「セキュアブートって聞いたことあるけど、なんだか難しそう…」
「設定画面を開いたら『無効』って出てて、なんか不安…」
――そんなふうに感じたこと、ありませんか?
実はセキュアブートがオフのままだと、パソコンを起動した瞬間に悪さをするマルウェア(悪いプログラム)に乗っ取られる危険性がグッと高くなります。しかも2026年6月からは古い証明書の期限切れ問題も控えていて、今こそ自分のPCを見直すベストタイミングなんです。
この記事では、セキュアブートが今どうなっているかを確認する3つの方法と、もしオフだった場合に有効化する手順を、専門用語ナシでやさしく解説していきますね。
この記事のポイント
- セキュアブートの確認は3ルートで超カンタンにできる
- 有効化はUEFI画面から数クリックでOK、初心者でも安心
- グレーアウトは「CSM」と「MBR」が原因のことが多い
9分22秒でわかるまとめ動画
まずはここ!自分のPCが安全か3秒で見極めよう
結論からズバッと言うと、セキュアブートの確認は「msinfo32」を使うのが一番ラクです。
やり方はとってもシンプル。
- キーボードの「Windowsキー」と「R」を同時に押す
- 出てきた窓に msinfo32 と入力してEnter
- 「システムの要約」の中の 「セキュアブートの状態」 を見る
ここが「有効」になっていればOK!「無効」だったら、後ほど紹介する手順で有効化していきましょう。
僕は下図のように「無効」でした。
しかし、このブログで紹介している方法を試したところ…なんと「有効」になりました!!
ちなみに Microsoftは2011年に最初に発行され、2026年6月から期限切れに設定されているセキュア ブート証明書を更新しています。なので、今のうちにセキュアブートの状態を確認しておくのは、ホントに大事なんですよ。
なぜセキュアブートをオンにしないとマズいのか?
セキュアブートって、ざっくり言うと「パソコンの起動時に、本物のWindowsかどうかをチェックしてくれる門番」みたいな存在です。
もしこの門番がいなかったら…?
セキュアブートが無効の状態では、起動時に不正なプログラムが実行されるリスクがあります。一度マルウェアがブートプロセスに侵入すると、OSが起動する前に動作するため、ウイルス対策ソフトでも検・除去が困難になります。
つまり、せっかく入れているウイルス対策ソフトが仕事を始める前に乗っ取られちゃうわけです。コレって、警備員が出勤する前に泥棒が金庫を開けてるようなもの…怖くないですか?
しかも2026年問題というやつもあって、放置しておくと将来的にセキュリティ更新が受けられなくなる可能性もあるんです。
確認方法は3ルートあります
| 方法 | 難易度 | おすすめ度 |
|---|---|---|
| msinfo32(システム情報) | ★☆☆ | ◎ |
| Windowsセキュリティ(設定アプリ) | ★☆☆ | ◎ |
| UEFI画面を直接見る | ★★★ | △ |
ルート①:msinfo32で確認(一番カンタン)
さっき紹介した方法ですね。Windowsキー+R → msinfo32 → Enter で開きます。
ルート②:Windowsセキュリティで確認
「スタート」→「設定」→「プライバシーとセキュリティ」→「Windowsセキュリティ」→「デバイスセキュリティ」→「セキュアブート」 と進めばOK。
ちなみに Microsoftは、Windows11 / Windows10 / Windows Serverにおいて、新しいセキュアブート証明書への更新が完了しているかどうかを、Windowsセキュリティ上から確認できる新機能を発表しましたので、今はこの画面で状態がよりわかりやすく表示されるようになっています。
ルート③:UEFI画面で直接確認
パソコンを再起動して、起動時に「F2」や「Del」キー(メーカーによって違います)を連打してUEFI画面を出します。「Security」や「Boot」タブの中に「Secure Boot」の項目があります。
有効化の手順をステップごとに解説
「無効」になっていた場合の有効化手順、いきますよー。
ステップ1:事前準備(コレ大事!)
