古いWindows PCにセキュアブート証明書をインストールする方法

📅
🕑 1 分で読む

古いマシンでセキュアブートを設定しようとすると、特に使い古されたハードウェアでWindows 11を動作させようとしている場合、かなり面倒な作業になる可能性があります。通常、これらの古いマシンには最新のファームウェアが搭載されていないか、さらに悪いことに、互換性のないレガシーBIOSモードのままになっていることがあります。セキュリティを強化したり、最新のOSを実行したり、セキュアブート証明書の欠落や破損に関連するブートエラーを修正したりすることが目的であれば、このガイドが役立ちます。難しそうに見えるかもしれませんが、少し根気強く作業すれば、ファームウェアを更新して証明書をインストールすることで、PCをより安全で最新の状態にすることができます。BIOS/UEFIの微調整、ファームウェアのダウンロード、そして慎重なクリックが必要になりますが、それだけです。基本的には、Windows 11に必要なセキュリティ機能を有効にすることになります。もちろん、Windowsは本来よりも複雑にする必要があるのです。

Windows搭載の古いPCにセキュアブート証明書をインストールする方法

まず、ハードウェアがセキュアブートをサポートしているかどうかを確認してください。

はい、これはかなり重要です。2012年頃以降の古いPCの多くはUEFIをサポートしていますが、セキュアブートのサポートは別問題です。ハードウェアが対応しているかどうかを確認するには、システム情報を開きます(Windowsキー + Rを押して、と入力しmsinfo32Enterキーを押します)。BIOSモードを探します。UEFIであれば問題ないかもしれません。次に、セキュアブートの状態を見て、セキュアブートがサポートされ有効になっているかどうかを確認します。オフと表示されていても、必ずしも悪いわけではなく、オンにする必要があるだけかもしれません。サポートされていないと表示されている場合は、ファームウェアが古すぎるか、セキュアブートをまったくサポートしていない可能性があります。このウィンドウからシステムモデル情報をメモしておいてください。後でファームウェアのアップデートに必要になります。一部のシステム構成では、サポートされているものの無効になっている場合があるので、先に進む前にハードウェアを理解することが重要です。

BIOSまたはUEFIファームウェアをアップデートしてください。

この部分は重要なステップです。古いファームウェアはセキュアブート証明書の更新を妨げることが多いためです。お使いの機種に応じて、マザーボードまたはノートパソコンのメーカー(ASUS、Gigabyte、MSI、Dell、HP、Lenovoなど)のサポートWebサイトにアクセスしてください。モデル番号で検索し、最新のBIOS/UEFIファームウェアをダウンロードしてください。これらのアップデートには新しいセキュアブートデータベースが含まれていることが多いため、アップデートするだけで簡単に証明書のサポートを受けられるようになる場合があります。

メーカーの指示に注意深く従ってください。一部のシステムでは、Asus EZ FlashやGigabyte Q-Flashなどの専用ユーティリティを使用して、Windowsから直接BIOSをフラッシュできます。その他のシステムでは、アップデートファイルをUSBメモリにコピーしてそこからアップデートする必要がある場合があるので、その準備をしておいてください。このプロセス中は、PCの電源を切ったり、電源ケーブルを抜いたりしないでください。不注意だと、マザーボードが簡単に故障してしまう可能性があります。アップデートが完了し、ファームウェアがリセットされると、セキュアブートの設定が正常に動作する状態に近づいているはずです。ファームウェアのアップデートには、セキュアブートのサポートの更新が含まれている場合があるので、他のすべての作業の前にこれを行う価値があります。

BIOSまたはUEFI設定にアクセスする

ファームウェアのアップデートが完了したら、再起動してBIOSまたはUEFIメニューに入ります。キーはデバイスによって異なり、F2、Delete、F10、Escなどがあります。起動時に画面に表示される小さなプロンプトに注意してください。メニューに入ったら、「Boot」「Security」「Authentication」「Advanced」などのメニューを探します。これらのメニューには、UEFIモードへの切り替えやセキュアブートキーの管理などのオプションがあります。設定を誤るとブートループが発生する可能性があるため、慎重に操作してください。

UEFIブートモードを有効にし、互換性サポートモジュール(CSM)を無効にする

セキュアブートはUEFIでのみ動作するため、システムがレガシーモードのままだったり、CSMサポートが有効になっている場合は、切り替える必要があります。ブートモードUEFI/レガシーブートなどの設定を探し、モードをUEFIのみに設定します。レガシーオプションが表示されている場合は無効にします。ファームウェアによっては、この操作を行うとセキュアブートオプションが自動的に有効になる場合があります。ただし、注意が必要です。Windowsのインストールが元々MBRパーティションを使用したレガシーモードだった場合、UEFI/GPTに切り替えると起動の問題が発生する可能性があります。切り替える前にディスクを変換する必要があるかもしれません。MicrosoftのMBR2GPTユーティリティなどのツールが役立ちます。

