- Windows 11へのアップグレードでセキュアブートの有効化を求められた
- BIOSを開いたけど設定がグレーアウトしていて触れない
- システム情報を見たら「セキュアブートがサポートされていません」と表示されていた
——こうした状況でたどり着いた方に向けて、確認方法から有効化・無効化の手順、エラーの対処法まで順番に解説します。
Windows 11のセキュアブート設定で詰まる原因の多くは、ディスクのパーティション形式がMBRのままになっていることです。
「BIOSでEnabledにしたのになぜか有効にならない」という場合も、このMBRとGPTの問題が絡んでいることがほとんどかなと思います。
VALORANTを起動したときのVAN9001エラーも、セキュアブートやTPM 2.0の設定が原因です。この記事でひとつずつ確認していきましょう。
- セキュアブートとは何か・TPM 2.0との違い
- セキュアブートが有効か確認する2つの方法
- BIOS/UEFIからセキュアブートを有効化・無効化する手順
- 「サポートされていません」エラーの原因とMBR→GPT変換の手順
Windows 11のセキュアブートとは
セキュアブートはWindows 11のシステム要件のひとつで、BIOS/UEFIレベルで動くセキュリティ機能です。仕組みと目的を知っておくと、設定変更の意味が理解しやすくなりますよ。
PCの起動を守るセキュリティ機能
パソコンの電源を入れると、ハードウェアの確認 → OSの読み込み という順番で起動が進みます。セキュアブートが担うのは、この「OSを読み込む直前」の工程です。
具体的には、ストレージからWindowsのブートローダー(起動ファイル)を読み込む前に、そのファイルに付いているデジタル署名を検証します。
署名が正規のものであれば起動を許可し、改ざんされていたり署名のない怪しいプログラムが紛れ込んでいればブロックする、という門番の役割ですね。
通常のウイルス対策ソフトはWindowsが起動してから動き始めるため、OS起動前に潜り込む「ブートキット」と呼ばれるマルウェアには対抗できません。セキュアブートはまさにこのOS起動前の段階を守るために設計されています。
実際、BlackLotusのようにセキュアブートを回避しようとする高度なブートキットも報告されており、起動段階を保護するセキュアブートを有効にしておく意義は十分あります。
- マザーボードがUEFIに対応していること
- ブートモードが「UEFI」(「Legacy」「CSM」ではない)になっていること
- ディスクがGPT形式(MBR形式では機能しない)であること
TPM 2.0との違いと関係
Windows 11ではセキュアブートと一緒に「TPM 2.0」も必須要件になっています。混同しやすいので整理しておきます。
| 機能 | 何を守るか | 場所 |
|---|---|---|
| セキュアブート | OS起動前のコードの正真正銘さを検証 | UEFI(ファームウェア) |
| TPM 2.0 | 暗号鍵の保管・システム全体の完全性を記録 | マザーボード上のチップ(またはCPU内蔵) |
セキュアブートが「起動ファイルが本物かどうか確認する」機能だとすれば、TPM 2.0は「システム全体が改ざんされていないかを記録・証明するチップ」です。
どちらが欠けてもWindows 11の起動プロセス全体のセキュリティが成り立たないため、Microsoftは両方を要件としています。
近年のPCではTPM 2.0がCPUに内蔵されていることが多く(IntelのPTT、AMDのfTPM)、BIOS設定から有効化できます。「TPM 2.0がない」と出る場合はまずBIOS設定でfTPM/PTTが有効になっているか確認してみてください。
セキュアブートの確認方法
設定を変更する前に、まず現在の状態を確認しましょう。2つの方法があります。
Windowsセキュリティアプリで確認する
一番わかりやすい確認方法です。
- スタートメニューから「Windowsセキュリティ」を検索して開く
- 左メニューの「デバイス セキュリティ」をクリック
- 「セキュア ブート」の欄を確認する
「セキュア ブートが有効です」と表示されていれば問題ありません。警告アイコンや「無効」の表示がある場合は、後述の有効化手順に進んでください。
また、Windows Updateを適用済みの環境では、デバイスセキュリティ画面のセキュアブートアイコンに色がつくようになっています。緑は正常、黄色は要対応、赤は緊急対応が必要という意味です。
黄色・赤が出ている場合はWindows Updateを実行し、最新の更新プログラムを適用してください。
