BIOS/UEFI
。BIOSとUEFIの両方とも、マザーボード上に保存されたファームウェアであり、オペレーティングシステムがコンピュータのハードウェアと対話するのを助けます。
ブートオプション
コンピュータのBIOS(Basic Input/Output System)またはUEFI(Unified Extensible Firmware Interface)で設定されるブートオプションに焦点を当てています。
BIOSは、コンピュータが電源を投入したときにハードウェアコンポーネントを初期化するファームウェアです。
また、コンピュータのオペレーティングシステムと接続されたデバイス(例:ハードドライブ、キーボード、ビデオアダプタ)との間のデータの流れを管理します。このレッスンの主な点は以下のとおりです。
BIOS/UEFIの役割
BIOS/UEFIは、コンピュータのハードウェアを初期化し、OSが起動できる状態にする役割を果たします。
電源が投入された時、最初に実行されるのがBIOS/UEFIです。
POST(Power-On Self-Test)を実行して、
CPU, RAM, キーボードなどのハードウェアの状態をチェックします。
問題がなければ、ブートローダにコントロールを渡してOSの起動を助けます。
ROMとCMOS
BIOSはROM(Read-Only Memory)に格納されており、
永続的に保存されます。
CMOS(Complementary Metal-Oxide Semiconductor)は、
BIOS設定やシステムの時計情報などを保存するためのバッテリーでバックアップされたメモリです。
BIOS設定は電源が切れても維持される必要がありますので、これにCMOSが用いられます。
CMOSバッテリーの問題
CMOSバッテリーは、システム設定や時計情報を保存するための電源を提供します。
このバッテリーが弱くなると、システムの設定や時刻がリセットされてしまう場合があります。
常に日付と時刻がリセットされる場合は、CMOSバッテリーの交換が必要です。
ブートプロセス
電源を投入したとき、コンピュータはPOSTを開始し、
ハードウェアが正しく機能しているかをチェックします。
次に、BIOS/UEFIはCMOSから設定を読み取り、
設定されたブート順序に従って、ブート可能なデバイスを検索します。
BIOS/UEFI設定へのアクセス
システムの起動時に特定のキー(例えばF2, DEL)を押すことで、BIOS/UEFIの設定画面にアクセスできます。
この画面では、ブートの順序やCPUの設定など、システムの低レベルな設定を変更することが可能です。
従来のBIOSとUEFI
UEFIは、従来のBIOSの代わりとなる新しい仕組みです。
64ビットのサポート、大容量のストレージデバイスのサポート、セキュアブートといったセキュリティ機能、グラフィカルなインターフェースなど、多くの改良が加えられています。
ブートオーダーの設定
ブートオーダーは、コンピュータがOSを読み込む順序を指定する設定です。
例えば、HDD, SSD, USBドライブ, ネットワークなどからどの順番でブートを試みるかを設定します。これによって、特定のデバイスから優先的にシステムを起動することが可能です。
BIOS/UEFIの更新(フラッシング)
BIOS/UEFIの更新は、セキュリティの改善や新しいハードウェアのサポートを追加するために行われます。
メーカーのウェブサイトから最新のファームウェアをダウンロードし、指定の手順でインストールします。
更新は慎重に行う必要があり、失敗するとシステムが起動しなくなる場合もあります。
BIOS/UEFIセキュリティ
コンピュータのオペレーティングシステム(OS)の読み込みと起動のプロセスを支援するために使用される2種類の異なるファームウェアである、BIOS(Basic Input/Output System)とUEFI(Unified Extensible Firmware Initiative)内のセキュリティ機能に焦点を当てています。
- BIOS 対 UEFI
- BIOS(Basic Input/Output System)は、コンピュータが起動する際にハードウェアを初期化する役割を果たす伝統的なシステムファームウェアです。OSが起動できるようにハードウェアをセットアップし、ブート情報としてMaster Boot Record(MBR)を使用します。MBRはディスクの最初のセクタに存在し、どのパーティションを起動するかを指定します。
