Windows 10でUEFIセキュアブートを有効化する方法

Windows 11のシステム要件にあるセキュアブート

Windows 10は最後のバージョンだという話を聞いたことがある人もいるかもしれません。しかし実際には2022年にWindows 10の後継バージョンとなるWindows 11がリリースされました。このバージョンではセキュリティのアップデートやモダンな機能強化など様々な変更が加えられています。

マイクロソフト（Microsoft）が定めるWindows 11のシステム要件は下記のようになります。

プロセッサ	1ギガヘルツ（GHz）以上で2コア以上の64ビット互換プロセッサまたはSystem on a Chip（SoC）
メモリ	4ギガバイト（GB）
ストレージ	64GB以上の記憶装置
システムファームウェア	UEFI、セキュアブート対応
TPM	トラステッド・プラットフォーム・モジュール（TPM）バージョン2.0
グラフィックスカード	DirectX 12以上（WDDM 2.0ドライバー）に対応
ディスプレイ	対角サイズ9インチ以上で8ビットカラーの高解像度（720p）ディスプレイ
インターネット接続とマイクロソフトアカウント	Windows 11 Homeエディションにはインターネット接続とMicrosoftアカウントが必要

今回はこの中で「システムファームウェアのUEFI、セキュアブート対応」についてお話しします。

PC正常性チェック、セキュアブートの要件を満たさない事例

Windows 10の「設定」⇒「更新とセキュリティ」⇒「Windows Update」にて「このPCは現在、Windows11を実行するための最小システム要件を満たしていません」といったメッセージが表示されます。

画面右にあるリンク「PC正常性チェックを受ける」をクリックすると、「PC正常性チェックアプリの使用方法」ページからPC正常性チェックアプリをダウンロードして、お使いのPCでWindows 11がインストール・使用できるかどうかをさらにチェックすることができます。

PC正常性チェックアプリを開いたあと、「今すぐチェック」をクリックしたら、「PCはセキュアブートをサポートしている必要があります」となり、セキュアブートの要件を満たしていません。

これはBIOSでセキュアブートが無効となっている状態ですが、一般的にはセキュアブートを簡単に有効化することができます。

UEFIセキュアブートについて

UEFIのセキュアブートはセキュリティを強化するために必要な機能です。

関連知識：BIOSとは？

PCに電源を入れてWindows OSを起動するまで、PCのハードウェアコンポーネントとオペレーティングシステム（OS）間のファームウェアインタフェースのことがBIOS（Basic Input／Output System：バイオス）です。BIOSはマザーボード上のROMに内蔵されているプログラムで、キーボード、マウス、CPU、ハードディスク（HDD）などのハードウェア・デバイスを初期化・制御してOS起動に引き渡すつなぎ役のユーティリティです。

★BIOSの主な役割は以下となります。

CPUや周辺機器の診断

CPUや周辺機器の有効／無効化

起動デバイスの優先順位の設定

内蔵ハードディスクや光学ドライブの設定

ブートモード（Legacy BIOS／UEIF）の切り替え

日付・時刻の設定

UEFIとは？

UEFI（Unified Extensible Firmware Interface／ユニファイド・エクステンシブル・ファームウェア・インタフェース）とは、従来のBIOS（Legacy BIOS／レガシーBIOS）に代わるソフトウェアインタフェースの仕様です。

⭕メリット：

❶レガシーBIOSと比べてGUI（グラフィカルユーザインタフェース）なのでにユーザーにとってわかりやすい操作ができます。

❷BIOSでのハードウェアを診断せずに高速なOS起動が可能となり、ソフトウェアの相互運用性を向上させます。

❸2TB以上の大容量HDD制御やWindows 64ビット版に適しています。

❹「セキュアブートなどの利用」が可能になっています。

❌デメリット：

UEFI BIOSは、Legacy BIOSに比べて多くの利点がありますが、そのブート方法が一部のOSに適合せず、構成によっては最適な選択肢ではなくなる場合もあります。そのため、一般的にLegacyブートモードがデフォルトです。

UEFIでのブートに対応したOSを「UEFIモード」でインストールすることで、UEFIによるOSの起動ができるようになり、上記のメリットを活かせるようになります。ただ、64ビット版Windowsであることがほぼ必須です。32ビット版WindowsではUEFIモード（GPT形式へ）のインストールができません。