システム情報から確認する方法
より詳細な状態を確認したい場合はシステム情報ツールを使います。
- スタートを右クリック→「ファイル名を指定して実行」を選ぶ
- 「msinfo32」と入力してEnterキーを押す
- 「システム概要」の一覧で「セキュア ブートの状態」を確認する
| 表示 | 意味と対処 |
|---|---|
| 有効 | セキュアブートが正常に機能している。対応不要 |
| 無効 | BIOS設定でオフになっている。BIOSから有効化する |
| サポートされていません | ディスクがMBR形式か、UEFIモード非対応の環境。後述の対処法へ |
| 設定できません | BIOS設定に問題あり(グレーアウト等)。後述の確認点へ |
セキュアブートを有効化する方法
セキュアブートの有効化はWindows上ではなく、BIOS/UEFI画面から行います。手順を順番に確認しましょう。
BIOS/UEFI設定画面を開く手順
BIOS/UEFIへの入り方は2通りあります。
方法① 電源投入直後にキーを押す
PCを起動または再起動してすぐ、メーカーロゴが表示されている間に特定のキーを連打します。キーはメーカーによって異なります。
| メーカー | BIOS起動キー |
|---|---|
| Lenovo | F1(ThinkPadはF1、一般モデルはF2のことも) |
| DELL | F2(またはF12でブートメニュー) |
| HP | F10(またはEscでメニューを出してF10) |
| 富士通 | F2 |
| ASUS | Del(Deleteキー)またはF2 |
| MSI | Del(Deleteキー) |
| Gigabyte | Del(Deleteキー)またはF2 |
方法② Windows 11の設定から起動する
BIOS起動キーを押すタイミングが難しい場合は、Windows 11の設定からアクセスするほうが確実です。
- 「スタート」→「設定」→「システム」→「回復」を開く
- 「PCの起動をカスタマイズする」の「今すぐ再起動」をクリック
- 再起動後の青い画面で「トラブルシューティング」→「詳細オプション」を選ぶ
- 「UEFIファームウェアの設定」→「再起動」でBIOS画面に入れる
セキュアブートをオンにする操作
BIOS/UEFI画面に入ったら、以下の順番で設定します。
まずブートモードを確認します。「Boot」や「Advanced」タブに「Boot Mode」「UEFI/Legacy」などの項目があるはずです。ここが「Legacy」または「CSM Enabled」になっている場合は、先にこれを「UEFI」に変更する必要があります。
ブートモードをLegacy→UEFIに変更すると、ディスクがMBR形式の場合はWindowsが起動しなくなります。先に「MBRからGPTへの変換」を行うか、ディスクがすでにGPT形式であることを確認してから変更してください。
ブートモードがUEFIになったら、次はセキュアブートの設定を探します。多くの場合「Security」「Boot」「Advanced」のいずれかのタブにあります。
- 「Secure Boot」の項目を「Enabled」に変更する
- 「OS Type」や「Secure Boot Mode」がある場合は「Windows UEFI Mode」に設定
- F10キー(または「Save & Exit」)で設定を保存して再起動
- 再起動後、Windowsが正常に起動することを確認する
再起動後にシステム情報(msinfo32)でセキュアブートの状態が「有効」になっていれば完了です。
有効化できない・グレーアウトの場合
「Secure Boot」の項目がグレーアウトしていて変更できない場合、いくつか原因が考えられます。
① CSM(Compatibility Support Module)が有効になっている
CSMはレガシーBIOS互換モードで、有効になっているとセキュアブートが機能しない設計になっています。まずCSMを「Disabled」に変更してから、セキュアブートの設定を行ってください。
ただし前述のとおり、ディスクのMBR/GPT確認は先に行いましょう。
② BIOS管理者パスワードが設定されていない
一部のマザーボードでは、BIOS管理者パスワードを設定しないとセキュアブート関連の項目が変更できない仕様になっています。BIOS画面の「Security」タブで管理者パスワードを設定してみてください。
③ BIOSが古い
BIOSのバージョンが古いとセキュアブートの設定項目が表示されないことがあります。メーカーの公式サイトから最新のBIOSをダウンロードしてアップデートすることで解決するケースがあります。
