UEFIやセキュアブートの勘違いしやすい設定30個 まとめ

1. 最も注意すべきは「CSM」の設定。

UEFI の設定で 一番注意すべき設定は、「セキュアブート」ではなく「CSM」という設定です。

OSや周辺機器がすべてUEFIにネイティブに対応している場合は「無効」にします。それ以外の場合は「有効」を利用します。
UEFIマザーのPCを使う場合、これが絶対に守るルールです。
セキュアブートや Fast Boot の設定を有効にするのは、CSMの問題を解決した後です。

2. [CSM 無効] が必要なケース

• セキュアブートを有効にする時
• Fast Boot を有効にする時
• この2つはUEFIの機能です。
  CSM有効 (レガシーBIOS互換) では使えません。
  
  • サイト内関連
    セキュアブート有効にするならCSMは無効にする
    UEFI マザーの「Fast Boot」と「CSM」の組み合わせに注意
  • Microsoftのページ
    UEFI ファームウェア
    「CSM を使うには、セキュア ブートを無効にする必要があります。」
• 後述しますが、CSM有効でも (その状態でインストールメディアをUEFIブートできるマザーであれば) WindowsをGPTインストール出来ます。

3. [CSM 有効] が必要なケース

• Windows を MBRでインストール、起動させる時
• Windows 7/Vista を インストールする時
  ※ 7/Vista はUEFIにネイティブに対応していない。
  ※ MBR/GPT どちらでインストールする時もCSMは有効にする
• UEFIに未対応な (レガシーなブートを行う) DVDなどを起動する時
• Windows 8以降を GPT でインストールした場合でも、UEFIに未対応な周辺機器およびドライバを使っている時

4. GPT形式のWindowsでも、CSM有効は使える

一部の周辺機器が「UEFIに対応していない」場合でも、「CSMを有効」にすれば UEFI/GPTインストールしたWindowsでその周辺機器が使えます。

• 例: このページで紹介しているようなPC改造
  (ビデオカードはUEFI非対応になるが、CSM有効なら GPTのWindows でも作動する)
• Windows 8以降の場合、利用している周辺機器などに合わせ、CSM 有効･無効を選択する。
• Windows 7の場合、UEFI/GPTで利用する場合も「CSM 有効」で使うのが基本。
• セキュアブート未対応なブートメディアを使う場合、セキュアブート無効だけでなくCSMも有効にする

5. OSアップグレード時は特に注意

「CSM」の設定が正しくないまま 7 から10 へアップグレードを行ったり、Windows 10 のメジャーアップデートを行うと、OSや周辺機器に様々な問題が発生します。

この間違いで発生しやすい問題に「PCが起動せずモニタが真っ黒になってしまう」というものがあります。(詳細は次項)

6. アップグレード後の「画面真っ黒問題」はCSMの設定が原因？

「画面真っ黒」問題のうち、マウスカーソルすら表示されないケースは、その多くがCSMの設定ミスが原因です。特にNVIDIAのビデオカードを利用している場合、マザーの世代によってはCSM設定が非常にシビアです。

• 補足 (読み飛ばしてOK)
  この問題でマザーボードが古すぎる場合は、コマンドプロンプト(管理者)で「bcdedit /set pciexpress forcedisable」が有効です。
  ※ VIA PT880系、P4M900系、LGA 775世代、Asrock 4CoreDual-SATA2 など。Pentium 4 (Prescott) ～ Core2Duoの時代。
• 参考リンク (2014.10)
  PCI Express Root Port won't start - Microsoft Community

7. CSM 有効/無効 を安易に切り替えない

私は良くこの設定を変えてしまうのですが、Windows をインストールした後でCSMの設定を変更すると、まれに一部のドライバが正常に作動しなくなるケースがあります。

滅多にない事ですが、CSMの設定を変更した後でドライバのインストールをやり直す必要が出てくる場合があるので注意しましょう。

8. CSMのないマザーもある

Surface Pro など、一部のPCに搭載されているマザーボードには、CSM機能 が搭載されていません。(クラス3 UEFI になると、CSMが存在しません)