LegacyではMBRディスクからWindowsが起動し、UEFIではGPT起動ディスクを必要とするため、ファームウェアの設定をLegacyからUEFIに切り替える際にはMBRからGPTに変換する必要があります。

👍【徹底解説】MBRとGPTの違い、確認・変換方法、どっちがいい？

セキュアブートとは？

セキュアブートとは、UEFIの機能のひとつで起動時に認証局で許可された（信頼できる）ソフトウェアしか実行できないようにする機能のことです。許可されていないソフトウェアではデバイスを起動することはできません。

セキュアブートはパソコンのメイン基板（マザーボード）に搭載され、パソコンに電源を入れるとプロセッサ（CPU）やメモリ、ストレージなど接続される機器の安全性をチェックします。 メイン基板のUEFIで制御することはでき、利用にはWindows 8以降のOSが必要になります。

💡どうしてセキュアブートが必要になるのか？

一部のPCゲームをプレイするためにセキュアブートをオンにしなければならないことがあります。

Windows 10からWindows 11へアップグレードするための必須要件のひとつに、この「UEFIセキュアブートに対応しているかどうか」があります。

典型的な例ではサイバー攻撃のひとつにファームウェア攻撃というものがあり、これはWindowsなどのOSではなくメイン基板に直接攻撃を仕掛けます。侵入するとWindowsが起動する前に攻撃をするので、Windowsのセキュリティ機能は有効ではありません。これを防ぐにはセキュアブート機能が欠かせないわけです。

セキュアブートを有効にすると、「【Operating System Not Found】起動できない」「何もしていないのにBitLocker回復キーをいきなり毎回聞いてくるループ」などの問題を修正することができます。

また、CSMが有効になっている場合は、セキュアブートを「無効」にすることが推奨されています。UEFIのアップデートを行ったら、CSMもセキュアブートも有効になってしまうと、Windowsの起動がうまくいかなかったり、動作が非常に不安定になります。CSMが無効の場合は、セキュアブートは有効・無効どちらでもよいです。

関連知識：CSMとは？

CSM（Compatibility Supported Module）とは、従来のBIOSをエミュレートして互換性を保つための仕組みです。UEFIを実装している殆どのマザーボードで内蔵されているシステムで、これが有効になっていると従来のBIOS（レガシーBIOS）を通しての起動が可能になります。

例えば、32ビット版のWindows VistaやWindows 7などの「レガシーなOS 」をインストールできたり、また古いドライバや周辺機器との互換性が高くなります。

上記のような古い資産を運用したい場合はCSMを有効にすることで動作することが期待できます。ただ、そこまで古いものを利用していないという場合であれば通常お世話になることは少なく、さらにUEFIブートをしているのであれば前述する「セキュアブート」との関係より「無効」が推奨されます。

UEFIセキュアブートが有効か無効かを確認

Windows 10でUEFIセキュアブートの有効・無効を確認する手順は次の通りです。

手順 1. Windowsキー+Rキーを押して「ファイル名を指定して実行」を開きます。名前の部分に「msinfo32」と入力して（コピペで大丈夫）「OK」ボタンを押します。

手順 2. システム情報の画面が表示されます。BIOSモード「UEFI」になっていることを確認したら、少し下のセキュアブートの状態を見ます。

🔎画像のように、セキュアブートの状態が「無効」になっていれば、現在UEFIセキュアブートが無効化されている状態です（※またはUEFIセキュアブートがサポートされていません）。

🔎画像のように、セキュアブートの状態が「有効」であれば、現在UEFIセキュアブートが有効化されている状態となります。

BIOS設定からUEFIセキュアブートを有効化

次は、BIOS設定からセキュアブートを有効にする方法をみていきます。セキュアブートを有効化するために、ブートモードがレガシーBIOS（システムディスクがMBRパーティション形式）の場合、まずはUEFI（GPT）に変更する必要があります。

