Windows 11へのアップグレードを検討している方、または現在Windows 11を使用している方にとって、TPM 2.0とセキュアブートは重要なセキュリティ機能です。
これらの機能は、Windows 11の必須システム要件として定められており、BitLockerやWindows Helloなどの高度なセキュリティ機能を利用するために不可欠です。
この記事では、TPM 2.0とセキュアブートが有効になっているかを確認する方法と、無効になっている場合の有効化手順について詳しく解説します。
TPM 2.0とは
TPM(Trusted Platform Module、トラステッド プラットフォーム モジュール)は、暗号化キーを安全に作成・保存するためのセキュリティチップです。
マザーボード上に搭載されているハードウェアベースのセキュリティモジュールで、改ざん防止機能を備えています。
TPMの主な機能
TPMは以下のようなセキュリティ関連機能を提供します。
- 暗号化キーの生成と保存:ハードウェアレベルで安全に暗号化キーを管理
- デバイス認証:TPM固有のRSAキーを使用したデバイスの認証
- BitLocker Drive Encryption:ドライブの暗号化により、紛失や盗難時のデータ保護
- Windows Hello:生体認証データ(指紋や顔認識)とPINの安全な保存
TPM 2.0がWindows 11で必須になった理由
Windows 11では、TPM 2.0がシステム要件として必須となりました。
これには以下の理由があります。
- セキュリティの強化:ハードウェアベースのセキュリティにより、ソフトウェアのみでは防げない攻撃から保護
- 暗号化技術の更新:TPM 1.2はSHA-1とRSAに依存していましたが、これらは現在では脆弱性が指摘されています。TPM 2.0はより強力な暗号化アルゴリズムをサポート
- プライバシー保護:個人情報や認証情報を安全に保管
TPM 2.0の種類
TPM 2.0には主に2つの実装方法があります。
ファームウェアTPM(fTPM)
CPUに統合されたTPM機能です。
物理的なチップは不要で、ファームウェアレベルで動作します。
- Intel製CPU:Intel PTT(Platform Trust Technology)
- AMD製CPU:AMD fTPM(firmware TPM)
ディスクリートTPM(dTPM)
マザーボードに物理的に搭載された独立したTPMチップです。
より高度なセキュリティを提供しますが、追加のハードウェアコストが発生します。
セキュアブートとは
セキュアブート(Secure Boot)は、コンピューターの起動時に、信頼されたソフトウェアのみが実行されることを保証するセキュリティ機能です。
UEFI(Unified Extensible Firmware Interface)ファームウェアの一部として実装されています。
セキュアブートの仕組み
セキュアブートは、起動プロセスの各段階でデジタル署名を検証します。
- ファームウェアの検証:UEFIファームウェア自体が署名済みで信頼されているか確認
- ブートローダーの検証:Windowsブートマネージャーのデジタル署名を確認
- オペレーティングシステムの検証:OSカーネルの署名を確認
未署名のソフトウェアや、改ざんされたソフトウェアは起動を拒否されます。
これにより、ルートキットやブートキットと呼ばれる悪意のあるソフトウェアがOSより前に読み込まれることを防ぎます。
セキュアブートがWindows 11で必須になった理由
セキュアブートは、Windows 8で初めて導入されましたが、Windows 11では必須要件となりました。
- プレブートマルウェアの防止:OSが起動する前に実行されるマルウェア(ブートキット)を防止
- システムの整合性保護:ファームウェア、ドライバー、ブートローダー、OSの整合性を保証
- セキュリティの強化:TPM 2.0と組み合わせることで、さらに強固なセキュリティを実現
TPM 2.0の確認方法
自分のパソコンにTPM 2.0が搭載されており、有効になっているかを確認する方法を紹介します。
方法1:Windowsセキュリティから確認
最も簡単な確認方法です。
- Windowsキー + Iを押して「設定」を開きます。
- 「プライバシーとセキュリティ」をクリックします(Windows 10の場合は「更新とセキュリティ」)。
- 「Windowsセキュリティ」をクリックします。
- 「Windowsセキュリティを開く」をクリックします。
- 左側のメニューから「デバイスセキュリティ」をクリックします。
- 「セキュリティプロセッサ」のセクションを確認します。
このセクションが表示されている場合、TPMが搭載されています。
