Windows 11でセキュアブートを有効にするのは簡単そうに聞こえますが、実際にはなかなか面倒なこともあります。オプションが見当たらなかったり、グレー表示になっていたり、マザーボードの分かりにくいメニューの裏に隠れていたりといった状況に遭遇したことがあります。設定によってはトグルスイッチを切り替えるだけで済む場合もありますが、UEFIファームウェアを詳しく調べて設定をいじらなければならない場合もあります。レガシーBIOSからUEFIモードに切り替える必要がある場合もあり、これは基本的にブートオプションをリセットしてしまい、他の面倒な問題を引き起こす可能性があります。つまり、セキュアブートを有効にするのは常にスムーズな作業とは言えませんが、特にOSのクリーンインストールを計画している場合や、Windows HelloやBitLockerなどの機能をサポートしたい場合は、セキュリティをさらに強化できるため、有効にしておく価値はあります。
Windows 11でセキュアブート状態を有効にする方法
UEFI ファームウェア設定にアクセスする方法(そしてそれが重要な理由)
- まずPCを再起動しましょう。簡単ですが、UEFIに入る準備を整えておきましょう。ハードウェアによっては、起動中にキーを押す必要がある場合があります。一般的なキーとしては、F2、F10、Delete、Escなどがあります。具体的なキーはマザーボードのメーカーによって異なります。HP、Dell、ASUSなどはそれぞれ独自の特徴があります。
- キーをタップしても何も起こらない場合は、キーを押し続けるか、Windows からアクセスしてみてください。Windows 11 の場合は、「設定」 > 「Windows Update」 > 「詳細オプション」 > 「回復」に進みます。次に、「詳細なスタートアップ」の「今すぐ再起動」をクリックします。再起動後、「トラブルシューティング」 > 「詳細オプション」 > 「UEFI ファームウェア設定」をクリックします。これはよりクリーンな方法で、キーを推測する必要がありません。
UEFI設定に入り、セキュアブートを見つける
- UEFIに入ったら、矢印キーかタッチスクリーン(対応している場合)を使って操作します。「ブート」「セキュリティ」「認証」といったタブまたはメニューを探してください。通常は「システム構成」などの項目にあります。画面の表示がおかしかったり、オプションが表示されない場合は、ファームウェアがロックされているか、レガシーBIOSモードになっている可能性があります。詳細は後述します。
- 右側のメニューで「セキュアブート」を見つけます。レガシーBIOSからUEFIモードに切り替えるまで、グレー表示になっていたり、「不明」に設定されている場合があります。
セキュアブートの有効化 – いつ、なぜ失敗する可能性があるのか
- 「セキュアブート」オプションを選択します。通常は「無効」と「有効」が切り替わります。「有効」に変更してください。BIOS/UEFIのバージョンによっては、最初にスーパーバイザーパスワードの設定が必要になる場合があります。スーパーバイザーパスワードを設定しないと、オプションがグレー表示のままになる可能性があるので、ご注意ください。
- 問題は、一部のPCではレガシーBIOSを使用している場合、セキュアブートがデフォルトでロックダウンされていることです。これを修正するには、通常、システムをレガシーBIOSからUEFIに切り替える必要があります。そのためには、ブートモードまたはブートシーケンスの設定を探し、レガシーからUEFIに変更してください。ただし、モードを切り替えると再インストールが強制されたり、一部の設定がリセットされたりする可能性があるため、データを再確認してください。
変更を保存して再起動する
- 有効にしたら、「Save & Exit」メニュー(通常はF10キー、またはアイコン)に進みます。変更を確定します。システムが再起動し、セキュアブートが有効になっているはずです。その後も有効にならない場合は、BIOSを再度確認してください。CSMを無効にしたり、その他のセキュリティ機能を調整したりする必要がある場合があります。
追加のヒントとよくある落とし穴
- 多くの場合、セキュアブートはすぐには表示されません。一部のハードウェアでは、BIOSのアップデートが必要になる場合があります。メーカーのアップデートによって、新機能が有効になったり、オプションが表示されなくなるバグが修正されたりすることがあります。マザーボードのウェブサイトでアップデートをご確認ください。
- それでもセキュアブートが起動しない場合は、メディアまたはドライブがMBR/レガシーモードになっていないか、または署名されていないブートローダーを使用していないかを確認してください。多くのシステムでは、ファームウェアはレガシーモードではなくUEFIモードで起動している場合にのみセキュアブートを許可します。
- プロのヒント:Linuxとのデュアルブートで動作しない場合は、セキュアブートを無効にするか、適切に設定する必要があります。Windowsのみのセットアップの場合は、セキュアブートを有効にする方がスムーズに動作することが多いです。
- 場合によっては、UEFI で高速ブートまたはセキュア ブートを無効にして、クリーン シャットダウン後に再度有効にするだけで、奇妙な問題が解決することがあります。
よくある質問
セキュア ブートとは何ですか?
基本的には、PCの用心棒のようなもので、起動時には信頼できるソフトウェアだけが侵入します。ロード前に署名を検証することで、マルウェアや不正なOSローダーがブートプロセスを乗っ取るのを防ぎます。
セキュア ブートをなぜ気にする必要があるのでしょうか?
セキュアブートはセキュリティレイヤーを強化し、特に機密情報を扱うマシンにおいて、ルートキットや悪意のあるブートローダーの侵入を防ぐのに役立ちます。さらに、Windows 11のハードウェアセキュリティチェックなど、一部の機能ではセキュアブートの有効化が必須となっています。
セキュア ブート オプションが見つからないかグレー表示されている場合はどうなりますか?
おそらく、レガシーBIOSモードになっているか、ファームウェアがロックダウンされている可能性があります。UEFIへの切り替え、BIOSのアップデート、またはパスワードによる特定の設定のロック解除が必要になる場合があります。ご不明な場合は、マザーボードのマニュアルやメーカーのフォーラムをご確認ください。
セキュア ブートを有効にすると、既存の OS が壊れますか?
最近のOSのほとんどはセキュアブートを問題なく処理します。しかし、署名されていないドライバーやカスタムブートローダーで起動していた場合は、読み込みが失敗する可能性があります。簡単なテストとして、電源を入れて再起動し、Windowsが正常に起動するかどうかを確認してください。
まとめ
- 再起動し、キーまたはWindows回復オプションを介してUEFI設定にアクセスします
- セキュリティまたはブートメニューでセキュアブートに移動します
- セキュアブートを「有効」に変更します。レガシーからUEFIへの切り替えが必要になる場合があります。
- 変更を保存して再起動します
まとめ
このプロセス全体は面倒な場合があります。特にシステムがロックダウンされている場合や、マザーボードのメニューがどのように表示されるかよくわからない場合はなおさらです。しかし、セキュアブートを有効にしてしまえば、システムの防御力が大幅に向上します。設定をいじったり、ファームウェアをアップデートしたり、BIOSをモグラ叩きのように操作したりする必要がある場合もありますが、それでもやる価値はあります。この記事が、誰かの頭を悩ませることなく、この作業を完了するのに役立つことを願っています。