起動時のセキュリティ強化で、ブートキットの感染を抑えられる点です。デメリットは古いOSや署名されていないドライバの起動障害が発生する可能性がある点です。
asus セキュアブートとは: asus セキュアブートとは、起動時に実行されるソフトウェアの正当性を検証する機能です。具体的には、ハードウェアの起動時に読み込まれるブートローダやドライバ、OSローダが信頼できる署名を持っているかを確認します。これにより、マルウェアが起動時にOSを乗っ取るブートキットの侵入を抑えられます。UEFIと呼ばれる新しいタイプのファームウェアの機能で、従来のBIOSより安全性が高く、Windows 11などの最新OSで重要視されることが多いです。Asus のノートパソコンやデスクトップ機でも、起動時のセキュリティを高めるためにセキュアブートを有効にすることが推奨されています。ただし、機種やOSの組み合わせによって設定画面の呼び方が少し異なることがあるため、取扱説明書や公式サポートの案内を確認するとよいです。設定の大まかな流れは次のとおりです。まず電源を入れ直して起動時にF2やDeleteのキーを押してBIOSとUEFI設定画面に入ります。次にBootやSecurityといった項目を探し、Secure Bootを見つけます。初期状態ではDisabledになっていることが多いのでEnableにします。場合によってはOS TypeをWindows UEFI modeやOther OSに切り替える必要があります。設定を変更したら保存して再起動します。もしデュアルブートでLinuxなど他のOSを使う場合はSecure Bootが原因で起動しないことがあります。その場合はSecure Bootを一時的にDisabledにするか、使うOSがSecure Bootに対応して署名を用意しているかを確認します。新しい機種ではサポートが改善されていることが多いので公式情報も併せてチェックすると安心です。設定を変える前には重要なポイントも覚えておきましょう。BIOS/UEFIの設定を間違えると起動しなくなることがあるので初期設定をメモしておくと良いです。セキュリティ機能を有効にすることで日常のパソコン利用時のリスクを下げられますが、正しく署名付きのソフトだけを実行させる仕組みなので未知のソフトを安易に実行しないことも大切です。

セキュアブートの同意語

セキュアブート: UEFIの機能の一つで、起動時にブートローダーやOSのコードが署名済みかを検証し、未署名・改ざんされたコードの実行を防ぐセキュリティ機能。
安全起動: 起動プロセスの安全性を確保する意味で使われる表現の一つで、セキュアブートと同様の目的を指すことがあるが、技術的には別の実装を指す場合もある表現。
信頼起動: 起動時に信頼性を確保する機能の総称として使われる言い方。文脈によりセキュアブートと同義として用いられることがある。
署名検証起動: 起動時にブート関連コードの署名を検証して信頼性を確保する機能を表す表現。
署名付き起動: 署名済みのブートローダーやカーネルのみを起動する性質を指す表現。セキュアブートの要件の一部を表す。
ブート署名検証: 起動時の署名検証のプロセス自体を指す表現。
検証済み起動: 検証済みのコードだけが起動されるという意味合いの表現。セキュアブートの結果を指す言い方。
信頼済み起動: 信頼済みのコードのみを起動することを表す表現。
署名検証付き起動: 署名検証機能を組み込んだ起動プロセスを指す表現。
署名検証ブート: 起動時に署名検証を行うブートプロセスを指す表現。
セキュア起動: セキュアブートの和訳として使われる表現。意味は同じく、起動時の署名検証を行うセキュリティ機能。

セキュアブートの対義語・反対語

非セキュアブート: ブート時の署名検証や整合性チェックを行わず、不正なコードが実行される可能性が高い状態。
署名なしブート: 起動時にコードの署名検証を行わない、署名なしのソフトウェアも起動を許可する状態。
ブート検証なし: ブートの整合性検証が無効で、正当性の判定をスキップする状態。
セキュアブート無効: BIOS/UEFI設定でセキュアブート機能をオフにした状態。
署名検証スキップ: ブート時の署名検証を故意に回避して起動する設定・行為。
オープンブート（開放的な起動環境）: 署名検証が厳格に行われない、より自由度の高い起動環境を指す概念。

