BIOS/UEFIの本当の役割:起動前・起動後・リモート管理(IPMI/iDRAC/iLO)まで一気に理解
「BIOSはOSを起動するだけ」ではありません。電源投入直後の自己診断から、OS起動後の電源管理やセキュリティ、さらにはサーバーの遠隔管理まで、裏方としてPC/サーバーの信頼性を支えています。本記事では、実運用の観点で要点を整理します。
1. BIOS/UEFIとは
BIOS(Basic Input/Output System)はPC黎明期から使われてきたファームウェアで、電源投入直後にハードを初期化し、OSにバトンを渡す役割を持ちます。現代ではその後継のUEFI(Unified Extensible Firmware Interface)が主流です。
- BIOS:16bit実行、MBRブート、古典的でシンプル
- UEFI:32/64bit実行、GPTブート、Secure Boot対応、ブートマネージャ内蔵、拡張性が高い
2. 起動前の役割(POST・初期化・ブート)
- POST(Power On Self Test):メモリ・CPU・GPU・ストレージ・入力デバイスなどの自己診断
- ハード初期化:クロック・電圧・周辺機能の有効化、最低限動作が可能な状態へ
- ブートの橋渡し:起動可能デバイスの探索とブートローダの実行(UEFIはブートエントリを管理)
3. OS起動後の役割(電源管理・セキュリティ)
3-1. 電源管理:ACPIを介した連携
ACPI(Advanced Configuration and Power Interface)は、ファームウェアが提供する各種テーブル(デバイス構成、電源状態、温度・ファン閾値など)をOSが読み取り、適切な電源管理を実現する枠組みです。
- スリープ/休止:どのデバイスを待機/電断するかをACPIで定義
- 冷却制御:温度センサ情報・ファンプロファイルの参照
- バッテリ・サーマル:残量や劣化度、熱設計制約(TDP)を踏まえた制御
3-2. セキュリティ:Secure Boot / TPM連携
- Secure Boot:OSローダやドライバの署名検証で改ざん起動を防止
- TPM(Trusted Platform Module):起動測定値を格納し、BitLocker等のディスク暗号化やデバイス認証を支援
- ファームウェアパスワード:無許可の外部メディア起動を防ぎ、物理攻撃耐性を強化
3-3. ハード抽象化の提供
UEFIテーブル経由で、OSはPCIリソース割当、NUMAトポロジ、CPUの電力管理機能(Turbo/SpeedStep/CPPC等)を把握し、適切なスケジューリングや省電力制御を行います。
4. BIOSとUEFIの比較表
| 項目 | BIOS(レガシー) | UEFI(現行主流) |
|---|---|---|
| 実行モード | 16bit(低メモリ制約) | 32/64bit(高機能・拡張性) |
| ブート方式 | MBR(~2TB制限) | GPT(大容量、複数エントリ) |
| セキュリティ | 最小限 | Secure Boot / TPM連携 |
| 電源管理 | ACPIは限定的 | ACPIテーブルの充実・高精度管理 |
| UI | テキスト中心 | グラフィカル・マウス対応 |
5. Macのブート事情(EFI/iBoot)
- PowerPC時代:IBM PCのBIOSとは無関係、独自ROM
- Intel時代:EFI/UEFIベース(Boot CampでWindows起動可能)
- Apple Silicon:iPhone同系のiBootでセキュアな起動チェーン。BIOSそのものは存在せず、別系譜のファームウェア設計
6. リモート管理:IPMI / iDRAC / iLO とUEFIの関係
6-1. BMC(Baseboard Management Controller)とは
BMCはマザーボード上の独立した管理用コントローラ。OSとは独立して動作し、電源OFF時でも待機、ネットワーク越しにリモート管理を可能にします。
6-2. 主要技術の位置づけ
- IPMI:標準規格。電源操作・センサ監視・SELログ取得などの基本機能
- iDRAC(Dell)/ iLO(HPE):IPMIを拡張したベンダー実装。Web UI・KVM over IP・仮想メディア・リモートUEFI設定などが可能
6-3. UEFIとの連携ポイント
- BMCからKVM over IPでUEFI画面へ直接アクセス(現地モニタ不要)
- 仮想メディアでISO等をマウントし、遠隔OSインストール
- UEFIが持つハード情報・イベントをBMCのログ/監視に活用(センサ・エラー伝達)
7. 運用チェックリスト(実務向け)
- 起動設計:UEFI + GPT、Secure Boot有効、必要に応じてCSM無効化
- ACPI健全性:スリープ/休止・ファン制御・温度閾値の検証(ノート/サーバで差異確認)
- 暗号化:TPM連携のディスク暗号化(BitLocker/LUKS + clevis等)
- FW管理:UEFI/BMCのファーム更新計画(メンテナンス窓口とロールバック手順)
- BMC分離:管理系ネットワーク分離、KVM/仮想メディアのアクセス制御、監査ログ保全
- バックアップ:UEFI設定のエクスポート、BMC設定バックアップ(証明書含む)
8. FAQ
Q1. BIOS/UEFIの設定変更でOSが起動しなくなったら?