- UEFI(Unified Extensible Firmware Initiative)は、新世代のファームウェアで、BIOSの後継とされています。UEFIは、起動時に64ビットCPUの操作をサポートし、より高度なグラフィカルなインターフェースを持っています。UEFIでは、GUID Partition Table(GPT)をブート情報として使用します。GPTはMBRよりもはるかに大きなディスクサイズとパーティション数をサポートしています。
- BIOS/UEFI内のパスワード
- スーパーバイザー/管理者/セットアップパスワードは、BIOSまたはUEFIの設定プログラムへのアクセスを保護するためのパスワードです。これにより、設定の変更を許可された管理者だけが行えるようになります。企業環境では特に重要です。
- ユーザー/システムパスワードは、コンピュータ全体へのアクセスを制御します。このパスワードが設定されていると、コンピュータを起動する際にパスワードの入力が必要になります。これにより、不正なユーザによるシステムへのアクセスが防止されます。
- ストレージ/ハードドライブパスワードは、特定のハードドライブへのアクセスを制限します。これにより、データの盗難や不正なアクセスから重要な情報を守ることができます。
- セキュアブート
- UEFIのセキュアブートは、コンピュータが起動する際に、OSローダとカーネルが信頼されたものであることを確認する機能です。具体的には、OSローダのデジタル署名を検証し、信頼された署名であればシステムを起動させます。これにより、マルウェア(例えばルートキット)が起動プロセスに割り込むのを防ぐことができます。
- USBポートの権限
- 現代のコンピュータシステムでは、USBポートを有効または無効に設定することができます。これにより、外部デバイスからのマルウェアの侵入を防ぎ、また、機密データの不正な持ち出し(データ漏洩)を防ぐことができます。例えば、企業環境では、データ漏洩を防ぐためにUSBストレージデバイスの使用を禁止し、キーボードやマウスの接続のみを許可する設定が一般的です。
これらの設定と機能は、コンピュータのセキュリティを強化するために非常に重要です。特に、セキュアブートとUSBポートの制限は、現代のセキュリティ対策の中で基本的かつ効果的な手段とされています。
TPMとHSM
コンピュータの統一拡張ファームウェアインターフェース(UEFI)の重要な部分であるTrusted Platform Module(TPM)とHardware Security Module(HSM)に焦点を当てています。
導入される中心的な概念は、Hardware Root of Trust(RoT)であり、
これはコンピューティングシステムの全てのセキュアな操作を保証する基盤となるものです。
RoTは、各種のセキュアな機能で使用される暗号鍵を含み、セキュアなブートプロセスを可能にする重要な役割を果たします。
TPMはRoTの重要な要素として強調されています。
TPM(Trusted Platform Module)は、コンピュータシステムにおけるセキュリティの基盤となるハードウェアコンポーネントの一つです。
具体的には、TPMは「ハードウェアのRoot of Trust(信頼のルート)」として機能します。
これはコンピュータのセキュリティを確保するための
信頼できる基本的な起点であると理解されます。
以下でTPMの主な特徴と機能について詳しく説明します。
- セキュアなブートプロセスの保証:
TPMは、コンピュータが起動する際にセキュアなプロセスを保証します。具体的には、システムのファームウェア、ブートローダ、オペレーティングシステムのカーネルが改ざんされていないことを確認します。これにより、マルウェアや不正なソフトウェアがシステムの起動プロセスに干渉するのを防ぐことができます。 - 暗号キーの安全な管理:
TPMは、暗号化に使用されるキーを安全に生成し、これをハードウェア内に格納します。これにより、重要なキーが外部からアクセスされるリスクを大幅に低減します。TPMには、特に「エンドースメントキー(EK)」と呼ばれるユニークで変更不可能なキーが含まれます。 - データの暗号化:
TPMは、ストレージデバイス(例えば、ハードドライブ)の内容を暗号化するための鍵として使用できます。例えば、WindowsのBitLockerなどのフルディスク暗号化技術では、TPMが保有する鍵を用いて、ディスクのデータを安全に暗号化します。これにより、盗難や不正なアクセスがあった場合でも、データは安全に保護されます。 - 設定の完全性の確認:
TPMは、システムの設定が安全で、改ざんされていないことを確認する役割も果たします。これは、Platform Configuration Registers(PCR)と呼ばれるメモリ領域を使用して、システムの状態を定期的にチェックすることで実現されます。 - ハードウェアベースの信頼性:
