2025年11月4日更新: Windows 11のセキュリティをいじっている場合や、セキュリティを強化したい場合は、セキュアブートを有効にするのが確実な方法です。手順は簡単そうに聞こえますが、UEFI/BIOSメニューの操作は、特にオプションがグレー表示または非表示になっている場合は、まるで埋もれた宝探しをしているような気分になることがあります。このガイドでは、ほとんどの最新システムで有効な手順と、起こりうる問題に関するヒントを解説しています。
セキュアブートは基本的に、起動時に信頼できる署名済みのソフトウェアのみが実行されるようにするものです。Windowsが起動する前に、ブートキットやルートキットなどの悪質なソフトウェアの侵入をブロックします。ただし、すべてのハードウェアがセキュアブートに対応しているわけではありません。特に古いハードウェアやLinuxをデュアルブートしている場合は、セキュアブートが署名されていないブートローダーをブロックしてしまうことがあります。しかし、Windows 11ユーザーにとって、セキュアブートを有効にしておくことがセキュリティ対策として最善策です。もちろん、有効にできる場合の話ですが。
Windows 11でセキュアブートを有効または無効にする方法
セキュアブートがすでに有効になっているかどうかを確認する
まず、お使いのシステムでセキュアブートが既に有効になっているかどうかを確認してください。デフォルトで有効になっている場合もあれば、無効になっている場合もあります。確認する最も簡単な方法は次のとおりです。
- スタートメニューを開きます。
- システム情報を検索して開きます。
- ウィンドウのリストで「セキュアブートの状態」を探します。「オン」と表示されていれば、準備完了です。
「オフ」またはグレー表示になっている場合は、UEFI/BIOSの設定を調整する必要がある可能性があります。一部のマシンでは、TPM 2.0を有効にするか、レガシーBIOSからUEFIモードに切り替えないと、変更が反映されません。
UEFIファームウェアでセキュアブートを有効にする方法
ここが少し奇妙なところです。Windowsの単なるトグルスイッチではないからです。実際にマザーボードのファームウェアにアクセスする必要があります。そのためには、再起動してスタートアップメニューから設定画面を開く必要があります。通常は以下の手順で動作します。
- Windowsで設定を開きます。
- システム>回復に移動します。
- 「Advanced startup」の下にある「Restart now」をクリックします。はい、再起動してリカバリモードに入ります。
- Windows が再起動したら、[トラブルシューティング]を選択します。
- 次に、「詳細オプション」に進みます。
- 「UEFIファームウェア設定」を選択し、「再起動」をクリックします。PCが再起動し、ファームウェア設定が実行されます。
通常、ここで「セキュアブート」を探すことになります。 「ブート」や「セキュリティ」などのメニューの下にあります。表示方法はマザーボードによって異なりますが、 「セキュアブートモード」や「セキュアブート」といったものを探してください。
有効に設定し、変更を保存して再起動してください。簡単ですが、レガシーモードのためこのオプションが表示されない場合があります。セキュアブートオプションが表示されない場合は、UEFIのブートモードを再確認してください。
セキュアブートを無効にする方法
セキュアブートが問題を引き起こす場合(デュアルブート環境や古いハードウェアなど)、無効にすることを検討してください。手順はほぼ同じです。
- 同じ手順に従って、UEFI ファームウェア設定に入ります (リカバリ メニュー → トラブルシューティング → UEFI ファームウェア設定)。
- 中に入ったら、もう一度Secure Boot を見つけますが、今回は[無効]を選択します。
- 設定を保存して再起動します。
セキュアブートを無効にすると、特にLinuxや古いハードウェアとの互換性が向上しますが、一部のセキュリティレイヤーも低下します。必要な場合にのみ実行し、保護を強化するために後で再度有効にしてください。
追加のヒントとトラブルシューティング
セキュア ブート オプションが見つからない場合は、次のよくある落とし穴を確認してください。
- ファームウェアがレガシーモードではなくUEFIモードに設定されていることを確認してください。レガシーBIOSモードの場合、セキュアブートが表示されないことがよくあります。
- CSM (互換性サポートモジュール)が有効になっているか確認してください。CSMを無効にすると、セキュアブートのオプションが表示されるようになります。通常はセキュアブートと同じメニュー内にあります。
- オプションが表示されない場合、または変更できない場合は、マザーボードのファームウェアを更新する必要がある可能性があります。最新のBIOS/UEFIファームウェアについては、マザーボードメーカーのウェブサイトをご確認ください。
なお、注意点として、一部のOEMノートパソコンではこれらのオプションがロックされていたり非表示になっていたりするため、手動での有効化/無効化が面倒になります。そのような場合は、ベンダーのサポートページやBIOSメニューで具体的な手順を確認する必要があるかもしれません。
Windows 11のセキュアブートに関するよくある質問
Windows 11 のセキュア ブートとは何ですか?
これは、ファームウェア、ブートローダー、ドライバのデジタル署名をロード前にチェックするUEFI機能です。基本的に、起動時に不正なプログラムが侵入するのを防ぎます。ブートキットやルートキットの侵入を阻止するのに役立ちます。
Windows 11 ではセキュア ブートが必要ですか?
厳密にはそうではありませんが、Microsoftはセキュリティ上の理由から推奨しています。最近のほとんどのPCでは、デフォルトで有効になっているか、サポートされている場合は簡単に有効化できます。古いシステムやカスタムセットアップの場合は、手動で有効化する必要があるかもしれません。
セキュア ブートがオフになっている場合、有効にするにはどうすればよいでしょうか?
通常、UEFIファームウェアで再起動し、 「ブート」または「セキュリティ」メニューの「セキュアブート」トグルを見つけて有効にします。保存して再起動すれば、これで完了です。ただし、システムはレガシーモードではなくUEFIモードである必要があります。
セキュア ブートを有効にできないのはなぜですか?
オプションが表示されないかグレー表示になっている場合は、BIOSがレガシーモードに設定されているか、CSMサポートが有効になっている可能性があります。UEFIモードに切り替える必要があります。ただし、インストール後にレガシーモードからUEFIモードに切り替えると、Windowsの再インストールが必要になる場合があるので注意してください。
Windows 11 をインストールした後、セキュア ブートを有効にできますか?
ほとんどの場合、はい。ディスクがGPTを使用していて、ファームウェアがそれをサポートしている場合です。ファームウェアの設定を再度入力して電源を入れるだけで、Windowsが残りの作業を処理してくれるので、再インストールは必要ありません。
セキュア ブートは Windows 11 のセキュリティに対してどのような働きをしますか?
これはセキュリティファブリックの中核を成す部分であり、Trusted Boot、BitLocker、TPMなどの機能と連携して、悪意のあるコードが起動時に読み込まれるのを防ぎます。つまり、Windowsが起動時に改ざんを試みる低レベルのマルウェアから非常に安全である主な理由の一つです。
これが、あまり手間をかけずにセキュアブートを有効にするのに役立つことを願っています。すべてのデバイスで使いやすいわけではありませんが、一度設定してしまえば、セキュリティをさらに強化する価値は十分にあります。