- 大切なデータはバックアップしておく
- ノートPCならACアダプターを必ず接続
- BitLocker(ドライブ暗号化)を使っている人は、一時停止しておく+回復キーを手元に用意
BitLockerの一時停止方法については後述いたします。
ステップ2:UEFI画面を開く
- 「設定」→「システム」→「回復」
- 「PCの起動をカスタマイズする」の 「今すぐ再起動」 をクリック
- 再起動後、「トラブルシューティング」→「詳細オプション」→「UEFIファームウェアの設定」→「再起動」
ステップ3:セキュアブートを有効化
- UEFI画面で「Boot」や「Security」のタブを探す
- 「Secure Boot」の項目を見つけて 「Enabled」 に変更
- 「F10」キーで保存して再起動
これで完了です。あとはWindowsが立ち上がったら、もう一度msinfo32で「有効」になっているか確認してくださいね。
セキュアブートを有効化にするコツとしましては、まず上の画面の写真をスマホで撮っておきます。「Secure Boot」の項目が「Enabled」にできないケースもあるので、スマホのGoogle ChromeのGoogleレンズ機能を使って、そのときのエラーをスマホで撮り、「オンにする方法」や「オフにする方法」でケース・バイ・ケースで調べます。そうしていくとあら不思議、セキュアブートの項目を「Enabled」にできますよ!
僕はそれでできました。
【BitLockerの一時停止】UEFIをいじる前に必ずやっておこう
UEFI設定をいじる前に、絶対にやっておきたいのが BitLockerの一時停止。これをサボると、再起動した瞬間に「回復キーを入力してください」っていう英語だらけの画面が出てきて、めちゃくちゃ焦ります(経験者は語る…)。
なぜかと言うと、マザーボードやストレージの交換、BIOS設定変更などを行うと、TPM(Trusted Platform Module)の識別情報が変化し、BitLockerが再認証を要求する場合があります。このような場合は、一時的にBitLockerを中断しておくのが安全です。
つまり、BitLockerくんからしたら「あれ?ハードウェアが変わった?ホンモノか確認させて!」となるわけですね。
BitLockerが有効か確認する方法
まずは自分のPCでBitLockerが動いているかチェック。
- スタートボタンを右クリック → 「設定」
- 「プライバシーとセキュリティ」 → 「デバイスの暗号化」 を見る
- ここが 「オン」 になっていればBitLockerが動いてます
または、エクスプローラーでCドライブのアイコンに 鍵マーク🔒 がついていればBitLockerが有効な証拠です。
BitLockerを一時停止する方法(2通り)
方法A:コントロールパネルから(マウス操作派)
- 検索ボックスに 「コントロールパネル」 と入力して開く
- 表示方法を 「大きいアイコン」 に変更
- 「BitLockerドライブ暗号化」 をクリック
- Cドライブ(オペレーティングシステムドライブ)の項目で 「保護の中断」 をクリック
- 「BitLocker 保護を中断しますか?」と表示されます。 内容を確認して「はい」をクリックします
- 「BitLockerが中断されました」と表示されたら成功!
方法B:PowerShellでサクッと(コマンド派)
- スタートボタンを右クリック → 「ターミナル(管理者)」
- 以下のコマンドを入力してEnter
Suspend-BitLocker -MountPoint "C:"
これだけ。UEFI設定が終わった後は、Windowsが再起動すれば自動でBitLockerの保護が再開されるので、特に何もしなくてOKです。
メリット・デメリット
メリット
- 起動時のマルウェア感染リスクが激減
- Windows 11へのアップグレード条件をクリアできる
- 一部のFPSゲーム(バルゴラント等)の起動条件も満たせる
- 2026年問題の証明書更新もスムーズに進む
デメリット
- 古いOSや一部のLinuxディストリビューションが起動できなくなる場合あり
- 設定を間違えるとWindowsが起動しなくなるリスク
- メーカーごとにUEFI画面の表記が違うので、ちょっと迷うかも
グレーアウトして変更できない時はどうする?
