MENU
  1. ホーム
  2. セキュリティ
  3. Windows11でセキュアブートを確認して有効化する方法

Windows11でセキュアブートを確認して有効化する方法

WindowsポイントB編集部
※本ページにはプロモーション(広告)が含まれています。
Windows11でセキュアブートを確認して有効化する方法

Windows11でセキュアブートが有効かどうか不安で何から手をつければよいか迷っていませんか。

この記事を読むと、簡単に状態を確認する方法と、安全に有効化するための実践的な手順がステップごとに分かりやすく身につきます。

項目内容
実践的な手順画面操作での確認方法とmsinfo32やPowerShellを使ったチェックを実体験ベースで丁寧に説明します。
トラブル回避のコツMBRからGPTへの変換やBitLockerが有効な場合の注意点など、失敗しやすい場面の回避策を具体的に示します。
プログラマー視点の小技短いコマンドやチェックリストで手早く安全に設定できる方法を紹介します。

安心して先に進めるように、最初は状態の確認だけをやってみましょう。順番に進めれば短時間で終わりますから気楽に読み進めてください。

Windowsマニア

怖がらずに一つずつやれば大丈夫です。事前にバックアップを取っておけば安心ですから、まずは確認から始めてみましょうね。

目次

Windows11でセキュアブートの状態を確認する方法

Windows11でセキュアブートの状態を確認する方法

セキュアブートはUEFI(パソコン起動時に署名を確認する仕組み)で悪意あるプログラムの起動を防ぐ機能です。対応しているなら有効化しておくことをおすすめします。Windows11ではセキュアブートが有効だとセキュリティ機能が正しく働きやすくなります。

確認方法は主に三つあります。システム情報で確認する方法、UEFI設定画面で直接見る方法、コマンドやPowerShellで調べる方法です。

開発やデュアルブートをしている環境ではセキュアブートが無効だと署名のないドライバーや別OSが動きやすくなります。BitLockerを使っている場合は設定変更時に回復キーが必要になることがあるので注意してください。

  • システム情報(msinfo32)で確認する。手軽で誰でもできる方法です。
  • UEFI設定画面で直接確認する。ブート関連の設定をその場で確認できます。
  • コマンドやPowerShellで確認する。自動化やスクリプトでチェックしたいときに便利です。

Windows11のシステム情報で状態をチェックする場合

Windows11のシステム情報で状態をチェックする場合

システム情報(msinfo32)はWindows内で手軽に状態を確認できる場所です。ここではSecureBootStateという項目に現在の状態が表示されます。

管理者権限は不要で誰でも開けます。値がOnなら有効、Offなら無効、Unsupportedならハードウェアや設定が対応していないことを意味します。

スタートでmsinfo32を起動してSecureBootStateを確認する

手順
スタートを開く

画面左下のスタートボタンをクリックするかキーボードのWindowsキーを押してください。

手順
msinfo32を起動する

検索ボックスにmsinfo32と入力してEnterを押すか表示された「システム情報」を選んで開いてください。

手順
SecureBootStateを確認する

ウィンドウ左の要約画面でSecureBootStateを探し値がOnかOffかUnsupportedかを確認してください。

Windows11でUEFIファームウェアからセキュアブートを有効にする方法

Windows11でUEFIファームウェアからセキュアブートを有効にする方法

セキュアブートはPCの起動時に不正なブートローダーや改ざんを防ぐ仕組みです。慌てずに順番に進めればWindows11で有効化できます。特に古い周辺機器やドライバーがあると起動に影響することがあるので注意してください。

  • UEFIファームウェア設定画面から直接SecureBootをEnabledにする方法。
  • MBRディスクの場合はGPTに変換してからSecureBootを有効にする方法。

まずは現在の状態を確認してから作業を始めると安心です。重要なデータは念のためバックアップしBitLockerが有効なら一時停止してから作業してください。念のため回復ドライブを作成しておくと万一のときに安心です。

一般的なPCでUEFI設定画面から有効にする場合

一般的なPCでUEFI設定画面から有効にする場合

一般的なPCではWindowsの設定からUEFI画面へ入る手順が安全で分かりやすいです。機種によっては起動時にF2やDeleteやF12などを押すことでBIOSやUEFIに入れることもあります。

UEFI内ではSecureBootやBootセキュリティといった項目名で設定が見つかります。設定を変更したら保存して再起動しWindowsが正常に立ち上がるかを必ず確認してください。