データを失うことなくMBRをGPTに変換する手順

Windows 11のシステム要件を満たすために、マザーボードをUEFI・セキュアブートに対応させる前に、システムディスク（起動ディスク）をMBRからGPTへ変換する必要があります。データを失うことなくMBRをGPTに変換する最も簡単な方法は、サードパーティ製ソフトAOMEI Partition Assistant Professionalを使用することです。

AOMEI Partition Assistant Professionalは、優れたディスク管理ソフトです。パーティションを削除せずに（データを失うことなく）、システムドライブをMBRからGPTに変換することができます。そのほか、ブータブルUSB／CDの作成、空き領域の割り当て、SSDへのOS移行、紛失したデータの復元、重複ファイルの検索＆削除など、強力な機能がたくさん備えています。

Windows 10でシステムディスクをMBRからGPTに変換する場合は、次の手順に従ってください。

手順 1. AOMEI Partition Assistant Professionalをダウンロードし、インストールし、起動します。

手順 2. 変換するシステムドライブ（この例ではディスク0）を右クリックし、「GPTディスクに変換」を選択します。

手順 3. 変換操作の確認画面が表示されたら、「はい」をクリックします。

手順 4. メッセージをよく読んで、「はい」をクリックします。

手順 5. 問題なければ「適用」をクリックして、MBRからGPTへの変換を実行します。

🔒ヒント：

システムディスクをGPTに変換した後、Legacy BIOSをUEFIブートモードに切り替えて起動する必要があります。

AOMEI Partition Assistantは、データを失うことなくシステムドライブをGPTからMBRに変換することもできます。

AOMEI Partition Assistantの「ブータブルCD／USBを作成」機能を利用して、Windows PE（Windowsプレインストール環境）でもシステムドライブをGPTに変換することができます。

👍Windows 10でシステムドライブをMBRからGPTに変換する方法

レガシーBIOSをUEFIに変更する手順

起動ディスクのパーティション形式をGPTへ変換したら、BIOSの設定でブートモードをUEFIへ変更する必要があります。変更しないと起動できません。

手順 1. パソコンの電源をオンにしたら、メーカーのロゴが表示されている短い間に各PCメーカーに対応したキーを押してください（何度か押すとうまくいきます）。

NEC	F2
富士通	F1／F2／F12（年式によって）
東芝	F2
VAIO	F3またはF4
パナソニック	F2
Lenovo	F1
HP	F10
マウスコンピューター	del
ASUS	F2
Dell	F2またはCtrl+Alt+Enter
FRONTIER	ほとんどdel、一部F2
ドスパラ	多くはdel、一部F1かF2

手順 2. BIOSの設定画面が開いたら、上部メニューの「Boot（またはブート、起動など）」に移動します。

手順 3. 「Boot」メニューで、「UEFI／BIOS Boot Mode」を選択し、Enterを押します。

手順 4. すると「UEFI／BIOS Boot Mode」ダイアログボックスが表示されるので、「UEFI」を選択します。

上下の矢印を使用してUEFIブートモードを選択し、Enterを押します。

変更内容を保存して画面を終了するには、F10を押します。

📢【補足】最近のマザーボードは、ほとんどUEFIブートモードとレガシーBIOSブートモードの両方をサポートするので、「LEGACY+UEFI」ブートモードがあります。

セキュアブートを有効化する手順

UEFIセキュアブート有効化・無効化の設定変更は、BIOSから行えます。

手順 1. パソコンの電源をオンにし、メーカーのロゴが表示されたら、すかさず「F2」キーを連打します。UEFI BIOS Utilityが開いたら、右下の「詳細設定モード（英：Advanced Mode）」 を選択します。

手順 2. 「起動（英：Boot）」 タブの画面に入り、「CSM（英：Compatibility Support Module）」 を選択します。

手順 3. 「CSMの起動（英：Launch CSM）」を開き、無効化したいときは「Disabled」を選択します。

手順 4. 「起動（英：Boot）」タブの画面に戻って「セキュアブートメニュー（英：Secure Boot）」を選択します。セキュアブートを有効化したい場合は、OSタイプを「UEFI モード（Windows UEFI mode）」にします。

手順 5. BIOS画面下にあるメニューから「EzMode」を選択します。同じく下のメニューにある「保存＆終了」を選択します。「変更した設定を保存してBIOSを終了してWindows 10を起動します。いいですか？」と聞いてきたら「OK」ボタンを押します。