BIOSアップデートは手順を誤るとPCが起動しなくなるリスクがあります。メーカーの公式手順書をよく確認してから実施してください。
セキュアブートがサポートされていませんの対処法
システム情報で「セキュアブートの状態:サポートされていません」と表示されている場合、ほとんどのケースでディスクのパーティション形式がMBRのままになっているのが原因です。
セキュアブートはUEFIモードでしか機能せず、UEFIモードで起動するにはディスクがGPT形式である必要があるためです。
MBRからGPTへの変換が必要なケース
古いPCや、Windows 7・Windows 8からアップグレードしたPCはMBR形式のままになっていることが多いです。まず自分のディスクがどちらの形式かを確認しましょう。
- スタートを右クリック→「ディスクの管理」を選ぶ
- 「ディスク 0」(メインのSSD/HDD)を右クリック→「プロパティ」を開く
- 「ボリューム」タブで「パーティションのスタイル」を確認する
「マスタ ブート レコード(MBR)」と表示されていたらGPTへの変換が必要です。「GUID パーティション テーブル(GPT)」なら形式は問題ないので、他の原因(ブートモードの設定等)を確認してください。
MBR2GPTでデータを消さずに変換する手順
Windowsに標準搭載されている「MBR2GPT.exe」を使うと、データを消さずにMBRからGPTに変換できます。変換後は再インストール不要でそのままWindowsが使えます。(出典:Microsoft Learn「MBR2GPT.EXE」)
変換前に必ず大切なデータのバックアップを取ってください。万が一に備えた保険として、外付けHDDやクラウドへのバックアップを強くすすめます。
- スタートを右クリック→「Windows PowerShell(管理者)」または「ターミナル(管理者)」を開く
- 以下のコマンドで変換できるか検証する:mbr2gpt /validate /disk:0 /allowFullOS
- 「Validation completed successfully.」と表示されたら変換可能
- 以下のコマンドで実際に変換する:mbr2gpt /convert /disk:0 /allowFullOS
- 「Conversion completed successfully.」と表示されたら完了
- PCを再起動し、BIOS画面でブートモードを「UEFI」・セキュアブートを「Enabled」に変更する
変換後にBIOS設定でUEFIモードに切り替えても、Windowsはこれまでどおり起動します。変換前後でデータは変わりません。
検証コマンドで「Disk layout validation failed for disk 0」と表示された場合は変換できない構成です(パーティションが4つ以上あるなど)。その場合はWindowsのクリーンインストールが必要になります。インストール手順については失敗しない!OSなしパソコンへのWindows 11インストール手順を参考にしてください。
セキュアブートが有効にならないときの確認点
GPT変換後もセキュアブートが有効にならない場合は、以下を順番に確認してください。
| 確認事項 | 対処法 |
|---|---|
| BIOSのブートモードがUEFI | LegacyやCSMになっていたらUEFIに変更 |
| CSMが無効 | CSM/Legacy Supportをオフに設定 |
| BIOSが最新版 | メーカーサイトから最新BIOSをダウンロードして更新 |
| ディスクがGPT形式 | ディスクの管理でGPTになっているか確認 |
これらをすべて確認・対応してもセキュアブートが有効にならない場合は、マザーボード自体がセキュアブートに対応していない古い機種の可能性があります。
中古PCでWindows 11への移行を検討しているなら、購入前にセキュアブート対応を確認しておくと安心です。
どの専門店で購入するかを比較したい場合は中古パソコンを買うならどこ?全店自腹購入した管理人が選ぶ専門店6選も参考にしてみてください。
セキュアブートを無効化する方法と注意点
基本的にセキュアブートは有効のままにしておくことをすすめます。ただし、古いLinuxをデュアルブートしたい、特定のハードウェアが動かないなど、止むを得ない事情がある場合もあるかと思います。
無効化の手順はシンプルで、BIOS/UEFI画面を開き、「Secure Boot」の項目を「Disabled」に変更して保存・再起動するだけです。