設定→回復→今すぐ再起動→トラブルシューティング→UEFIファームウェア設定からSecureBootをEnabledにして保存する

手順
UEFI画面に入る

設定→システム→回復で今すぐ再起動を選びます。再起動後に表示されるオプションからトラブルシューティングを選択してください。

手順
UEFIファームウェア設定を開く

トラブルシューティング→詳細オプション→UEFIファームウェア設定を選んで再起動します。機種によってはBIOS画面に直接飛ぶ場合があります。

手順
SecureBootを有効にする

UEFI設定内でSecureBoot項目をEnabledに切り替え保存して終了します。設定後はWindowsが問題なく起動するか確認してください。

MBRのまま有効化できない場合は管理者でmbr2gpt /validateを実行し問題なければmbr2gpt /convertを実行する

手順
MBRでの互換性チェック

管理者権限でコマンドプロンプトを開きmbr2gpt /validateを実行してください。エラーが出たら表示される内容に従いディスクやパーティションを調整するかバックアップを取ってください。

手順
GPTへの変換

validateが成功したら管理者でmbr2gpt /convertを実行してGPTへ変換します。変換後にUEFIでSecureBootを有効にしてWindowsの起動を確認してください。

Windows11でセキュアブートを一時的に無効化して起動する方法

Windows11でセキュアブートを一時的に無効化して起動する方法

セキュアブートを一時的に無効にして起動する場面は意外とあります。署名されていないドライバーを試したいときや古い周辺機器を動かしたいときに役立ちます。

方法は大きく二つに分かれます。UEFIの設定で完全にオフにする方法と、Windowsのスタートアップ設定で署名強制だけをその起動だけオフにする方法です。

まずはWindows側の一時的な無効化で動作確認するのが安全で手間も少ないです。UEFIで完全に無効にするとセキュリティが下がるので必要時以外は戻す習慣を付けてください。

  1. UEFIでSecureBootを無効化する:恒久的にオフになるので注意してください。
  2. Windowsのスタートアップ設定で署名強制を一時的に無効にする:再起動すると元に戻ります。
  3. 開発向けのテストモードや署名作成は別途手順が必要で扱いに注意してください。

ドライバー署名などで一時的に無効化して起動する場合

ドライバー署名などで一時的に無効化して起動する場合

ドライバー署名のトラブルで困ったときはスタートアップ設定経由の一時的無効化が手早くて便利です。再起動してオプションから署名強制をオフにすると、その起動だけ検査が緩みます。

ただしセキュリティは下がるので出所不明のドライバーは避けてください。動作確認が終わったら通常起動に戻って署名強制が復帰することを確認してください。

設定→回復→今すぐ再起動→トラブルシューティング→詳細オプション→スタートアップ設定で署名強制を無効にして再起動する

手順
設定を開く

Windowsの設定を開き「回復」を選んでください。

手順
今すぐ再起動

回復の「今すぐ再起動」を押して高度なスタートアップに入ります。

手順
トラブルシューティング→詳細オプション→スタートアップ設定

トラブルシューティング→詳細オプション→スタートアップ設定を選び再起動後に番号7を選んで署名強制を無効にしてください。

Windows11でBitLockerを安全に止めてセキュアブートを切り替える方法

Windows11でBitLockerを安全に止めてセキュアブートを切り替える方法

セキュアブートを切り替えるとBitLockerが回復モードを要求することがよくあります。慌てずに対応するために、あらかじめBitLockerを一時停止してからUEFIでセキュアブートの設定を変更するのが安全です。

基本的な流れは回復キーをバックアップし管理者権限で一時停止を行い、UEFIでセキュアブートを切り替えてから保護を再開するだけです。WindowsのGUIでもできるしコマンド操作が得意ならmanage-bdeで確実に操作できます。

エンジニア視点のコツとしては作業前にmanage-bde -statusで状態を確認し複数台を扱うならスクリプトで一括処理するとミスが減ります。電源断やファームウェア更新と重ならない時間に行ってください。

セキュアブート変更前後にBitLockerを一時停止して再開する場合

セキュアブート変更前後にBitLockerを一時停止して再開する場合

セキュアブート変更の前後でBitLockerを一時停止すると回復キー入力を避けられます。Windowsの設定から「BitLockerの管理」で停止できますしコマンドではmanage-bde -protectors -disable C:を使いますので管理者権限で実行してください。

作業後はmanage-bde -protectors -enable C:で保護を再開しmanage-bde -statusで有効になっていることを確認してください。再起動を挟むと安定して反映されますし作業中の電源切断は避けてください。

管理者でmanage-bde -protectors -disable C:を実行して作業後にmanage-bde -protectors -enable C:で再開する

手順
一時停止(保護を無効化)

管理者でコマンドプロンプトを開きmanage-bde -protectors -disable C:を実行して一時停止します。回復キーは必ず手元かAD/Azureに保存してください。

手順
保護を再開

作業後にmanage-bde -protectors -enable C:を実行して保護を戻しmanage-bde -status C:で状態を確認します。必要なら再起動して最終チェックを行ってください。

