トップ > Qubes OS > Qubes OSインストールの仕方
最終更新日

Qubes OSインストールの仕方

Qubes OS

今回は前回Qubes OSのISOをコピーしたUSBメモリを使ってパソコンにQubes OSをインストールしていきます。

事前準備

パソコンのUEFI(BIOS)の設定からSecure Bootをオフにして、仮想機能(インテルの場合はVT-x及びVT-d)をオンにすることを忘れないでください。 さらにUSBメモリから起動できるように適切に設定してください。

インストーラー画面解説

USBメモリをパソコンに差し込んでからパソコンの電源を入れます。 つぎの画面が出てきたら矢印キーで"Install Qubes OS R4.2.0"を選んでエンターキーを押します。

Qubes OSインストールのメニュー
Qubes OSインストールのメニュー

以下の"WELCOME TO QUBES OS R4.2."の画面では英語設定になっています。日本語設定にするには、左下の入力欄に "Japan"と入れると日本語が選びやすくなります。

言語とキーボードを選択
言語とキーボードを選択

左側の一覧から「日本語」を選んでクリックすると、画面全体が日本語表示に変わります。右下の「続行」ボタンをクリックします。

日本語を選択したところ
日本語を選択したところ

ここでハードウェアの設定のチェックが行われ異常が検知されると次のような警告画面が出ます。

仮想化がサポートされていないことの警告
仮想化がサポートされていないことの警告

仮想化機能がオフになっているとこのようなメッセージが出るので、いったんインストール作業を中止し、PCを再起動させUEFIの設定画面から仮想化の設定をオンにしてください。

つぎに「インストール概要」という画面に移ります。「時刻と日付」がニューヨークの設定になってしまっているので、ここをクリックします。

インストール概要のメニューが表示されているところ
インストール概要のメニューが表示されているところ

世界地図の日本付近をクリックして、左上の「完了」を押します。

タイムゾーンの設定
タイムゾーンの設定

「インストール概要」の画面に戻ったら、「ユーザーの作成」をクリックします。

ユーザーの作成をクリック
ユーザーの作成をクリック

「ユーザーの作成」画面に移ったら、ユーザー名とパスワードを入力して左上の「完了」を押します。

ユーザー名とパスワードを設定
ユーザー名とパスワードを設定

なお、rootパスワードは設定しないでください(つまり、デフォルトの「rootアカウントは無効になっています」のままにしておいてください)。Qubes OSではrootユーザーを使用しません。

続いてインストール概要の画面で「インストール先」をクリックします。

「インストール先」をクリック
「インストール先」をクリック

「インストール先」の画面になったら、Qubes OSをインストールしたいSSDに黒いチェックマークがついているのを確認してください。「ストレージの設定」は「自動構成」のままにしておいてください。「暗号化」は「データを暗号化する」にチェックを入れたままにしておきましょう。暗号化を選択すると、Qubes OSの起動時に毎回パスフレーズを入れる必要があります。

インストール先のSSD等を設定
インストール先のSSD等を設定

左上の「完了」ボタンを押すと、暗号化のパスフレーズを入力するポップアップが出ます。パスフレーズを入れたら、「パスフレーズの保存」を押します。

SSD暗号化用パスフレーズの設定
SSD暗号化用パスフレーズの設定

「インストール概要」の画面に戻ったら警告表示がすべて消えたのを確認して、右下の「インストールの開始」を押します。

設定が終了したのでインストール開始
設定が終了したのでインストール開始

「インストールの進行状況」という画面に移り、インストールが進んでいきます。

SSDにQubes OSをインストールしているところ
SSDにQubes OSをインストールしているところ

インストールが終わると、「完了しました!」というメッセージが出ます。右下の"システムの再起動"を押してPCを再起動させます。再起動中に忘れずにUSBを抜いてください。

Qubes OSインストール完了
Qubes OSインストール完了

インストール直後の初期設定

再起動後にQubes OSの起動画面があらわれます。上のQubes, with Xen hypervisorを選択してQubes OSを起動させます。

Qubes OS起動メニュー
Qubes OS起動メニュー

SSD暗号化を解除するためのパスフレーズを聞かれるのでそれを入力します(以下のようなGUIの画面ではなく真っ暗なコンソールで入力する場合もあります)。

SSDのパスフレーズを入力する
SSDのパスフレーズを入力する

Qubes OSを初めて使用する前に必要な設定を行うために、"初期セットアップ"という画面が出てきます。画面中央の"QUBES OS"付近をクリックします。

Qubes OSの初期設定の画面
Qubes OSの初期設定の画面

つづいて次のような初期設定の項目を選ぶ画面に移ります。

初期設定の項目を選ぶ画面
初期設定の項目を選ぶ画面

ここは大半のユーザーはデフォルトの設定のままで左上の完了ボタンを押せばOKですが、以下ここの設定項目を簡単に解説します。 一番上の"Templates Configuration" では、"Installation"の下に Debian 12 Xfce, Fedora 38 Xfce, Whonix 17の3つにチェックが入っています。使用したくないものがあればチェックを外してください。