TPMは、物理的なハードウェアチップとしてコンピュータに組み込まれるため、ソフトウェアの脆弱性よりも攻撃を受けにくいとされます。
TPMはこれらの機能により、コンピュータシステム全体のセキュリティを大幅に向上させ、データの保護、システムの信頼性の強化に寄与します。
これらの理由から、TPMは現代のコンピュータシステムにおける重要なセキュリティコンポーネントとされています。
HSM(Hardware Security Module)は、暗号化キーの生成、管理、
および保存を行う専門のハードウェアデバイスです。
これは非常にセキュアな環境で実行され、暗号キーの漏洩や不正利用を最小限に抑える設計がされています。
以下に、HSMの主要な特徴と用途を詳しく解説します。
- 安全なキー管理: HSMは、暗号化キーを物理的に安全な環境内で生成し、保存します。これにより、キーが外部の攻撃者に漏洩するリスクを大幅に低減します。
- 高度な暗号操作: HSMは、デジタル署名の生成、データの暗号化・復号化、そして鍵の生成といった高度な暗号操作を高速かつ安全に実行します。
- 物理的な保護: HSMは、物理的な侵入やタンパリング(不正な改ざん)を検知するセンサーを備えています。不正なアクセスが検知された場合、自動的に保管されている暗号キーを無効化することができます。
- 人間の操作を最小限に: HSMは、暗号キーの管理において人間の操作を極力排除し、自動化されたプロセスでキーの生成と管理を行います。これにより、インサイダー攻撃や人為的なミスから生じるリスクを軽減します。
- 幅広い形態: HSMは、内部カード、外部デバイス、ネットワーク添付型デバイスなど、様々な形態で提供されます。これにより、組織のニーズに合わせて最適な形態のHSMを選択できます。
HSMは、銀行、政府機関、クラウドプロバイダなど、高度なセキュリティが求められる環境で広く利用されています。これらの機関では、顧客のデータや重要な情報を守るために、HSMを活用して秘密鍵や証明書の管理を行います。
試験には、主にTPMがハードウェアのRoot of Trustであり、コンピュータシステムの重要な部分であること、そしてセキュアなブートプロセスを保証し、暗号化に使用できることを理解することが求められます。TPMとHSMの具体的な設定や詳細な機能を試験のために暗記する必要はありませんが、ITおよびサイバーセキュリティのキャリアを進めるにつれて重要な概念となります。
BIOS/UEFI冷却オプション
コンピュータシステムのBIOSおよびUEFI設定内で利用可能な冷却オプションについて説明しています。
これらの設定は、ユーザーがマザーボードのファン(ケースファンとプロセッサファンを含む)の動作を制御できるようにします。
主な設定オプションは以下の通りです
- 静音モード (Quiet Mode): このモードはファンの速度を低下させ、より高い温度を許容しますが、システムを静かにします。高性能なシステムには推奨されません、なぜならコンポーネントの過熱のリスクがあるからです。
- バランスモード (Balance Mode): ほとんどのコンピュータでのデフォルト設定で、ファンの速度とシステムの温度の間にバランスを取ることを目指します。システムを過熱させず、ファンを過度に動作させないようにします。
- クールモード (Cool Mode): このモードでは、ファンはより高速に動作し、より多くの空気の流れを作ります。プロセッサのオーバークロックのような状況で、過剰な熱が発生する場合に有用です。このモードは、より多くの騒音を発生する可能性があります。
- ファンレスモード (Fanless Mode): このオプションはファンの制御を無効にし、ファンの代わりに液体冷却システムが設置されている場合に典型的に使用されます。
- カスタムモード (Custom Mode): ユーザーが自分自身で特定の設定を行うことができ、プリセットのモードを超えた設定が可能です。
これらの基本的なプロファイルに加えて、一部のシステムでは、各ファンに送る電力と、その回転数(RPMで測定)を精密に制御することができます。この機能を備えたシステムは、マザーボードとプロセッサに組み込まれた温度センサーを基に、ファンの速度を調整し、一貫した内部温度を維持することもできます。これらの設定は、システムコンポーネントの現在の温度に基づいて、消費電力と騒音生成を最適化するために使用できます。
次
ストレージデバイス ハードディスクドライブ(HDD)システムが電源オフの状態でもデータを保持する大容量ストレージデバイスであるハードディスクドライブ(HDD)に焦点を当てています。HDDは、コンピュータケースに[…]