「セキュリティプロセッサの詳細」をクリックすると、仕様バージョンを確認できます。
「仕様バージョン」が「2.0」と表示されていれば、TPM 2.0が有効です。
セキュリティプロセッサのセクションが表示されない場合、TPMが無効になっているか、搭載されていない可能性があります。
方法2:TPM管理コンソールから確認
- Windowsキー + Rを押して「ファイル名を指定して実行」を開きます。
- 「tpm.msc」と入力してEnterキーを押します。
- TPM管理コンソールが開きます。
TPMが有効な場合:
「状態」の項目に「TPMは使用する準備ができています。」と表示されます。
「TPM製造元情報」の「仕様バージョン」で、バージョンを確認できます。
TPMが無効または非搭載の場合:
「互換性のあるTPMが見つかりません」と表示されます。
この場合、BIOSまたはUEFI設定でTPMを有効にする必要があります。
方法3:デバイスマネージャーから確認
- Windowsキーを右クリックして「デバイスマネージャー」を選択します。
- 「セキュリティデバイス」の左側の三角をクリックして展開します。
- 「トラステッド プラットフォーム モジュール 2.0」が表示されていれば、TPM 2.0が有効です。
このデバイスが表示されない場合、TPMが無効になっているか、バージョンが古い可能性があります。
方法4:PowerShellから確認(上級者向け)
PowerShellを使用して確認することもできます。
- Windowsキーを右クリックして「Windows PowerShell」を選択します。
- 以下のコマンドを入力してEnterキーを押します。
Get-WmiObject -Namespace "root/cimv2/Security/MicrosoftTpm" -Class "Win32_Tpm"または、より簡潔に確認するには以下のコマンドを使用します。
(Get-WmiObject -Namespace "root/cimv2/Security/MicrosoftTpm" -Class "Win32_Tpm").SpecVersionバージョン情報が「2.0」と表示されれば、TPM 2.0が有効です。
セキュアブートの確認方法
セキュアブートが有効になっているかを確認する方法を紹介します。
方法1:システム情報から確認
最も簡単で確実な方法です。
- Windowsキー + Rを押して「ファイル名を指定して実行」を開きます。
- 「msinfo32」と入力してEnterキーを押します。
- 「システム情報」ウィンドウが開きます。
- 左側で「システムの要約」が選択されていることを確認します。
- 右側のリストから「セキュアブートの状態」を探します。
「セキュアブートの状態」の表示内容:
- 有効:セキュアブートが有効になっています
- 無効:セキュアブートが無効になっています
- サポートされていません:ハードウェアがセキュアブートに対応していないか、WindowsがレガシーBIOS(CSM)モードでインストールされています
同じ画面で「BIOSモード」も確認できます。
セキュアブートを使用するには、BIOSモードが「UEFI」である必要があります。
「レガシ」と表示されている場合は、レガシーBIOSモードで動作しており、セキュアブートは使用できません。
方法2:PowerShellから確認
PowerShellを使用して確認することもできます。
- Windowsキーを右クリックして「Windows PowerShell(管理者)」を選択します。
- 以下のコマンドを入力してEnterキーを押します。
Confirm-SecureBootUEFI表示される結果:
- True:セキュアブートが有効
- False:セキュアブートが無効
- Cmdlet not supported on this platform:ハードウェアがセキュアブートに対応していないか、レガシーBIOSモードで動作しています
このコマンドは管理者権限が必要です。
権限がない場合は「アクセスが拒否されました」というメッセージが表示されます。
方法3:Windowsセキュリティから確認
- Windowsキー + Iを押して「設定」を開きます。
- 「プライバシーとセキュリティ」をクリックします。
- 「Windowsセキュリティ」をクリックします。
- 「Windowsセキュリティを開く」をクリックします。
- 左側のメニューから「デバイスセキュリティ」をクリックします。
- 「セキュアブート」のセクションを確認します。
「セキュアブート」セクションの下に「有効」または「無効」と表示されます。
TPM 2.0の有効化方法