「Secure Bootの項目が灰色になってて、クリックできない!」――これ、実はめっちゃ多い相談です。
原因はだいたい次の2つ。
原因①:CSM(互換モード)が有効になっている
CSMは古いBIOS互換モードで、セキュアブートとは併用できません。CSMを「Disabled」に変更してUEFIモードで起動することでセキュアブートが有効になります。
UEFI画面の「Boot」タブあたりに「CSM」または「Launch CSM」という項目があるので、これを 「Disabled」 にしてみてください。
原因②:ディスクがMBR形式のまま
セキュアブートには GPT パーティション形式が必要です。ディスクが MBR 形式の場合、セキュアブートを有効にすることはできず、Windows はレガシーモードでのみ起動する可能性があります。
最新Windows 11での確認方法(2通り)
方法A:ディスクの管理から確認(マウス操作派におすすめ)
- スタートボタンを右クリック → メニューから 「ディスクの管理」 を選択
- 画面下部に表示されたディスク一覧の中から、確認したいディスク(通常は「ディスク 0」)の 左側の灰色部分を右クリック
- メニューから 「プロパティ」 を選択
- 開いたウィンドウの 「ボリューム」 タブをクリック
- 「パーティションのスタイル」 の項目を見る ― ここに「GPT(GUIDパーティションテーブル)」または「マスターブートレコード(MBR)」と表示されます
注意点としては、必ずディスク全体を右クリックしてくださいね。Cドライブなどの個別パーティションを右クリックしてもパーティションスタイルは表示されません。ここで結構みんなつまずきます(笑)。
方法B:PowerShellでサクッと確認(コマンド派におすすめ)
- スタートボタンを右クリック → 「ターミナル(管理者)」 を選択
- 開いた画面に以下を入力してEnter
Get-Disk - 「Partition Style」の列に 「GPT」 か 「MBR」 が表示されます
こっちの方が一発で全ディスクの形式を比べられるので、PCに詳しい人にはおすすめです。
MBRだった場合は…
ここが「MBR」だったら、GPTに変換する必要があります。Windowsには 「mbr2gpt」 というコマンドが標準で入っていて、データを残したまま変換可能です。ただし、操作を誤るとWindowsが起動しなくなるリスクもあるので、必ずバックアップを取ってから実行してくださいね。
ここだけは絶対に押さえてほしい3つのこと
- 必ずバックアップを取る ― UEFI設定の変更は最悪Windowsが起動しなくなる可能性があります
- BitLockerは事前に一時停止 ― 暗号化を有効にしたままUEFIを触ると、起動時に回復キー入力を求められます
- 会社のPCは自己判断で触らない ― IT管理者に必ず相談しましょう
正直、自分も最初にUEFI画面開いた時「うわっ、英語ばっかり…」ってちょっとビビりました(笑)。でも一度やってみると「あ、こんなもんか」って感じなので、落ち着いてやれば大丈夫ですよ。
最後に
セキュアブートって名前だけ聞くと難しそうですが、要は 「自分のパソコンを守る門番をオンにするだけ」 の話なんです。
今回紹介した3つの確認方法のうち、まずは一番カンタンな msinfo32 で自分のPCの状態をチェックしてみてください。3秒で終わります。もし「無効」だったら、この記事を見ながら有効化にチャレンジしてみてくださいね。
ただし、UEFIを触る前には BitLockerの一時停止 だけは忘れずに!これさえやっておけば、回復キー画面で青ざめることもありません。
2026年6月の証明書期限切れ問題も控えているので、今のうちに対策しておくのが安心ですよ。あなたの大切なデータと作業環境を守るために、ぜひ今日のうちに確認してみてください!
ではでは、参考までに。
コメント