異なるマザーボード間でセキュアブートを有効にする方法（ASUS、MSI、Gigabyte、Dell、HP）

セキュアブートはUEFIの機能で、少々奇妙ですが、ルートキットや未署名のブートローダーなどの悪質な攻撃からPCを守りたいなら非常に重要です。基本的には、起動時に信頼できる署名済みのコードのみが実行されるようにチェックします。Windows 11へのアップグレードを予定している場合や、セキュリティを強化したい場合は、この機能を有効にするのが賢明です。しかし、様々なベンダーメニュー、隠しオプション、そして「グレー表示」された設定など、プロセスが少し分かりにくい場合があります。このガイドは、ASUS、MSI、GIGABYTE、Dell、HPなどの人気システムでの設定手順を解説し、この機能が見つからない場合や無効になっている場合のトラブルシューティングも紹介します。

セキュアブートを有効にする方法 — 実例

セキュアブートを有効にすることが重要な理由

セキュアブートは、起動時に悪意のある低レベルソフトウェアが読み込まれるのを防ぎます。信頼できる署名済みのOSコンポーネントとドライバーのみを実行できるようにすることで、ブートキット、ルートキット、不正なコードなどの侵入をブロックします。基本的に、これはWindows PCの最新のセキュリティ基準に不可欠な要素であり、特にOSをアップデートする場合やWindows 11の認証取得を目指す場合には重要です。

BIOS/UEFIを詳しく調べる前に – クイックチェックリスト

• 完全バックアップ。今すぐ実行してください。ファイルのバックアップを取り、Windows回復ドライブ（USB）またはシステム全体のイメージを作成しておくのが理想的です。ファームウェアやブートモードを変更すると、起動の問題やデータ損失につながる可能性があります。
• Windows で現在のステータスを確認します: ヒットWin+R→ 入力msinfo32→ BIOS モード(UEFI またはレガシー) とセキュア ブート状態(オンまたはオフ) を確認します。
  • あるいは、管理者としてPowerShellを開き、 を実行しますConfirm-SecureBootUEFI。<$True> が返された場合
• システムがレガシーまたはMBRディスクを使用している場合は、 GPTへの変換（つまり、BIOSからUEFIへの切り替え）が必要です。Microsoftのmbr2gptユーティリティが役立ちます。指示に従って最初に検証を実行すれば、かなり信頼性が高くなります。
• マザーボードのファームウェアを更新しましょう。ベンダーのウェブサイトから最新のBIOS/UEFIファームウェアを入手してください。これにより、バグが修正され、セキュアブートのサポートが向上することがよくあります。
• マザーボード／ノートパソコンのモデル情報を用意し、この記事の最後に記載されているベンダーのドキュメント／サポートページをご確認ください。ベンダー固有の問題は実際に存在します。

速くて汚い：セキュアブートを有効にする方法

これはほとんどのセットアップのクイック バージョンです。特定のベンダー メニューの詳細な手順は以下に記載されています。

1. まずバックアップを取ってください。ファームウェアをいじると、当然ながら予期せぬ事態に陥る可能性があります。
2. Dell サポート ガイドまたは PowerShell コマンドを使用して現在の状態を確認します。
3. 必要に応じて、ディスクをMBRからGPTに変換します。mbr2gpt /validate /disk:0 /allowFullOSと を使用しますmbr2gpt /convert /disk:0 /allowFullOS。PCごとに状況が異なるため、パーティションが正常であることを確認し、バックアップを作成してください。
4. BIOS/UEFIを起動します。再起動後、Del、F2、F10、またはEscキー（システムによって異なります）を押します。通常はPOST中に表示されます。キーの使い方がわからない場合は、ベンダーのマニュアルを参照してください。
5. ブートモードをUEFIに切り替える：設定を見つけます（通常は「ブート」または「セキュリティ」の下にあります）。Legacy/CSMからUEFIに変更します。多くのBIOS設定では、Legacyモードが有効な間はセキュアブートが非表示になるため、この切り替えは非常に重要です。
6. セキュアブートオプションを見つけます。通常、これらは「ブート」、「セキュリティ」、「認証」セクションにあります。「有効」にOS Type変更するWindows UEFIか、切り替えます。プロンプトが表示されたら、 「ファクトリーキーのインストール/復元」などのオプションを選択して、ファクトリーキーを登録または復元します。これによりセットアップモードになり、その後ユーザーモードに切り替わり、セキュアブートが有効になります。Secure Boot Control
7. 変更を保存して再起動します。「保存して終了」をクリックし、Windowsを起動します。BIOSモードがUEFI、セキュアブート状態がオンになっているmsinfo32ことを再度確認してください。