9. CSMのないマザーには Windows7 はインストールできない

Windows7は ファームウェアに従来の BIOS INT10 サポートが存在していることを前提としています。つまり UEFIの設定に CSM が存在しないPCの場合、Windows7はインストールできません。

• 外部参考URL
  Surface ProにWindows 7はインストールできるか：夏休み自由研究-週刊アスキー
  UEFI ファームウェア - Microsoft
• 厳密にいうと、CSM の有無ではなく、CSM や BIOS INT10 サポートが存在しているか、していないか、という話になります。

CSMのお話はここまで。次項からセキュアブートがメインです。

セキュアブートについて

10. セキュアブート有効は必須ではない

UEFIのブートにセキュアブートは必須ではありません。

11. UEFIブート ＝ セキュアブートではない

セキュアブートを無効にしても、UEFI/GPT の Windows 10/8.1 は正常に作動します。

12. CSM 有効とセットで使わない

「セキュアブート 有効」と「CSM 有効」をセットで使うと、Windows は正しく作動しない場合があります。
サイト内関連: セキュアブート有効にするならCSMは無効にする

13. セキュアブートが正常に作動しなくなるケースを知っておく

以下のPC操作ではセキュアブートが無効化される場合があります。

• PCパーツを交換･変更した時
• Windowsシステムに深刻なエラーが発生しWindowsが起動に失敗した時
• Windowsのクローンをした時 (システムのブート情報を書き換えた時)
• システムイメージからの復旧に失敗した時

トラブル発生時の一例

チェックポイント

• このようなケースで再びセキュアブートを有効にしたい場合は、一旦セキュアブートを無効にして再度有効にするか、セキュアブートキーのリセットを行います。
• このようなマザーでは、UEFIに未対応なPCパーツが含まれている場合、誤作動防止のため「Secure boot State」は常に「Disabled」になります。
  

14. セキュアブートを無効にすると有効に戻せなくなる？

メーカー製PCの場合、一度 セキュアブートを無効にすると再び有効に出来なくなる機種がある (らしい) ので注意しましょう。(伝聞で聞いた話なのでよく分からない)
メーカーサイトの Help や 取り扱い説明書などを読んで確認します。

15.「32bit版 Windows はセキュアブート有効にできない」は間違った覚え方

32bit版 の Windows は、「セキュアブートが有効に出来ない」以前に UEFI (GPT形式) でインストールしてはいけない。

• UEFI ファームウェア - Microsoft
  
  UEFI モードでは、Windows のバージョンが PC のアーキテクチャと一致する必要があります。64 ビット UEFI PC は、64 ビットバージョンの Windows だけを起動できます。32 ビット PC は、32 ビット バージョンの Windows だけを起動できます。

• 32bit版 Windows を UEFIモードで起動するには、UEFIマザーも32bit版が必要。(一部のメーカー製PCなどがこれに相当)
• UEFI が64bitでも、32bitの従来のBIOS モードをサポートしていれば、32bit版 Windowsを 従来のBIOS モードでインストールできる。(現在の一般的なPCはこれ)

16. 今後、セキュアブートは無効化できないPCも出てくる？

セキュアブート無効化手段の提供はオプションとなったようです。
今後はセキュアブートが無効化できない機種が登場するかもしれません。
またメーカー製PCの場合、既に登場しているかもしれないようです。
参考: Windows 10搭載PCにはLinuxなどをインストールできなくなる可能性あり-GIGAZINE

17. セキュアブート無効が必要なケース

UEFIブート (CSM無効) で起動する場合で「セキュアブート 無効」の設定が必要なケースは以下です。

• システムドライブを取り外す時
• UEFI対応だけどデジタル署名のないOS、デバイス、ブートメディアを使う時
• サードパーティ製ツールなどを使って Windows システムをクローンする時
• その他、ブート領域を変更する操作全般
• Windows で デジタル署名のない周辺機器を利用する場合
• ビデオカードを交換する時 ※念のための個人的なもの