TPMが搭載されているが無効になっている場合、BIOS/UEFI設定から有効にできます。
基本的な有効化手順
- パソコンを再起動します。
- 起動時にBIOS/UEFI設定画面に入ります。
- TPM設定を探して有効にします。
- 設定を保存して再起動します。
BIOS/UEFI設定画面への入り方
パソコンの起動時に特定のキーを押すことで、BIOS/UEFI設定画面に入れます。
メーカーやモデルによって異なりますが、一般的には以下のキーが使用されます。
- Delキー
- F2キー
- F10キー
- F12キー
- ESCキー
多くのマザーボードは、起動時に「Press DEL to enter setup」のようなメッセージを短時間表示します。
または、Windowsから設定画面に入ることもできます。
- Windowsキー + Iを押して「設定」を開きます。
- 「システム」をクリックします。
- 「回復」をクリックします(Windows 10の場合は「更新とセキュリティ」→「回復」)。
- 「PCの起動をカスタマイズする」の下にある「今すぐ再起動」をクリックします。
- 再起動後、「トラブルシューティング」→「詳細オプション」→「UEFIファームウェアの設定」→「再起動」を選択します。
TPM設定の場所
BIOS/UEFI設定画面でTPM設定を探します。
メーカーやマザーボードによって場所や名称が異なりますが、一般的には以下のような場所にあります。
設定の場所:
- Security(セキュリティ)タブ
- Advanced(詳細設定)タブ
- Trusted Computing(トラステッドコンピューティング)
- Security Devices(セキュリティデバイス)
設定項目の名称:
- TPM Device(TPMデバイス)
- Security Device Support(セキュリティデバイスサポート)
- TPM State(TPM状態)
- Intel PTT(Intel製CPUの場合)
- AMD fTPMまたはAMD PSP fTPM(AMD製CPUの場合)
- Firmware TPM(ファームウェアTPM)
有効化の具体的な手順
- TPM設定を見つけます。
- 設定を「Enabled」(有効)に変更します。
- F10キーを押して設定を保存します(または「Save and Exit」を選択)。
- 「Yes」を選択して確認します。
- パソコンが再起動します。
再起動後、Windowsで前述の方法でTPMが有効になっているか確認してください。
メーカー別の参考情報
各メーカーの公式サポートページで、詳細な手順を確認できます。
セキュアブートの有効化方法
セキュアブートを有効にする前に、以下の前提条件を確認してください。
前提条件の確認
1. BIOSモードがUEFIであること
セキュアブートはUEFIモードでのみ動作します。
レガシーBIOSモードでは使用できません。
システム情報(msinfo32)で「BIOSモード」を確認し、「レガシ」と表示されている場合は、UEFIモードに変更する必要があります。
注意:レガシーモードからUEFIモードへの変更は、現在のWindowsインストールを起動不能にする可能性があります。
Windowsの再インストールが必要になる場合があるため、事前に重要なデータをバックアップしてください。
2. ディスクのパーティションスタイルがGPTであること
セキュアブートを使用するには、システムドライブがGPT(GUID Partition Table)形式である必要があります。
確認方法:
- Windowsキー + Xを押して「ディスクの管理」を選択します。
- システムドライブ(通常はC:)の左側の列を右クリックします。
- 「プロパティ」を選択します。
- 「ボリューム」タブをクリックします。
- 「パーティションのスタイル」を確認します。
「GUID パーティション テーブル (GPT)」と表示されていれば問題ありません。
「マスター ブート レコード (MBR)」と表示されている場合は、GPTに変換する必要があります。
MBRからGPTへの変換には、Microsoftが提供する「MBR2GPT」ツールを使用できます。
ただし、この作業はリスクを伴うため、必ず事前にデータをバックアップしてください。
セキュアブートの有効化手順
前提条件を満たしていることを確認したら、以下の手順でセキュアブートを有効にします。
方法1:BIOS/UEFI設定から有効化
- パソコンを再起動します。
- BIOS/UEFI設定画面に入ります(前述の方法を参照)。
- 「Boot」(起動)または「Security」(セキュリティ)タブに移動します。
- 「Secure Boot」(セキュアブート)設定を探します。