まずは起動順序・CSM・Secure Boot・SATA/NVMeモード(AHCI/RAID)を確認。改善しない場合は「Load Setup Defaults」を適用し、最小構成で再検証します。
Q2. Linux導入でSecure Bootは切るべき?
主要ディストリは署名付きブートローダに対応しています。まずは有効のままトライし、必要時のみ一時的に無効化します。
Q3. iDRAC/iLOのKVMが映らない/遅い
ブラウザ互換・VPN遅延・暗号スイート・帯域制限を確認。FW更新・HTML5コンソール利用・プライベート回線/VLANでのアクセス最適化が有効です。
9. まとめ:UEFIは「起動係」から「運用の土台」へ
- 起動前:POSTと初期化、ブートの橋渡し
- 起動後:ACPIで電源管理、Secure Boot/TPMで改ざん耐性を強化、ハード抽象化情報を提供
- サーバ運用:BMC(IPMI/iDRAC/iLO)と組み合わせ、遠隔でUEFI設定・電源操作・OS展開が可能
実務では「セキュア設定(Secure Boot/TPM)」「ACPI挙動の検証」「BMCのネットワーク分離と証明書運用」の3点を押さえると、可用性と保守性が一段上がります。
追補:Dell / HPE / 自作サーバ 別 初期設定プリセット
サーバーを導入した直後に行うべきUEFI・BMCまわりの初期設定を、代表的な環境ごとにまとめました。実際の運用要件やセキュリティポリシーに合わせて調整してください。
Dell PowerEdge(iDRAC環境)
- UEFI設定:
- UEFIモード+GPTブート
- Secure Boot 有効(Linux導入時は確認)
- SATAモード:AHCI または PERC(RAID構成時)
- CPU省電力設定:OS Control Mode
- iDRAC初期設定:
- 最新ファームウェアに更新
- 管理LANを専用VLANに分離
- デフォルトユーザ「root/calvin」を削除し、RBACアカウント作成
- 仮想メディア機能を有効化(遠隔OS展開用)
- 証明書(SSL)を発行しHTTPS化
HPE ProLiant(iLO環境)
- UEFI設定:
- UEFIブート+Secure Boot 有効
- 「Intelligent Provisioning」を有効化(セットアップ支援)
- 電源プロファイル:Balanced Power and Performance
- NUMAノード/メモリインターリーブは用途に応じて調整
- iLO初期設定:
- ファームウェアを最新化
- 専用の管理ネットワークへ分離
- iLOアカウントを役割ベースで作成(管理者/監視者など)
- KVM over IP をテスト(ブラウザ/HTML5推奨)
- 監査ログ・SNMP/Redfish連携を有効化
自作サーバ(Supermicro / ASUS / ASRock Rack等)
- UEFI設定:
- CSM無効化(UEFIネイティブブート推奨)
- Secure Boot 有効(Linux利用時は署名確認)
- オンボードデバイスの不要機能を無効化(未使用SATA/USB/Serialなど)
- ファンプロファイルをカスタム設定(温度閾値に応じたカーブ調整)
- BMC/IPMI設定(搭載モデルのみ):
- デフォルトアカウント削除、強固なパスワード設定
- IPMIポートを管理ネットワーク専用に分離
- 必要に応じてRedfish APIを有効化
- リモートコンソール機能のテスト(JavaからHTML5ベースに移行推奨)