正直なところ、「ブート領域を汚染するウィルス」に感染する危険性を除けば、「セキュアブート」は無効の方がPCを安定して使えます。

18. レガシーなOS、ブート ディスクを起動する場合

セキュアブートを無効にしただけでは、レガシーなDVDをブートできません。
この場合、CSM を有効にしてレガシーBIOS互換ブートすることも重要です。
WindowsをMBRでインストールする時も同様です。

19. Windows PE (システム修復ディスク) の起動はケースバイケースで

Linux や Windows PE でのDVDブートでは、セキュアブート無効化は必須ではありません。セキュアブートに対応しているバージョンやディストリビューションの場合、有効でも起動できます。

• Windows PE 4.0以降(Windows8以降のPE) は、セキュアブートに対応しています。セキュアブート有効･無効、どちらでも起動できます。
• ただし、サードパーティ製のリカバリツールの場合、Windows PE 4.0 でもセキュアブート有効では起動できないものもあります。
• ブート領域の修復を行う場合は、セキュアブートは無効にして起動します。
• Windows 7 時代の Windows PEは、セキュアブート未対応です。

20. Windowsのクリーンインストール時も注意

※ほとんどのマザーボードでこの項目は不要だと思いますが念のため記載。
※通常、OSの再インストールが必要になった場合は「このPCを初期状態に戻す」や「新たに開始」を利用します。

システムドライブの交換等、PC構成を変更して「DVD やUSB から 直接ブート して Windows 10/8.1 をクリーンインストール」する時は、セキュアブートを無効にしておきます。インストールが完了してから 必要に応じて 有効にします。
もしくは、OSインストール前に マザーの CMOS クリアを行います。

21. ブート領域の変更や復旧はセキュアブート無効で行う

ブートローダーを書き換える作業全般、セキュアブートは無効です。
Windows 標準のシステム修復Discを使う場合もセキュアブート無効です。
システムドライブを取り外す時やOSクローンする時もセキュアブートは無効です。

• セキュアブート有効の場合の挙動
  Ｘ･･･ブート領域の書き換えができない
  Ｏ･･･ブート領域が書き換わり不正なOSと判断されると起動できない
• システムドライブを取り外す････一部メーカー製PCでは、別のセキュリティ技術でこれができなくなっています。
• サイト内関連
  GPTディスクをクローンするとPCを起動できなくなる(一度取り外しただけでも起動できなくなる)

セキュアブートのメリット

ブート領域のウイルス感染を防ぎます。Windowsシステムのウイルス感染も結構防ぎます。
もしもブート領域がウイルスに感染した場合でも「不正なOS/不正なブート領域」と判断され、ウイルスの起動はブロックされます。(つまりこの場合はWindows は起動しなくなります。)
これにより、PC再起動によって発生するウイルスの破壊活動を防ぐ事ができます。

Fast Bootについて

ここからはUEFIマザーの高速起動についての説明です。
こちらも間違いやすいポイントや、注意事項が中心です。

22. Fast Boot と高速スタートアップは別物

「Fast Boot」と「高速スタートアップ」は「どこが早くなるか」が違います。

▲クリックで拡大
サイト内関連: Fast Boot と 高速スタートアップ は別の機能

23. UEFIネイティブなら Fast Boot を無効にしても十分早い

OSがWindows8以降、周辺機器がドライバも含めてUEFIに対応している場合であれば、「高速スタートアップ」や「Fast Boot」が無効でも Windows の起動は十分に早くなります。

▲クリックで拡大
サイト内関連: UEFI マザーが高速に起動する仕組みを調べてみる

24. Fast Boot も CSM 有効とセットで使わない

「Fast Boot 有効」と「CSM 有効」をセットで使うと、Windows は正しく作動しない場合があります。

▲クリックで拡大
サイト内関連: UEFI マザーの「Fast Boot」と「CSM」の組み合わせに注意

スリープ復帰に失敗する、ネット回線がよく切れる、ネットが異様に重い、などの問題が発生しやすいPCは、ここを疑ってみます。

25. BIOSやファームウェアのアップデート時に注意

LANカード、HDD/SSD、ビデオカード、マザーボードなどのファームウェアやBIOSを変更する場合、念のため Fast Boot は無効にしておきましょう。
Fast Boot が有効になっていると、アップデートに成功しても、CMOSクリアやコンセント引っこ抜き完全放電するまでは正常に作動しないケースがあります。

