CSMとセキュアブート

提供:MochiuWiki - SUSE, Electronic Circuit, PCB
ナビゲーションに移動 検索に移動

概要

UEFIの設定において、CSMとセキュアブートを同時に有効にしてはいけない。
UEFI(GPT)形式でOSをインストールしている場合、これらのUEFIの設定を見直した方がよい。


CSMとは

CSM(Compatibility Supported Module)とは、従来のBIOSをエミュレートして互換性を保つための仕組みのことである。

UEFIを実装しているマザーボードに内蔵されているシステムであり、これが有効になっていると従来のレガシーBIOSを通しての起動が可能になる。
例えば、Windows VistaやWindows 7等の古いOSをインストールしたり、古いドライバや周辺機器との互換性が高くなる。

上記のような古い資産を運用したい場合は、CSMを有効にすることで動作することが期待できる。
ただ、そこまで古いものを利用していないという場合であれば使用することは少なく、
さらに、UEFIブートを使用しているのであれば、後述するセキュアブートとの関係により無効が推奨される。

Intel Platform Innovation Framework for EFI – Wikipedia
https://ja.wikipedia.org/wiki/Unified Extensible Firmware Interface


また、Intelは、CSMを2020年までに削除する予定である。

2020年までにUEFIからBIOS互換を削除 Intel – ITmedia PC USER
http://www.itmedia.co.jp/pcuser/articles/1711/20/news120.html



2020年、ついにIntelのx86でDOSが動作しなくなる ~UEFIからレガシーBIOS互換を削除 – PC Watch
https://pc.watch.impress.co.jp/docs/news/1092273.html



UEFIとは

UEFI(Unified Extensible Firmware Interface)とは、従来のBIOSに代わるソフトウェアインタフェースの仕様のことである。

従来のBIOSよりも機能が拡張されており、以下の点が可能となった。
特に、大容量のストレージからOSが起動できるようになったことが最大のメリットといえる。

  • 高速なシステムの起動
  • より拡張されたディスク管理形式であるGPT形式の利用
  • 2[TiB]以上のストレージからのブート
  • セキュアブートなどの利用


UEFIでのブートに対応したOSをUEFIモードでインストールすることで、UEFIによるOSの起動ができるようになり、上記のメリットを活かせるようになる。
ただし、64bit OSであることが必要となることが多い。
(Windows x86ではUEFIモード(GPT形式)のインストールができない)

UEFIファームウェア
https://msdn.microsoft.com/ja-jp/library/hh824898.aspx



[Windows] UEFIブートか確認する
https://www.ipentec.com/document/document.aspx?page=windows-check-uefi-boot



Windows 10をUEFIモードでインストール | UEFI BIOSの設定とクリーンインストールの方法 | 普段使いのArch Linux
http://archlinux-blogger.blogspot.jp/2016/11/windows-10uefi-uefi-bios.html



About UEFI Forum | Unified Extensible Firmware Interface Forum (英語)
http://www.uefi.org/about


Windows 10において、OSの再インストールをしなくても、現環境のままレガシーBIOSからUEFIへ変更できる。
下記のWebサイトでは、Windows 10 Creators Update x64以降に搭載されているMBR2GPT.exeを使用して変換している。(他のサードパーティー製の変換ツールもある)
このソフトウェアは、OSの根底を操作するため、このツールによる不具合も考えられるので、必ずバックアップを行うこと。

データ消失を伴わなずに Legacy から UEFI に Windows® インストールを変換する方法 – Intel
https://www.intel.co.jp/content/www/jp/ja/support/articles/000024558/memory-and-storage/intel-optane-memory.html



セキュアブートとは

セキュアブート(Secure Boot)とは、OSが起動する前に改竄されていないかをチェックするセキュリティ機能のことである。

UEFIで規定されているプロトコルの1つで、UEFIファームウェア内に保存されている鍵を使用して、OSのブートローダやカーネルなどを検証し、
不正があれば実行を拒否できるシステムである。

起動時のデジタル署名をチェックし、著名があるソフトウェアのみ実行する。
例えば、OS起動前にマルウェアなどを実行されてしまい感染を許してしまったり、不正なOSが読み込まれるのを防ぐことができる。

セキュリティの向上が見込めるが、Linux等のブートや、デジタル著名の無いソフトウェアの実行、パーツの交換等を行うと、OSの実行を拒否されることがある。
その場合は、一時的にセキュアブートを無効化する必要がある。

また、CSMが有効になっている場合は、セキュアブートを無効にすることが推奨されている。
両方を同時に有効化すると、OSが起動しない場合や動作が不安定になる場合がある。

セキュア ブートの概要
https://msdn.microsoft.com/ja-jp/library/hh824987.aspx



セキュア ブートの無効化 – Windows 10 hardware dev
https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn898540(v=vs.85).aspx



CSMとセキュアブートの設定

CSMとセキュアブートは以下の組みあせで設定する必要がある。

CSM セキュアブート
無効 有効・無効どちらでも可能

または

CSM セキュアブート
有効 無効



https://mochiuwiki.one/index.php?title=CSMとセキュアブート&oldid=2105」から取得