Windows11の仮想環境でセキュアブートを使う方法

Windows11の仮想環境でセキュアブートを使う方法

仮想環境でWindows11を動かすときは、セキュアブートを有効にしておくと安心できます。主にHyper‑VのGeneration2やVMwareのUEFI環境でサポートされていますので、まずは使っている仮想化ソフトがUEFIとセキュアブートに対応しているか確認してください。

基本の流れはシンプルで、UEFIファームウェアを使うこと、VM側でSecureBootをオンにすること、必要なら仮想TPMを追加することです。Hyper‑VではGeneration2を使い、セキュリティ設定でテンプレートをMicrosoftWindowsにするとWindowsとの相性が良くなる点が押さえておきたいポイントです。

Windowsマニア

初めての設定はちょっとドキドキしますが、落ち着いて順番にやれば大丈夫です。失敗が心配ならスナップショットを用意してから進めると安心できますよ。

設定変更前にスナップショットを作ると元に戻せるので安全です。Windows11はTPMやセキュアブートの要件があるため、両方合わせて設定しておくと起動や更新が安定します。

Hyper‑VのGeneration2仮想マシンでセキュアブートを有効にする場合

Hyper‑VのGeneration2仮想マシンでセキュアブートを有効にする場合

Hyper‑Vでセキュアブートを使うには、対象の仮想マシンがGeneration2で作られていることが前提です。Generation1のVMではUEFIやSecureBootが使えないため、作成時に必ずGeneration2を選んでください。

VMを停止した状態でHyper‑Vマネージャーから設定を開き、セキュリティ項目でSecureBootをオンにします。テンプレートはMicrosoftWindowsを選ぶとWindows用の署名鍵が使われて相性が良くなりますのでおすすめです。

設定前にスナップショットを作成しておくと、万が一起動しなくなっても元に戻せるため安心です。

Hyper‑VマネージャーでVMの設定→セキュリティ→SecureBootを有効にしてテンプレートをMicrosoftWindowsにする

手順
Hyper‑Vマネージャーを起動してVMを停止する

Hyper‑Vマネージャーを開き、対象の仮想マシンを選んでシャットダウンまたは停止してください。電源が入ったままだと設定変更が反映されません。

手順
設定→セキュリティでSecureBootを有効にする

仮想マシンの設定画面でセキュリティを選び、SecureBootにチェックを入れて有効にします。テンプレートはプルダウンからMicrosoftWindowsを選んでください。

手順
必要なら仮想TPMを有効化して保存する

セキュリティ画面で仮想TPMをオンにして設定を保存します。設定後に起動して問題なく立ち上がるか必ずテストしてください。

よくある質問

よくある質問
セキュアブートが有効か簡単に確認する方法は

Windowsでmsinfo32を開くとセキュアブートの状態が表示されます。管理者権限のPowerShellでConfirm-SecureBootUEFIを実行するとTrueかFalseで確認できます。

セキュアブートを有効にしたらWindowsが起動しなくなることはありますか

古いブートローダーや署名されていないドライバが原因で起動しないことがあります。UEFIでOSが動作しているかとドライバを更新することをまず確認してください。

UEFI設定でどの項目を触ればいいか分かりません

再起動してF2やDeleteなどでUEFI画面に入り、SecurityやBoot、Authenticationの項目の中からSecureBootを探してEnabledにしてください。PlatformKeyやデフォルトキーを読み込む選択があればそれを選び、設定前に現在の状態をメモしておくと安心です。

BitLockerが有効なままセキュアブートを変更しても大丈夫ですか

設定変更で回復キーを求められることがあるので、変更前にBitLockerを一時停止してください。変更後に保護を再開し、回復キーはあらかじめ安全な場所に保存しておいてください。

古いOSやデバイスでもセキュアブートは使えますか

Windows11など最新OSはUEFIとセキュアブートを前提にしている場合が多いです。古いOSや署名のないドライバは動かないことがあるので、対応状況を確認してドライバ更新や機器交換を検討してください。

まとめ

まとめ

ここまで読んでくれてありがとう。Windows11でセキュアブートの状態を確認して有効化する作業は、慣れれば短時間で終わるシンプルな作業です。ちょっとした設定ミスで起動できなくなることもあるので、落ち着いて順番どおりに進めてください。

要点は3つに絞るとわかりやすいです。まずはシステム情報で現在のセキュアブートの状態を確認すること、次にUEFIの設定画面でセキュアブートを有効にすること、最後にOSが問題なく起動するか確かめること。機種ごとに設定画面の呼び名や操作キーが違うので、メーカーの説明書を手元に置いておくと安心です。

Windowsマニア

困ったときは焦らずに、まずは電源を落としてからマニュアルを確認し、バックアップがあれば元に戻す手順を試してみてください。

セキュリティ
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次