26. 高速スタートアップを使う場合も注意する

古いドライバの場合、高速スタートアップを使うと誤作動を起こす場合があります。
古いドライバの一部は、現在の標準的なドライバ読み込み方法と異なった仕組みでドライバを読み込むため、高速スタートアップのドライバ読み込みに対応していない事が原因です。

• この問題は CSM 有効/無効とは関係ないのですが、CSM有効にしなければ Windows が正常作動しないようなデバイスやドライバを使っている場合、(読み込み方法も古いケースがあるので)高速スタートアップの利用には細心の注意を払う必要があります。
  

パーツ交換、BTO・自作PCについて

27. OSインストールする時の注意

Windowsのクリーンインストール時

• OSインストール時は セキュアブート と Fast Boot は無効にしておく。
• セキュアブート や Fast Boot を有効にするのは、少なくとも GPUドライバとチップセットドライバを入れた後。
• Windows10 メジャーアップデート時の「モニタ真っ暗現象」の原因の一つがこれ。

PC内部のパーツを交換する時

• この時もセキュアブート と Fast Boot は無効にします。
  
• この状態で、自身のPC環境の「CSM設定」で交換したパーツが正しく作動するかチェックを行います。
• 正常作動しない場合、必要に応じCSM設定を切り替え、それに応じてセキュアブート と Fast Bootの設定を変更します。
  ビデオカード交換 や LANカードの増設をする場合は、特に慎重に設定します。

28.「CSM有効」と「セキュアブート無効」について

• デジタル署名の無いドライバを使う場合、セキュアブート無効にする必要があります。
  
  • この場合、更に「Windowsをテストモードにする」、「署名の強制を無効化する」、「スマートスクリーンを無効にする」などの手順も必要です。
  • サイト内関連
    Windows10で署名なしドライバをインストールする方法／テストモードにする方法
    Windows8/8.1で署名なしドライバをインストールする方法／テストモードにする方法
    Windows Vista/7でドライバのデジタル署名制限を無効化する方法その2
• その機器がUEFIに対応していない場合、「セキュアブート無効」に加え「CSM有効」で使います。
  
  • ドライバがUEFIに対応していないケースも同様に CSM有効にします。

29.「セキュアブート」と「スマートスクリーン」について

どちらもドライバなどのデジタル署名をチェックする機能がありますが、異なる機能です。
セキュアブート ･････ マザーボード(UEFI)の機能 (Windows上でも機能する)
スマートスクリーン ･･･ Windowsの機能

署名のないドライバをインストールしたい場合、両方とも無効にする必要があります。

その他の注意事項

30. Windows 7/Vista 時代のマザーボードを使っている場合

ここまでのお話が全て台無しになりそうなお話ですが、7/Vista 時代のマザーボードの中には、これらのルールが当てはまらない製品があります。

• UEFIの「工場出荷時の状態に戻す」の設定は信用しない。
• Windows 8登場以前 (UEFIに完全対応する前) の製品は、CSM 有効が前提条件になっていたり、その状態でFast Boot や セキュアブートも有効になっていたりと、意外といい加減な設定になるケースがある。
• CMOSクリア時にデバイスの自動判別機能があっても間違った設定が行われるケースもある。
• ビデオカード (PCIeスロット) だけ 別途CSM設定を行うことで安定する場合もあります。

まとめ

GPT形式で Windows 10/8.1をインストールしている場合、マザーボードの設定は以下のいずれかでWindowsを運用します。

1. CSM 無効 ／ セキュアブート任意 ／ Fast Boot 任意
   マザーボード･周辺機器すべてが UEFI と Windows 8 以降に対応している場合はこれでOK。これが基本。
2. CSM 有効 ／ セキュアブート無効 ／ Fast Boot 無効
   マザーボード･周辺機器の中で何か一つでも UEFI または Windows 8 以降に未対応なパーツがある場合は、これで運用する。