これでBIOSからのUEFIセキュアブート有効化は完了です。ちなみに、BIOSにセキュアブートの項目（UEFIセキュアブート設定変更）がない場合は、UEFIセキュアブートに非対応のパソコンということになるようです。

セキュアブート有効化に関するよくある質問

Q1：セキュアブートとは何ですか？

A1：セキュアブートは、コンピューターが起動時に信頼性のあるソフトウェアとハードウェアコンポーネントを使用して、オペレーティングシステムやブートローダーが正規の状態で起動することを確保するセキュリティ機能です。

Q2：セキュアブートを有効にする理由は何ですか？

A2：セキュアブートを有効にすると、不正なソフトウェアやマルウェアがシステムに侵入するのを難しくし、コンピューターシステムのセキュリティを向上させることができます。

Q3：セキュアブートを有効にするための手順は何ですか？

A3：セキュアブートを有効にする手順は、コンピューターのメーカーやモデルによって異なることがあります。

一般的な手順は以下の通りです：

コンピューターのBIOSまたはUEFI設定にアクセスします。

セキュアブートオプションを有効にします。

セキュアブートキー管理を設定し、信頼できるソフトウェアと署名されたコンポーネントを指定します。

Q4：セキュアブートを有効にすると何が変わりますか？

A4：セキュアブートを有効にすると、起動プロセスがセキュリティ強化され、不正なソフトウェアの実行を防ぎます。認証されていないOSやブートローダーの使用が制限されます。

Q5：セキュアブートを有効にすることのデメリットはありますか？

A5：セキュアブートを有効にすることにより、一部のカスタマイズや非公式のソフトウェアの実行が難しくなることがあります。また、セキュアブートが正しく設定されていない場合、起動の問題が発生する可能性があります。

Q6：セキュアブートが無効になっている場合、有効にすることはできますか？

A6：はい、一般的にはBIOSまたはUEFI設定からセキュアブートを有効にできます。ただし、注意が必要で、誤った設定を行うとシステムが正しく動作しなくなる可能性があるため、慎重に操作することが重要です。

Q7：セキュアブートが有効になっている場合、どのように動作しますか？

A7：セキュアブートが有効になっている場合、コンピューターは起動時に署名されたコンポーネントを検証し、信頼性のあるもののみを実行します。これにより、不正なソフトウェアやマルウェアの実行が防止されます。

Q8：セキュアブートの署名はどのように管理されますか？

A8：セキュアブートの署名は通常、信頼できる証明機関によって行われます。これにより、コンポーネントが正当であることが確認されます。署名を管理するためには、証明書管理ツールやBIOS／UEFI設定を使用します。

Q9：セキュアブートはパフォーマンスに影響しますか？

A9：セキュアブートを有効にすると、コンピューターの動作が遅くなるのではないかと心配するユーザーもいます。その必要はありません。Secure Bootを有効にすると、保護機能が追加され、コンピューターがウイルス攻撃から保護されるだけです。コンピューターを保護するほか、コンピューターの速度も遅くなることはありません。

まとめ

新しく発表されたWindows 11のシステム要件に「UEFI」「セキュアブート」の対応が書かれています。CSMは無効でセキュアブートは有効という設定になってる必要があります。そうしないとWindows 11の動作条件を満たさないため、Windows 11を利用する場合は必須の設定になります。

今回は「利用中のパソコンのUEFIセキュアブートが有効か無効かを確認する手順と、無効だった場合のUEFIセキュアブートを有効化する手順」を紹介いたしました。セキュアブートを有効にする前に、AOMEI Partition Assistant Professionalを使用して、起動ディスクをGPTに変換する必要があります。また、ブートモードをUEFIに設定しなければなりません。

Windows Server 2012／2016／2019／2022（R2を含む）の場合、AOMEI Partition Assistant Serverを試して、より高度な機能をお楽しみください。

今後ますますセキュリティの重要性は大きくなるので、システム要件を満たさないパソコンに無理にWindows 11をインストールして使うことはおすすめできません。セキュアブートが利用できないパソコンは年数も経過しているので、Windows 11を使いたい場合は新しいパソコンに買い替えるのがいいでしょう。