問題が発生する理由 – 表示されないオプションやグレー表示されるオプションのトラブルシューティング

• CSM/レガシーモード：有効になっている場合、セキュアブートは通常自動的に無効になります。CSMを無効にするか、UEFIに完全に切り替えてください。GIGABYTEなどのベンダーは、セキュアブートはCSMがオフの場合にのみ機能すると明記しています。
• ディスクが MBR ですか?で GPT に変換しますmbr2gpt。MBR ディスクは UEFI モードのセキュア ブートをサポートしません。
• プラットフォームキーがインストールされていません：BIOSから工場出荷時のデフォルトキーをインストールまたは復元する必要があります。「デフォルトキーのインストール」や「工場出荷時のキーの復元」などのオプションを確認してください。適切なキーがないと、セキュアブートは無効のままになります。
• ファームウェアの制限：一部のBIOSでは、設定がスーパーバイザー/管理者パスワードでロックされます。セキュアブートのオプションを変更する前に一時的にパスワードを設定し、変更後に削除する必要がある場合があります。
• 古いファームウェア： BIOS/UEFIファームウェアを更新すると、バグが修正されたり、不足している機能が追加されたりすることがよくあります。ファームウェアのアップデートは、隠されたオプションを解除する鍵となることもあります。
• 他の方法がすべて失敗した場合は、デフォルトの BIOS 設定を復元するか、キーを再プロビジョニングするか、ベンダーのサポートに問い合わせることを検討してください。

ベンダー固有の手順 – BIOS画面が異なるため

ASUS（デスクトップおよびROG）：電源投入時、POST中にDel（または）を押します。BIOSに入ったら、 （Advanced Mode）を押します。「Boot」または「Security」タブに移動し、 「Secure Boot」を見つけて「Enabled」に切り替えます。キーの入力を求められた場合は、 「Install/Remove Secure Boot Keys」を選択し、詳細な画面についてはAsusサポートをご覧ください。F2F7Secure Boot Control

MSI：再起動し、DeletePOST中に を押してBIOSに入ります。 を押してF7詳細モードを選択し、「設定」 → 「セキュリティ」または「詳細」に進みます。 「セキュアブート」を見つけて有効にし、モードを「標準」に設定します。プロンプトが表示されたら、工場出荷時のキーを復元または登録します。MSIのFAQには、一般的な手順とキーの復元手順が記載されています。

GIGABYTE / AORUS：POST中に押すとDeleteBIOS画面に入ります。BIOS > Secure Boot、または場合によってはPeripherals > Secure Bootに移動します。多くのGigaモデルでは、まずCSMサポートを無効にする必要があります。CSMをオフにしてから、Secure Boot を有効にし、Standardモードを選択し、利用可能な場合はデフォルトキーをインストールします。正確なメニューラベルについてはマニュアルをご確認ください。多くのマニュアルにはスクリーンショットが掲載されており、手順を案内しています。

Dell：起動時に を押してF2BIOSに入ります。「Boot Configuration」の「Boot List Option」を「UEFI」に切り替えます。次に「Secure Boot」を見つけて「Enabled」に設定し、保存します。Dellのサポートページには、セキュアブートを表示するにはUEFIが必要になる場合があると記載されており、詳しく説明されています。

HP：電源を入れ、Esc繰り返しタップしてスタートアップメニューを起動し、 を押してF10BIOSを起動します。「セキュリティ」または「システム構成」>「ブートオプション」に進みます。「セキュアブート」を見つけて「有効」に切り替えます。セキュアブートがグレー表示になっている場合は、 「HPファクトリーキーのロード」を選択して、まずデフォルトのキーをロードしてみてください。ファクトリーキーの使い方がわからない場合は、サポートページに詳しい説明があります。

例: Windowsですべてをオンにする – 実際のウォークスルー

1. を実行しますmsinfo32。BIOSモードがレガシーでセキュアブートがオフになっている場合は、まずUEFIに変換する必要があります。（Dellのドキュメントに概要が記載されています。）
2. 管理者権限でコマンドプロンプトを開きます。スタートメニューを右クリックし、「コマンドプロンプト（管理者）」を選択します。ディスクを検証しますmbr2gpt /validate /disk:0 /allowFullOS。検証に成功したら、次のmbr2gpt /convert /disk:0 /allowFullOSコマンドで変換します。空き容量やパーティション数などの前提条件を満たしていることを確認してください。
3. BIOS/UEFIで再起動します（Del / F2 / F10 / Esc）。ブートモードをUEFIに変更し、CSMを無効にして変更を保存します。
4. BIOSに戻り、セキュアブートを有効にし、必要に応じてデフォルトキーをインストールまたは復元します。保存して終了します。
5. ステータスを確認します。もう一度 を実行するmsinfo32か、PowerShell で を実行します。 On とConfirm-SecureBootUEFI表示されるはずです。

