ブートモードをUEFIにしてセキュアブートを有効にしたい

アイリス

初noteです。
内容的にQiitaの方がいいかもしれませんが…

とある事情でセキュアブートを有効にしたいんですが、どうもレガシーブートだとセキュアブートを有効に出来ないみたい。

それで調べると、後からでもUEFIブートに変更できるらしい。
だから気になって自宅のPCで実験した、そんな備忘録です。
たまに加筆・修正します。

※本記事では、「BIOS」という言葉を多用しています。
しかし、現在主流なのは「UEFI」と呼ばれるもので、
旧来のBIOSとは、厳密には異なるものですが、
現在でもユーザー間ではBIOSと呼ばれている場合がほとんどな印象です。
そのため、本記事でも「BIOS」と記載しています。

前提

まず、レガシーブートのWindows環境を用意します。
今回はWindows10を使用します。

基本的に変更対象のストレージが

  • MBR(マスターブートレコード)であること

  • Windowsをブートするためのパーティション構成になっていること

  • パーティションの数が全部で3つ以下であること

であることが実施条件みたいです。 
特に3つ目は、メーカー製PCだと、回復領域とかの影響で難しいかもしれません。(実際に使うことはほとんどないでしょうが…)

その場合は、別途USBドライブを用意して回復環境を構築し、
思い切って回復パーティションを消去してしまってもいいかもしれません。(問題なく動いていればどのみち必要ないものです)

今回使用するPCの情報

  • CPU:Intel i3-9100

  • MB:ASRock H370M Pro4

  • RAM:DDR4 16GB

  • SSD:サムスン製OEM 256GB

  • OS:Windows 10 Home 64ビット版

システム情報

Win+Rキーで「ファイル名を指定して実行」

「msinfo32」を入力して「OK」

もしくはタスクバーの検索バーから「システム情報」

「システム情報」画面が開くはずです。

「BIOSモード」「セキュアブートの状態」を確認しましょう。

上の画像の通り

BIOSモード:レガシ
セキュアブートの状隊:サポートされていません

であれば、ブートモードはレガシー、セキュアブートは無効であることが確認できます。

もし、

BIOSモード:UEFI
セキュアブートの状隊:有効

となっていれば、既にセキュアブートは有効になっているので、下記の手順は必要ありません。

UEFIブートへの変更

※ここから先の手順は、私が個人的に成功した手順を記載しています。

PCのメーカーなど、様々な環境によって結果が異なる可能性があり、下手したらOSが破損し、PCが起動できなくなる恐れがあります。

実施する前に大切なファイルをバックアップしておくことを推奨します。
本記事ではバックアップの手順を全く記載していません。

インストールメディアの作成

Windowsシステムファイルにバンドルされている、MBR2GPTというツールを使います。

MBR2GPTを使用するために、Windows10のインストールメディアを作成します。

確認していませんが、回復ドライブの作成でもおそらく可能です。

変換作業

作成できたら、早速インストールメディアをブートします。

※以下の一部画像は、仮想マシンのハードコピーです。
実機とほぼ同じ画面ですが、参考程度にしてください。
実機の写真は撮り忘れました。

こんな画面が表示されるはずです。このまま「次へ」を押下しましょう。

次の画面では、「コンピューターを修復する」を押下してください。

「トラブルシューティング」
「コマンド プロンプト」

「トラブルシューティング」→「コマンド プロンプト」の順に押下し、
コマンドプロンプトを起動します。

コマンドプロンプトで「diskpart」を入力してEnterキー
システムツール「DiskPart」が起動します。

次に「list disk」を入力してEnterキー

X:\Sources>diskpart
 
(中略)
 
DISKPART> list disk


以下のように、
接続されているストレージデバイスのリストが表示されます。

ここで、WindowsのOSが入っているであろうディスクを確認し、
「ディスク」列の番号を確認します。
上記画像では、OSが入っているディスクは「ディスク 0」です。

「exit」を入力してEnterキーで、DiskPartを終了しましょう。

次に「mbr2gpt」を入力し、スペースを空けて「/convert」「/disk:」を入力します。
「/disk:」の後には、先ほどDiskPartで確認したOSディスクの番号を入力してください。

X:\Sources>mbr2gpt /convert /disk:<ディスクの番号>

ここでEnterキーを押下すると、以下画像のように、何行かの文字が出力されます。

MBR2GPT: Conversion completed successfully

以上が出力されていれば、成功です。

ここで再度DiskPartを開き、「list disk」でGPTへの変換が行われたかを確認することも出来ます。(「GPT」列)

確認

さっそくPCを再起動し、Windowsをブートしましょう。

Windowsが起動したら、先ほどの「システム情報」を開きます。

「BIOSモード」がUEFIに変更されました!!
これでセキュアブートを有効化できます。

余談

ブートモードの違いは、以上手順のほかにも様々な手段で確認できます。

一番わかりやすいものだと、「ブート時の挙動」で確認できます。

PCを起動すると多くの場合で、PCメーカーのロゴが表示されると思います。
この後の挙動がすこし違います。

レガシーブート
メーカーロゴが一度消えた後
Windowsのロゴが表示され、OSのロードが始まります。

UEFIブート
メーカーロゴが表示されたまま、OSのロードが始まります。


セキュアブートの有効化

ブートモードをUEFIにすることに成功したので、
これでセキュアブートを有効にできます。

ここからはセキュアブートを有効するための作業を行います。

※ここからBIOS設定を開いて設定の変更を行いますが、
今回はASRockマザーボードでの作業を行います。
具体的な手順はPCのメーカーによって異なります。

CSMの無効化

セキュアブートを有効にするためにはCSMの無効化が必要です。

※CSMというのは、平たく言えば、レガシーブートでもOSを起動できるようにするためのものです。
これを無効にすることで、UEFIブートしか行えなくなることを留意する必要があります。


PCを起動してF2もしくはDeleteキーを連打し、BIOS設定を開きます。

「起動」タブより、「CSM」を無効に変更します。
変更を保存して、再起動します。

セキュアブートの有効化

再度BIOS設定を開きます。

「セキュリティ」タブより、「セキュアブート」を有効に変更します。

変更を保存して、再起動します。

確認

Windowsをブートし、
セキュアブートが有効になっていることを確認します。

「セキュアブートの状態」を 有効 に変更できました!!


まとめ

  1. OSメディアをつくる

  2. コマンドプロンプトでMBR2GPTコマンドを実行する

  3. UEFIブートのできあがり

  4. BIOSでセキュアブートを有効にする

  5. セキュアブートのできあがり

以上の手順でUEFIブートへの変更、セキュアブートの有効化が行えます。

ここまでの閲覧に感謝します。


この記事が気に入ったらサポートをしてみませんか?