なお Whonix を入れると常時 Tor の通信がバックグラウンドで行われます。これは Whonix のアップデートや時刻設定のためだと思います。Tor通信が頻繁に起こるのが嫌な人は Whonix 17のチェックボックスを外してください。あとから Whonix をインストールすることも可能です。

Qubes OS R4.2ではTemplates ConfigurationDefaultのドロップダウンボックスがFedora 38 Xfceになっています。この設定に基づいて sys-net, sys-firewall, sys-usbの3つの仮想マシン及びappキューブ(personal, workなど)が Fedoraを仮想OSとして使用することになります。Debian好きな人はここを Debian 12 Xfceにするとよいでしょう。

Main Configuration 直下のCreate default system qubes のチェックボックスはそのままオンにしておいてください。オフにしてしまうとsys-net, sys-firewall等の重要キューブが作成されなくなってしまいます。

Make sys-firewall and sys-usb disposable をオンのままにしておけば、sys-firewall と sys-usb のキューブはディスポーザブルとして毎回フレッシュな状態で起動します。つまり万が一マルウェアに感染しても次回起動するときにはもとのクリーンな状態に戻るようにできています。

Make sys-net disposable はデフォルトではオフになっています。sys-net をディスポーザブルにしてしまうと、ワイヤレスのパスワードなどのデータがシャットダウンするたびに失われてしまい不便になりますから、ディスポーザブルにしないことをおすすめします。LANケーブルを使用してルーターからDHCPでIPアドレスをもらう人は、ディスポーザブルにしても特に不便なことはないと思うので、このチェックボックスをオンにすることをおすすめします。

Create default application qubesにチェックを入れておくと、普段使う仮想マシンとして personal, work, untrusted, vaultの4つが作成されます。名前を自由につけたい場合は、このチェックを外してあとで自分好みのキューブ(仮想マシン)を作成するのもよいと思います。

Create default application qubesのすぐ下はUSBキューブを作成するかどうかのチェックボックスです(Use a qube to hold all USB controllersのところ)。USBキューブを作るとBadUSBなどの攻撃に対する安全性が高まるので、ここはチェックボックスをオンにしておきましょう。Qubes OS R4.2になってからデスクトップ型のPCでUSBキーボードを使用している人も、デフォルトでUSBキューブが作成されるようになりました。USB接続の外付けディスクにQubes OSをインストールした場合はUSBキューブは作成されず、あとからUSBキューブを作るのも無理です。

Use sys-net qube for both networking and USB devicesですが、USB経由でネットワークにつなげている人(つまりUSB接続のLANケーブルやWifi子機を使っている人)はここをオンにしてください。

Automatically accept USB miceのところをオンにしてしまうと、いわゆるBad USBをPCに差し込んだ場合、マウスであるかのように振る舞ってdom0が攻撃を受ける可能性があるらしいのでオフにしたほうがよいと思います。ただしここをオフにしておいた場合、Qubes OSが起動したあと毎回USBマウスの使用をオンにするための操作が必要になります(タッチパッドまたはキーボードを使ってオンにします)。

Automatically accept USB keyboard はUSB接続のキーボードを起動時から使えるようにするオプションです。ノートPCのユーザーはここはオフのまましておいてください。

デスクトップタイプのPCでUSBキーボードを使用してインストール作業を行うと、Automatically accept USB keyboard がオンになって、利用するキーボードの型番が表示されると思います。デスクトップPCユーザーの方はここは必ずオンのままにしておいてください(例外はPS/2キーボードを利用している場合です)。USBキーボードを利用してセットアップすると以下の写真の設定のようになるでしょう。

USBキーボードを使用しているときのUSBキューブの設定項目
USBキーボードを使用しているときのUSBキューブの設定項目

Whonixを使う人は Create Whonix Gateway and Workstation qubes をオンにしておいてください。 また、匿名性や安全性を高めたるためにdom0, Fedoraテンプレート及びDebianテンプレートの日々のアップデート(さらには新規ソフトのインストール)をTor経由で行いたい人は、Enable system and template updates over Tor anonymity network using Whonixをオンにしましょう。ただしTor経由でアップデートをやるとかなり時間がかかります。


初期設定の項目を選ぶ画面の左上の "完了"を押すと、初期セットアップの画面に戻ります。ここで右下の "設定の完了"を押すと、Fedora, Debain, Whonix(GatewayとWorkstationの2つ)の各テンプレートのインストールと初期設定が始まります。

初期設定入力を済ませたのでテンプレートのインストールを開始
初期設定入力を済ませたのでテンプレートのインストールを開始


初期セットアップはかなりの時間がかかります。Qubes OS本体のインストールよりも時間がかかると思います。以下は初期セットアップ作業中の画面です。

初期セットアップが進行中
初期セットアップが進行中


初期セットアップがようやく終わるとログイン画面に移ります。パスワードを入力してログインしたらいよいよQubes OSの利用開始です。

Qubes OSログイン画面
Qubes OSログイン画面