純粋なトラブルシューティング – 物事がうまくいかない場合

• UEFI に切り替えた後に Windows が起動しない場合は、回復用 USB ドライブから起動し、「詳細オプション」を選択して「コマンドプロンプト」を選択し、EFI ブートエントリを確認してください。必要に応じて、レガシーモードに戻してから、ディスク変換プロセスのトラブルシューティングを行ってください。
• セキュアブートがまだオフまたはグレー表示になっている場合は、工場出荷時のキーを復元するか、CSMが無効になっていることを確認するか、BIOSを更新してください。特に問題が解決しない場合は、デフォルトのBIOS設定をロードするか、CMOSをリセットすると問題が解決する場合があります。
• 場合によっては、ファームウェアによってスーパーバイザー/管理者パスワードなしでの変更がブロックされることがあります。その場合は、一時的にパスワードを設定し、後で削除してください。BIOS の制限は面倒ですが、避けられないこともあります。

ボーナス: Linuxとデュアルブートの状況

最近のLinuxディストリビューションのほとんどは、署名付きブートローダー（Shimなど）によるセキュアブートをサポートしています。動作しない場合は、マシンオーナーキー（MOK）を登録するか、セキュアブートを一時的に無効にする必要があるかもしれません。ディストリビューションのドキュメントを確認してください。すぐにサポートされていると記載されているものもあれば、少し設定が必要なものもあります。

簡単な要約/チートシート

• PowerShell で確認msinfo32または実行します。Confirm-SecureBootUEFI
• レガシー/MBR ディスクを使用している場合は、GPT に変換して UEFI に切り替えます。
• Del、F2、F10、または Esc キーで BIOS に入ります (ベンダーによって異なります)。
• CSM を無効にし、ブート モードを UEFI に設定してから、セキュア ブートを有効にし、工場出荷時のキーをインストールします。
• でセキュア ブートが再度オンになっていることを確認しますmsinfo32。

最後に — これが役に立つことを祈る

難しい話ではありませんが、BIOSメニューは確かに面倒です。一度設定しておけば、特にWindows 11へのアップグレード時には、PCのセキュリティが強化されます。必ず事前にバックアップを取り、時間をかけて、各ベンダーの指示に従ってください。私の経験では、この方法でセキュアブートを有効にしておくと、後々多くの面倒な手間を省くことができます。

FAQ — よくある質問への簡単な回答

セキュア ブートとは実際何でしょうか?

これは、起動時に署名された信頼できるコードのみが実行されることを確認する機能です。PC のブート プロセスにおけるクラブの用心棒のようなものです。

なぜオンにするのですか?

• Windows 11 ではこれが最低要件として必要です。
• 不正なブートローダーやマルウェアが読み込まれる前にブロックすることで、セキュリティを強化します。
• ブートレベルの攻撃からファームウェアを保護します。

ファイルを失わずにこれを実行できますか?

はい、特にシステムが既にGPTディスクでUEFIモードで動作している場合はそうです。このmbr2gptツールを使えば、フォーマットや再インストールをすることなくセキュアブートを有効化できます。ただし、必ず事前にバックアップを取ってください。これらの手順は通常は安全ですが、念には念を入れましょう。

セキュア ブート オプションが表示されないのはなぜですか?

• 最も一般的な原因：CSMがオンになっています。セキュアブートのオプションを解除するには、CSMをオフにしてください。
• ディスクはMBR形式です。GPT形式に変換してください。
• 工場出荷時のキーがインストールされていません。BIOS から復元してください。
• 場合によっては、BIOS の制限やパスワードによって変更がブロックされることがあります。

セキュアブートで Linux を実行できますか?

多くのディストリビューションは、署名付きローダーを使用したセキュアブートをサポートしています。カスタムカーネルや署名のないドライバの場合は、マシンオーナーキー（MOK）の登録が必要になる場合があります。その場合は、ディストリビューションのドキュメントをご確認ください。

セキュアブートがオンになっているかどうかを確認するにはどうすればよいでしょうか?

• を押してWin + R実行しmsinfo32、セキュア ブートの状態を確認します。
• または PowerShell で次のコマンドを実行します。Confirm-SecureBootUEFI

セキュア ブートを有効にすると、ゲームやその他のアプリが動作しなくなりますか?

VanguardやEasy Anti-Cheatなどの一部のチート対策システムでは、セキュアブートの有効化が必須となります。セキュアブートが有効化されていないと、ValorantやFortniteなどのゲームが正常に動作しない可能性があります。

TPMも必要ですか?

Windows 11の場合はそうです。TPM 2.0とセキュアブートはどちらもMicrosoftのセキュリティベースラインの一部です。

工場出荷時のキーを復元するにはどうすればいいですか?

セットアップで、 「デフォルトキーのインストール」または「工場出荷時のキーの復元」というオプションを探します。これにより、プラットフォームの信頼されたキーが登録され、セキュアブートが適切に機能するようになります。

セキュア ブートにより PC の速度が低下しますか?

そうではありません。起動時に実行され、Windows が読み込まれるとそのまま放置されます。

役立つリンク / ベンダードキュメント