戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

基本情報技術者 2018年 秋期 午前(科目A)43

問題文

セキュアブートの説明はどれか。

選択肢

BIOSにパスワードを設定し、PC起動時にBIOSのパスワード入力を要求することによって、OSの不正な起動を防ぐ技術
HDDにパスワードを設定し、PC起動時にHDDのパスワード入力を要求することによって、OSの不正な起動を防ぐ技術
PCの起動時にOSやドライバのディジタル署名を検証し、許可されていないものを実行しないようにすることによって、OS起動前のマルウェアの実行を防ぐ技術(正解)
マルウェア対策ソフトをスタートアッププログラムに登録し、OS起動時に自動的にマルウェアスキャンを行うことによって、マルウェアの被害を防ぐ技術

セキュアブートの説明はどれか。【午前2 解説】

要点まとめ

  • 結論:セキュアブートは起動時にOSやドライバのディジタル署名を検証し、不許可の実行を禁止してマルウェアの起動を防止する技術です。
  • 根拠:UEFIファームウェアが公開鍵基盤で署名検証を行い、信頼された署名を持たないブートローダやドライバの読み込みを拒否する仕組みだからです。
  • 差がつくポイント:BIOS/HDDパスワードや起動時スキャンはアクセス制御や事後検出であり、起動前のコード実行を阻止する点でセキュアブートは目的と効果が異なります。

正解の理由

正解:
セキュアブートはUEFIレベルでの機構であり、起動時に読み込まれるEFIバイナリ(ブートローダ、カーネル、ドライバなど)のディジタル署名をファームウェア内の公開鍵で検証します。署名が有効でない、あるいは信頼されていない場合は実行を拒否するため、OS起動前に動作するブートキットやルートキットといったマルウェアの実行を防ぐことができます。他の選択肢(BIOSパスワード、HDDパスワード、スタートアップに登録したマルウェア対策ソフト)は署名検証による起動前防御ではないため、セキュアブートの説明としては誤りです。

よくある誤解

  • BIOSパスワードやHDDパスワードと混同する:これらは認証やアクセス制御であり、コードの安全性(署名検証)とは別物です。
  • 起動時のアンチウイルススキャンと同一視する:アンチウイルスは通常OSが起動した後で動作するため、起動前に実行されるマルウェア対策にはならないと理解すべきです。
  • セキュアブートは万能ではない:署名管理が侵害されたり、正規に署名された悪意あるドライバが存在すると回避され得ます。

解法ステップ

  1. 問題文で「起動時に」「ディジタル署名を検証」「実行しない」といったキーワードを探す。
  2. その語群がある選択肢をセキュアブートの定義と照合する。
  3. パスワード設定や起動後スキャンの説明は除外する(アクセス制御・事後検出であるため)。
  4. UEFI/署名検証の説明がある選択肢を正解とする。

選択肢別の誤答解説

  • ア: BIOSにパスワードを設定して起動時に要求する方式は認証・設定保護であり、署名検証で起動前コードを制御するセキュアブートとは異なります。
  • イ: HDDパスワードはディスクアクセス制御(暗号化とは別)で、OSやドライバの署名検証による起動制御ではありません。
  • : 起動時にOSやドライバのディジタル署名を検証し、許可されていないものを実行しないようにすることで、OS起動前のマルウェア実行を防ぐ技術であり、セキュアブートの正しい説明です。
  • エ: マルウェア対策ソフトをスタートアップに登録して起動時にスキャンする方式はOS起動後の防御であり、起動前のマルウェア実行を阻止するものではありません。

補足コラム

セキュアブートはUEFIファームウェアにおける機能で、プラットフォームキー(PK)、キー交換キー(KEK)、許可証明書データベース(db)や失効リスト(dbx)などで署名の管理を行います。これにより、メーカーやOSベンダが発行した署名を登録して正規ソフトのみを許可できます。セキュアブートはTrusted BootやMeasured Bootと組み合わせて使用されることが多く、TPMやディスク暗号化(例:BitLocker)と併用することでさらに強固なブート保護が可能です。ただし、署名キーの管理が重要であり、キーが流出すると保護が無力化される点に注意が必要です。

FAQ

Q: セキュアブートを有効にするとすべてのマルウェアが防げますか?
A: いいえ。正規に署名された悪意あるコードや署名キーが侵害された場合は防げないため、他の防御層も必要です。
Q: BIOSパスワードとセキュアブート、どちらが重要ですか?
A: 用途が異なります。BIOSパスワードは設定変更や物理的アクセスの抑止、セキュアブートは起動前コードの検証です。両方を適切に設定するのが望ましいです。
Q: 既存の古いOSはセキュアブートと互換性がありますか?
A: レガシーOSや署名されていないブートローダは動作しない場合があります。必要に応じてセキュアブートを無効化するか、カスタムキーを登録する運用が必要です。
関連キーワード: セキュアブート, UEFI, ディジタル署名, ブートローダ, 署名検証, ブートキット, 公開鍵基盤, TPM, ブートプロセス, db/dbx, PKI
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

基本情報技術者
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について