セキュアブートの共起語

UEFI: Unified Extensible Firmware Interfaceの略。従来のBIOSに代わる新しいファームウェア仕様で、Secure BootはUEFI機能として実装されることが多い。
Secure Boot: 起動時に署名済みのソフトウェアだけを読み込む仕組み。OSやブートローダーの改ざんを防ぐ目的。
Platform Key (PK): プラットフォーム鍵。Secure Bootの最上位鍵で、信頼の入口となる鍵。
Key Exchange Key (KEK): 鍵交換鍵。PKとデータベース(db/ dbx)の信頼関係を管理する中間鍵。
Database (db): 許可済みの署名リスト。署名検証を通過したブートローダーやカーネルの署名を登録して起動を許可する。
Forbidden Database (dbx): 禁止署名リスト。危険な署名や脆弱性のある署名を排除するためのデータベース。
Machine Owner Key (MOK): 機械所有者が所有する鍵。Shimを使ってLinuxをSecure Boot下で起動する際の署名登録に用いる。
Shim: Linux向けのブートローダーブリッジ。Secure Boot環境でMOKを利用して署名検証を可能にする小さなブートローダー。
MOKManager: MOKを登録・管理するツール。UEFI経由でMOKを enroll する機能を提供。
GRUB2: Linuxの代表的なブートローダー。Secure Boot対応版は署名済みのカーネル・モジュールを読み込む設計。
Linux kernel signing: Linuxカーネルに署名を付与すること。Secure Bootでカーネルの起動を許可する重要要件。
Bootloader: 起動時に最初に実行されるソフトウェア。署名検証を経て安全に起動を開始する役割。
EFI System Partition (ESP): UEFIブートファイルを格納する専用パーティション。署名済みのブートファイルが配置される。
EFI variables: UEFI設定を保存する変数群。PK/KEK/db/dbxの状態や鍵管理に関与する場合がある。
TPM (Trusted Platform Module): 信頼できるハードウェアモジュール。Measured BootやAttestationと組み合わせてセキュリティを強化。
Measured Boot: 起動時に各コンポーネントのハッシュをTPMに記録する機能。改ざん検知の基盤になる。
Attestation: Measured Bootの結果を証明・検証する仕組み。信頼性を外部へ示す手段。
Microsoft key: Microsoftの署名鍵。Windowsのブート関連ファイルの署名に用いられることが多い。
OEM key: 出荷時に組み込みの署名鍵。メーカー製品の信頼性を担保する署名元。
Key enrollment: 新しい鍵をdb/DB/PKへ登録する手続き。信頼できる署名の追加を行う。
Key management: 鍵の作成・登録・失効・更新といった鍵のライフサイクルを管理する作業。
Certificate (X.509など): 署名に使われる公開鍵証明書。署名の正当性を検証する基盤。
Code signing certificate: コード署名用の証明書。ブートローダーやカーネルなどの署名に使われる。
bootmgfw.efi: Windowsのブートマネージャー。Secure Boot時には署名済みファイルを起動する。
GRUB (EFI版): EFI環境で動作するGRUB。Secure Boot対応の署名付きモジュールを読み込む必要がある。
sbsign: Linux上で署名を付与するツールの代表例。カーネルやモジュールの署名作成に使われる。
pesign: 別の署名ツール。署名済みファイルの作成・検証を行うことがある。

セキュアブートの関連用語

セキュアブート: UEFIの機能で、起動時にロードされるブートローダ・カーネル・ドライバなどの署名を検証し、署名されていないコードの実行を防ぐ仕組み。
UEFIファームウェア: UEFI仕様に基づくファームウェア。OS起動前の初期化とセキュアブート実装の土台となる。
レガシーBIOS: 従来のBIOSモード。セキュアブートは基本的にUEFIで動作するよう設計されており、レガシーBIOSでは機能が制限されることがある。
TPM: Trusted Platform Module。鍵の保管・測定値の保存・信頼性検証をハードウェアレベルで提供するチップ。
Platform Key（PK）: セキュアブートの信頼チェーンの最上位キー。UEFIのPKIで、ポリシー変更を認可する根幹の鍵。
Key Exchange Key（KEK）: PKの下位に位置する中間鍵。DB/DBXの更新署名に使われる。
署名データベース（DB）: 起動時に許可される署名・公钥のリスト。ブートローダーやカーネルなどの署名を検証する対象。
失効署名データベース（DBX）: 無効化された署名のリスト。DBに登録されてもDBXに載れば起動は許可されない。
Machine Owner Key（MOK）: Linux環境でSecure Bootを通すために使われる、利用者が登録する鍵。shimと組み合わせて利用することが多い。
Shim: Secure BootとLinuxの起動を橋渡しする小さなブートローダ。MS署名とLinux署名をつなぐ役割を持つ。
GRUB2: Linuxの標準ブートローダ。Secure Boot対応時には署名が必要で、shimと連携して動作することが多い。
カーネル署名: カーネルバイナリ自体に署名を付与し、Secure Bootの検証を通過させるための署名。
コード署名: アプリやドライバなどの実行可能コードに署名を付与して信頼性を保証する仕組み。
PKI（公開鍵基盤）: 署名検証のための鍵の発行・配布・管理を行う基盤。信頼の根幹を支える仕組み。
Measured Boot（測定ブート）: 起動時に各要素のハッシュをTPMに記録し、改ざんの有無を検証・追跡する仕組み。
信頼チェーン: ルートとなる信頼の起点（PK）から署名・証明書の連鎖で、ブートやコードの信頼性を保証する考え方。
Auditモード（監査モード）: セキュアブートの厳密な検証を一時的に緩和・検証するモード。開発・検証用途で用いられることがある。
BitLocker: Windowsのディスク暗号化機能。TPMと連携して起動時のセキュリティを高める。
Windows 11要件のSecure Boot: Windows 11の動作要件としてSecure Bootの有効化を求めるケースがある。