これ以外の組み合わせはダメです。
問題が出ないPCもあるけれど、避けた方が無難です。

参考: メーカー別マザーボードの UEFIの設定画面

以下、ASUS、AsRock、Intel 3社のUEFIマザーの起動画面です。
※Intelの画面は、メーカー製PCでよく使われるExpress(簡易版)のUEFI

UEFI画面を起動する手順

• Windows 10でUEFI (BIOS) 画面を起動する手順
  
• Windows 10でF2キーやDELキーでUEFI (BIOS) 画面を起動する手順

ASUS マザーの場合

ASUS マザー (P9X79 Deluxeのもの)

▲クリックで拡大
CSM、セキュアブート、Fast Boot、いずれも Bootタブで設定します。

Fast Bootの設定を有効にした場合

▲クリックで拡大
このような詳細項目が現れる。
SATA や USB の初期化省略を選択的に指定できます。
Windows7 時代のやや古いマザーなためか、この辺を微調整すると Windows 10 でも CSM有効 + Fast Boot 有効でも何とか動くケースが出てきます。

CSM の設定

▲クリックで拡大

• ブートデバイス(DVDなど)、ストレージデバイス(HDD/SSD)、PCIeスロット、これらのCSM設定が別個に設定できます。
• Windows7 時代のやや古いマザーなためか、結構アバウトな設定でも Windows 10/8.1が動いてくれる場合もあります。
• ただし、設定を間違えたり古いドライバを使ったりすると起動時間が2倍くらい長くなります。
  
  • サイト内参考
    我が家のWindows10マシン、OS起動速度がいきなり約2倍になる (追記:その後更に早くなる)
• また、NVIDIAのビデオカードを使う場合は結構シビアで、設定を間違えると画面が真っ黒になりPCが起動しないケースも出てきます。
  
  • サイト内参考
    GTX1070 + P9X79 Deluxe + Windows10 のビデオカード交換手順

AsRockマザーの場合

AsRockマザー (Fatal1ty Z87 Killer)

▲クリックで拡大
セキュアブートの設定項目は「セキュリティ」タブの中にあります。

CSMとFast Bootの設定

▲クリックで拡大
CSMとFast Bootの設定は「Boot」タブの中にあります。

CSMとFast Bootの設定 その2 (PCIe)

▲クリックで拡大
PCIeスロットのCSM設定は別に行います。
Windows 8.1以降のマザーなためか、この設定はシビアです。
OSが GPTかMBRか、マザー側 (一つ前の画面)のCSMが有効か無効か、ビデオカードがUEFIに対応しているかどうかで、ここの設定も変わってきます。
Windows 8.1/10 でここを間違えると、PC起動時に モニタが真っ黒になります。

intel マザー (メーカー製PC) の場合

以下はメーカー製PCでよく使われる、intel の Express版、つまり簡易的なUEFIの設定画面です。

intel マザー (HM86 Express)

▲クリックで拡大
セキュアブートは「セキュリティ」タブにあります。
設定変更するには、管理者用パスワードの設定も必要です。

CSMとFast Bootの設定

▲クリックで拡大
この2つの設定項目は「詳細」タブにあります。
CSMは「互換性サポートモジュール」という日本語名になっています。
「高速起動」を有効にするとCSMはグレーアウトします。
この2つは同時に有効にできなくなっています。
メーカーや機種によっては、「互換性サポートモジュール」は有効にできなくしてあるケースもあるようです。

このページの情報は以上です。

あとがき

Windows7 を Windows 10 にアップグレードしたら不具合だらけになったとか、Windows 10 をクリーンインストールしても正常に作動してくれない、というケースでは、このページ内のいずれかの設定が正しくない場合が多々あります。

「PCを買ってから設定を変更した覚えはない」という場合でも、このページを読んだ後、自分のPCの設定を確認してみましょう。