【Windows】セキュアブートと TPM2.0 を有効にする方法

TPM2.0

TPM2.0 とは？

トラステッド プラットフォーム モジュール (TPM) テクノロジは、ハードウェア ベースのセキュリティ関連機能を提供するように設計されています。 TPM チップは、暗号化操作を実行するように設計されたセキュリティで保護された暗号プロセッサです。 このチップには、改ざんを防ぐ複数の物理的なセキュリティ メカニズムが含まれており、悪意のあるソフトウェアは TPM のセキュリティ機能を改ざんできません。 TPM テクノロジを使う主な利点は次のとおりです。

• 暗号化キーの生成、格納、使用制限を行う。
• TPM に書き込まれた一意の RSA キーを使うことで、TPM テクノロジを使ってプラットフォーム デバイスを認証する。
• セキュリティ対策を取得して格納することで、プラットフォームの整合性を保つ。

TPM の最も一般的な機能はシステム整合性の測定とキーの作成に使われます。 システムのブート プロセスの実行時、読み込まれたブート コード (ファームウェア、オペレーティング システム コンポーネントを含む) は TPM で測定して記録できます。 整合性の測定値は、システムがどのように起動されたかの証拠として使えます。また、正しいソフトウェアによるシステムの起動にのみ TPM ベースのキーが用いられたことの確認としても使えます。

― トラステッド プラットフォーム モジュールのテクノロジ概要 (Windows) – Windows security | Microsoft Docs

こちらは、お使いの PC パーツを保護する機能です。TPM2.0 は接続されるデバイスを暗号化し、解除用の鍵を自身のチップに保管します。
例えば、紛失や盗難などにより HDD などのストレージが奪われ別の端末と接続された場合、TPM2.0 によって生成された鍵が異なるため、暗号化を解除できず中身を覗けなくなります。

TPM2.0 が機能しているか確認する方法

① Windows ロゴを右クリックします。

② デバイスマネージャーをクリックします。

③ セキュリティデバイスに「Trusted Platform Module 2.0」が表示されていれば OK です。

TPM2.0 の設定方法

Intel 社製と AMD 社製の CPU で設定項目が違います。お使いの PC に搭載されている CPU メーカーを確認の上、BIOS の設定をしてください。

① BIOS にアクセスします。電源オフの状態から起動スイッチを押し、直後に F2 キーまたは、Del キーを連打することでアクセスできます。

② BIOS にアクセス後、「詳細モード」をクリックするか F6 キーを押し、メニューを詳細モードに切り替えます。

③ 右から 3 つ目にある「セキュリティタブ」をクリックします。

④ 「Intel (R) Platform Trust Technology」を有効にします。

⑤ 一番右の「出口」タブをクリックします。
⑥ 設定変更内容を保存して再起動すれば完了です。

セキュアブート

セキュアブートとは？

セキュア ブートは、PC 業界のメンバーによって開発されたセキュリティ標準であり、OEM (Original Equipment Manufacturer) によって信頼されているソフトウェアのみを使用してデバイスが起動されるようにするのに役立ちます。 PC が起動すると、ファームウェアによって、UEFI ファームウェア ドライバー (オプション ROM とも呼ばれる)、EFI アプリケーション、およびオペレーティング システムを含む、各ブート ソフトウェアの署名がチェックされます。 署名が有効な場合、PC が起動し、ファームウェアによってオペレーティング システムに制御が渡されます。

― セキュア ブート | Microsoft Docs

端的に言えば、パソコンを起動した時に動作するセキュリティ機能です。
セキュアブートは、予め各 PC デバイスに証明書を貼り付け、それを起動時に正しいものか確認します。万が一証明書が無効と判断された場合は、ウイルスや外部からの不正アクセスによって改ざんされた可能性があるため、起動時にそれらを遮断し動作しないようにパソコンを起動させなくします。

一見すると強制的に起動できなくなるため不便に思われるかもしれませんが、通常使う上では何も干渉されませんのでご安心ください。
筆者は Windows 11 を使って 1 ヶ月ほどになりますが、今の所起動時に不具合は起きていません。

セキュアブートが機能しているか確認する方法

① Windows ロゴを右クリックします。

② 「ファイル名を指定して実行」をクリックします。

③ 出てきたウィンドウの名前に「msinfo32」と入力します。

④ OK ボタンをクリックします。

⑤ 「BIOS モード」が UEFI になっていて、「セキュアブートの状態」が有効であれば OK です。

セキュアブートの設定方法

① BIOS にアクセスします。電源オフの状態から起動スイッチを押し、直後に F2 キーまたは、Del キーを連打することでアクセスできます。

② BIOS にアクセス後、「詳細モード」をクリックするか F6 キーを押し、メニューを詳細モードに切り替えます。

③ 右から 2 つ目にある「起動タブ」をクリックします。

④ 「CSM (互換性サポートモジュール)」をクリックします。

⑤ 「CSM」を無効にします。

⑥ 一番右の「出口」タブをクリックします。
⑦ 設定変更内容を保存して再起動します。

セキュアブートは CSM (互換性サポートモジュール)と競合してしまうので先に無効にする必要があります。

⑧ もう一度 BIOS にアクセスします。

⑨ メニューを詳細モードに切り替えます。

⑩ 右から 3 つ目にある「セキュリティタブ」をクリックします。

⑪ 「Secure Boot」をクリックします。

⑫ 「セキュアブート」を有効にします。

⑬ 一番右の「出口」タブをクリックします。
⑭ 設定変更内容を保存して再起動で完了です。

まとめ

いかがでしょうか。
今回の記事で Windows 11 に必要な機能をご理解いただければ幸いです。
また、Windows 11 に関する他の記事もありますので、ぜひご参照ください！

関連サイト

• Windows 11 とセキュア ブート – Microsoft 公式サイト
• PC で TPM 2.0 を有効にする – Microsoft 公式サイト