セキュアブートを無効にすると、OS起動前に悪意のあるプログラムが潜り込める状態になります。また、将来のWindowsの大型アップデートの適用に影響が出る可能性もあります。特別な理由がなければ有効のまま維持してください。
ゲームが起動しないVAN9001エラーとの関係
VALORANTを起動したときに「VAN9001」または「VAN9003」というエラーが表示されてゲームが起動できない場合、VAN9001はセキュアブートが無効、VAN9003はTPM 2.0が無効なのが原因です。
どちらもブート段階のセキュリティが整っていないと出るエラーなので、対処は共通でセキュアブートとTPM 2.0の両方を有効にすればOKです。
VALORANTのアンチチート「Riot Vanguard」は、OSの最深部(カーネルレベル)で動作するチートプログラムへの対策として、セキュアブートとTPM 2.0の有効化を必須要件にしています。
セキュアブートが無効だと、Windowsが起動する前に悪意のあるチートツールが先に読み込まれる危険があるため、Vanguardがゲームの実行を拒否する仕様です。
解決策はシンプルで、前述の方法でセキュアブートを有効にし、TPM 2.0も有効になっていることを確認してからPCを再起動してVALORANTを起動し直すだけです。
- VAN9001(セキュアブート無効)/VAN9003(TPM 2.0無効) → セキュアブートとTPM 2.0を有効化してPC再起動
- VAN9002 → Windowsの「エクスプロイト保護」が有効か確認(設定→Windows セキュリティ→アプリとブラウザーコントロール)
- 設定後もエラーが続く場合 → msinfo32でセキュアブートが「有効」になっているか再確認
中古ゲーミングPCでこのエラーが出やすいケースについては、中古ゲーミングPCはやめたほうがいい?理由と後悔しない選び方でも触れているので参考にしてみてください。
よくある質問
- セキュアブートを無効にするとどうなりますか?
-
OS起動前の署名検証が行われなくなるため、悪意のあるプログラムがWindowsの起動前に読み込まれるリスクが高まります。VALORANTなど一部のゲームではVAN9001エラーが出て起動できなくなります。また、将来のWindowsの大型アップデートの適用に影響が出る可能性もあります。特別な理由がない限り、有効のままにしておくことをおすすめします。
- セキュアブートがサポートされていませんと出たまま使い続けられますか?
-
Windows自体は起動・使用できますが、OS起動前のセキュリティ保護がない状態が続きます。多くの場合はディスクがMBR形式になっているのが原因で、MBR2GPTコマンドでGPTに変換してブートモードをUEFIに切り替えると解消できます。将来のWindows Updateへの影響も考えると、早めに対処しておくことをおすすめします。
- セキュアブートを有効にするとデータは消えますか?
-
セキュアブートの有効化(BIOSで「Enabled」にする)だけではデータは消えません。ファイルには一切影響しません。ただし、MBR→GPT変換を伴う場合は、変換処理自体はデータを保持したまま行えますが、万が一に備えて事前にバックアップを取っておくことをおすすめします。
まとめ:Windows 11セキュアブートの設定と確認
Windows 11のセキュアブートについて、確認方法から有効化・無効化の手順、エラー対処まで解説してきました。押さえておきたい点を整理します。
- セキュアブートはOS起動前に署名を検証するUEFIの機能。Windows 11の必須要件
- 確認はWindowsセキュリティアプリのデバイスセキュリティ、またはmsinfo32(「セキュア ブートの状態」)で
- 有効化・無効化はBIOS/UEFI画面の「Secure Boot」項目から行う
- 「サポートされていません」の原因はほぼMBR形式のディスク。MBR2GPTコマンドでデータを消さずGPTに変換できる
- VALORANTのVAN9001/VAN9003エラーはセキュアブート・TPM 2.0を有効化してPC再起動で解決
- 無効化は特別な理由がない限りしない。将来のWindowsアップデートに影響が出る可能性がある
セキュアブートの設定は最初は難しく感じますが、手順を一つずつ確認していけば多くのケースで解決できます。「サポートされていません」のエラーが出てもあわてずに、まずディスクの形式(MBRかGPTか)を確認するところから始めてみてください。
最終的な設定変更の可否はご利用のPC環境によって異なりますので、不安な場合はメーカーのサポートにご相談ください。