セキュアブートキーのインストールまたは復元

いよいよ重要な局面です。BIOS内でセキュアブートオプションを探してください(「セキュリティ」または「ブート」タブの下にある場合もあります)。「デフォルトキーのインストール」「工場出荷時キーの復元」、 「セキュアブートキーのリセット」などのオプションが表示されるはずです。「デフォルトのセキュアブートキーのインストール」を選択すると、通常はメーカーの信頼できる証明書(PK、KEK、db、dbx)を読み込む最も簡単な方法です。カスタム証明書を読み込む必要がある場合もありますが、ほとんどのユーザーにとってはデフォルトに戻すだけで十分です。

次に、セキュアブート自体を有効にします。トグルスイッチを「無効」から「有効」に切り替えてください。一部のマザーボードでは、 「標準」「カスタム」などのモードが用意されています。信頼できる証明書を試用している場合を除き、 「標準」を選択してください。終了する前に変更を保存してください。

再起動して、セキュアブートが有効になっているか確認してください。

すべて保存したら、システムを再起動してください。ファームウェアの処理のため、最初の起動には通常より少し時間がかかる場合があります。その後、Windowsが正常に起動すれば、セキュアブート証明書は正常に機能しています。そうでない場合は、戻って確認してください。

  • UEFIモードはまだ有効です
  • セキュアブートが有効になっており、キーが正しくインストールされています。
  • このドライブはGPTパーティションスタイルを使用しています
  • レガシーサポートは無効になっています

UEFIとセキュアブートに切り替えた後、Windowsが自己修復を必要とする場合があります。数回再起動しても慌てないでください。これは正常な動作です。

Windowsでセキュアブートの状態を確認する

Windowsに戻り、WindowsキーとRキーを同時に押して「」と入力しmsinfo32Enterキーを押します。セキュアブートの状態を確認してください。 「オン」と表示されているはずです。また、BIOSモードがUEFIであることを確認してください。これらは、すべてが正しく機能しており、PCのセキュリティが向上したことを示す良い兆候です。ここから、セキュアブートのサポートが有効になっていることを確認した上で、安心してWindows 11のアップデートまたはインストールを行うことができます。

よくある質問

Windows 11ではセキュアブートは必須ですか?

はい。マイクロソフトは基本的に、Windows 11のインストールにセキュアブートを必須にしたので、古いバージョンを使用している場合は、これを有効にすることが非常に重要になります。

古いPCにもセキュアブートをインストールできますか?

ほぼ間違いなく無理です。マザーボードがレガシーBIOSしかサポートしていない場合、セキュアブートは利用できません。最近では、UEFI対応ハードウェアが必須となっています。

セキュアブート証明書をインストールすると、私のファイルは削除されますか?

ほとんどの場合、データは消去されません。セキュアブートキーの更新や復元によってデータが消去されることはありません。とはいえ、ファームウェアの変更中に予期せぬ問題が発生した場合に備えて、事前にバックアップを取っておくのは非常に賢明です。

セキュアブートが無効になっている場合はどうなりますか?

Windowsを起動することはできますが、起動時のセキュリティ層が一つ失われます。つまり、Windowsが起動する前に読み込まれるマルウェアに対して、システムがやや脆弱になるということです。

BIOSファームウェアのアップデートは安全ですか?

一般的にはそうです。ただし、公式ファイルのみを使用し、指示に注意深く従ってください。アップデート中に電源が遮断されると、マザーボードが故障する可能性があるため、嵐の日や電源が不安定な場合は実行しないでください。

このプロセス中にインターネット接続は必要ですか?

ファームウェアのダウンロードやアップデートには必要です。ただし、BIOSアップデートのインストール自体は、ファイルを入手した後はインターネット接続を必要としません。

セキュアブートは本当にセキュリティを向上させるのか?

もちろんです。ブートキット、ルートキット、不正なシステムの起動を防ぐのに役立ちます。これは現代の脅威環境において非常に重要なことです。

  • この情報が、古いPCのセキュリティを強化し、Windows 11との互換性を高めるためのより明確な道筋を示す一助となれば幸いです。
  • これが、不安定な設定やブートループといった厄介な問題を回避するのに役立つことを願っています。
  • これは複数のマシンでうまくいったちょっとした方法なので、あなたのマシンでもうまくいくかもしれません。