- 「Secure Boot」を「Enabled」(有効)に変更します。
- 「OS Type」が「Windows UEFI mode」または「UEFI OS」に設定されていることを確認します(「Other OS」では無効になります)。
- CSM(Compatibility Support Module)またはLegacy Supportが有効になっている場合は、無効にします。
- F10キーを押して設定を保存します。
- 「Yes」を選択して確認し、再起動します。
方法2:Windowsの回復環境から設定
- Windowsキー + Iを押して「設定」を開きます。
- 「システム」→「回復」を選択します。
- 「PCの起動をカスタマイズする」の下にある「今すぐ再起動」をクリックします。
- 再起動後、「トラブルシューティング」→「詳細オプション」→「UEFIファームウェアの設定」→「再起動」を選択します。
- BIOS/UEFI設定画面が開いたら、上記の手順3以降を実行します。
再起動後、システム情報(msinfo32)で「セキュアブートの状態」が「有効」になっているか確認してください。
トラブルシューティング
TPM 2.0やセキュアブートを有効にする際に発生する可能性のある問題と、その解決方法を紹介します。
TPMが見つからない場合
問題:「互換性のあるTPMが見つかりません」と表示される
解決策:
- BIOS/UEFI設定でTPMが無効になっている
- BIOS/UEFI設定画面を開き、TPM設定を「Enabled」に変更します。
- CPUがTPM 2.0に対応していない
- Intel製CPUの場合、第4世代(Haswell)以降であればfTPMに対応していますが、Windows 11がサポートするのは第8世代(Kaby Lake)以降です。
- AMD製CPUの場合、Ryzen以降がfTPMに対応しています。
- 古いCPUの場合、Windows 11のシステム要件を満たさない可能性があります。
- ファームウェアが古い
- マザーボードメーカーのWebサイトから最新のBIOS/UEFIファームウェアをダウンロードし、更新します。
セキュアブートがBIOSで有効なのにWindowsで無効と表示される場合
問題:BIOS/UEFI設定でセキュアブートを有効にしたのに、Windowsでは「セキュアブートの状態:無効」と表示される
解決策:
- BIOSモードがレガシーになっている
- システム情報で「BIOSモード」を確認します。
- 「レガシ」と表示されている場合、セキュアブートは機能しません。
- BIOSをUEFIモードに変更する必要があります(Windowsの再インストールが必要になる場合があります)。
- CSM(Compatibility Support Module)が有効になっている
- BIOS/UEFI設定でCSMまたはLegacy Supportを無効にします。
- ディスクのパーティションスタイルがMBRになっている
- ディスクの管理でパーティションスタイルを確認します。
- MBRの場合、GPTに変換する必要があります。
- セキュアブートキーが正しく設定されていない
- BIOS/UEFI設定で「Restore Factory Keys」または「Load Default Secure Boot Keys」を実行します。
Windows 11にアップグレードできない場合
問題:「このPCは現在、Windows 11システム要件を満たしていません」と表示される
解決策:
- PC正常性チェックアプリで詳細を確認
- Microsoft公式サイトから「PC正常性チェック」アプリをダウンロードします。
- アプリを実行し、「すべての結果を表示」をクリックして、どの要件を満たしていないか確認します。
- TPM 2.0とセキュアブートの両方を有効にする
- 前述の方法でTPM 2.0とセキュアブートの両方が有効になっているか確認します。
- CPUが対応しているか確認
- Windows 11がサポートするCPUのリストをMicrosoft公式ページで確認します。
- サポート対象外のCPUの場合、正式なアップグレードはできません。
まとめ
TPM 2.0とセキュアブートは、Windows 11の必須要件であり、システムのセキュリティを大幅に強化する重要な機能です。
この記事で紹介した方法を使用して、自分のパソコンでこれらの機能が有効になっているか確認し、無効になっている場合はBIOS/UEFI設定から有効にすることができます。
ただし、BIOS/UEFI設定の変更は慎重に行う必要があります。
不適切な設定変更はシステムの起動を妨げる可能性があるため、不明な点がある場合は、パソコンメーカーのサポートに問い合わせることをお勧めします。
コメント