セキュアブートを使用して UEFI PC で Linux をブートしてインストールする方法

新しい Windows PC には UEFI ファームウェアが搭載されており、セキュアブートが有効になっています。セキュアブートは、UEFI に読み込まれたキーで署名されない限り、オペレーティングシステムが起動できないようにします。初期状態では、Microsoft 署名付きソフトウェアのみが起動できます。

Microsoft は、PC ベンダーがユーザーにセキュアブートの無効化を許可することを義務付けているため、セキュアブートを無効にするか独自のカスタムキーを追加してこの制限を回避できます。

セキュアブートの仕組み

Windows 10 または Windows 11 が搭載された PC には、従来の BIOS の代わりに UEFI ファームウェアが含まれています。デフォルトでは、マシンの UEFI ファームウェアは、UEFI ファームウェアに埋め込まれたキーによって署名されたブートローダーのみを起動します。この機能は、「セキュアブート」または「トラステッドブート」として知られています。このセキュリティ機能のない従来の PC では、ルートキットがそれ自体をインストールし、ブートローダーになる可能性があります。その後、コンピュータの BIOS は起動時にルートキットをロードし、Windows を起動してロードし、オペレーティングシステムから自身を隠し、深いレベルで自身を埋め込みます。

セキュアブートはこれをブロックします。コンピュータは信頼できるソフトウェアのみを起動するため、悪意のあるブートローダーがシステムに感染することはできません。

Intel x86 PC (ARM PC ではない) では、セキュアブートを制御できます。無効にすることも、独自の署名キーを追加することもできます。たとえば、組織は独自のキーを使用して、承認された Linux オペレーティングシステムのみが起動できるようにすることができます。

Linux をインストールするためのオプション

セキュアブートを使用して PC に Linux をインストールするには、いくつかのオプションがあります。

セキュアブートをサポートする Linux ディストリビューションを選択する : Ubuntu 12.04.2 LTS および 12.10 以降の最新バージョンの Ubuntu は、セキュアブートが有効になっているほとんどの PC で正常に起動し、インストールされます。これは、Ubuntu の第 1 段階の EFI ブートローダーが Microsoft によって署名されているためです。しかし、 Ubuntuの開発者は、UbuntuのブートローダーはMicrosoftの認証プロセスで必要とされるキーで署名されておらず、単にMicrosoftが「推奨」としているキーで署名されていると指摘している。これは、Ubuntu がすべての UEFI PC で起動するとは限らないことを意味します。一部の PC で Ubuntu を使用するには、セキュアブートを無効にする必要がある場合があります。
セキュアブートを無効にする : セキュアブートを無効にすると、従来の BIOS を搭載した古い PC と同様に、セキュリティ上の利点と引き換えに PC で何かを起動できるようになります。これは、Windows 7 など、セキュアブートを考慮して開発されていない古いバージョンの Windows をインストールする場合にも必要です。
UEFI ファームウェアに署名キーを追加する : 一部の Linux ディストリビューションでは、独自のキーを使用してブートローダーに署名する場合があり、そのキーを UEFI ファームウェアに追加できます。これは現時点では一般的ではないようです。

選択した Linux ディストリビューションがどのプロセスを推奨しているかを確認する必要があります。これに関する情報が提供されていない古い Linux ディストリビューションを起動する必要がある場合は、セキュアブートを無効にするだけで済みます。

ほとんどの新しい PC には、Ubuntu の現在のバージョン (LTS リリースまたは最新リリース) を問題なくインストールできるはずです。リムーバブルデバイスから起動する手順については、最後のセクションを参照してください。

セキュアブートを無効にする方法

UEFI ファームウェア設定画面からセキュアブートを制御できます。この画面にアクセスするには、Windows 10 または Windows 11 のブートオプションメニューにアクセスする必要があります。これを行うには、スタートメニューの電源ボタンをクリックし、Shift キーを押したまま「再起動」をクリックします。 Windows 11 では見た目が少し異なりますが、操作は同じです。

コンピュータが再起動し、詳細ブートオプション画面が表示されます。ここで「トラブルシューティング」オプションをクリックします。

次に、次の画面で「詳細オプション」をクリックします。

そしてついに、[詳細オプション] 画面が表示されます。これは最後の画面に表示される可能性があるように見えますが、それはともかく。ここで [UEFI ファームウェア設定] ボタンをクリックできるようになりました。 (一部の Windows PC には、UEFI が搭載されている場合でも、[UEFI 設定] オプションが表示されない場合があります。この場合、UEFI 設定画面にアクセスする方法については、製造元のドキュメントを参照してください。)

[UEFI 設定] 画面が表示され、セキュアブートを無効にするか独自のキーを追加するかを選択できます。これはコンピュータごとに異なって見えるため、実際のコンピュータではおそらくそれほどぼやけません。

リムーバブルメディアから起動する

同じ方法でブートオプションメニューにアクセスし、Shift キーを押しながら [再起動] オプションをクリックすることで、リムーバブルメディアからブートできます。選択したブートデバイスを挿入し、[デバイスを使用する] を選択して、ブート元のデバイスを選択します。

リムーバブルデバイスから起動した後、通常どおり Linux をインストールすることも、インストールせずにリムーバブルデバイスからライブ環境を使用することもできます。

セキュアブートは便利なセキュリティ機能であることに留意してください。セキュアブートを有効にすると起動しないオペレーティングシステムを実行する必要がない限り、有効のままにしておく必要があります。

	Linuxコマンド
ファイル	tar 、 pv 、 cat 、 tac 、 chmod 、 grep 、 diff 、 sed 、 ar 、 man 、 pushd 、 popd 、 fsck 、 testdisk 、 seq 、 fd 、 pandoc 、 cd 、 $PATH 、 awk 、 join 、 jq 、 fold 、 uniq 、 journalctl · tail · stat · ls · fstab · echo · less · chgrp · chown · rev · look · strings · type · rename · zip · unzip · mount · umount · install · fdisk · mkfs · rm · rmdir · rsync · df · gpg · vi · · mkdir · du · ln · パッチ · 変換 · rclone · シュレッド · srm · scp · gzip · chattr · カット · 検索 · umask · wc · tr
プロセス	エイリアス · スクリーン · トップ · ナイス · renice · 進行状況 · strace · systemd · tmux · chsh · 履歴 · at · バッチ · フリー · what · dmesg · chfn · usermod · ps · chroot · xargs · tty · pinky · lsof · vmstat · タイムアウト · ウォール · はい · キル · スリープ · sudo · su · タイム · groupadd · usermod · · lshw · シャットダウン · 再起動 · 停止 · パワーオフ · パスワード · lscpu · crontab · 日付 · bg · fg · pidof · nohup · pmap
ネットワーキング	netstat 、 ping 、、 ip 、 ss 、 whois 、 fail2ban 、 bmon 、 dig 、 finger 、 nmap 、 ftp 、 curl 、 wget 、 who 、 whoami 、 w 、 iptables 、 ssh-keygen 、 ufw 、 arping 、 firewalld