UEFI環境でCSMとセキュアブートの設定はやはり気を付けた方がよかった

UEFIマザーボードの設定にある「CSM」と「セキュアブート」、これらは同時に有効にしてはいけません。

昔から色々なところで言われていたことですが、Windows を UEFI (GPT) 形式でインストールしたらマザーボードのこれら設定は見直したほうが良いですね。私も不具合が発生しました。

設定は以下のようにすることが推奨されます。

CSM 無効
Secure Boot 有効・無効どちらでも

または

CSM 有効
Secure Boot 必ず無効にする

私のPC環境はWindows 10 ProでUEFIモードでインストールされていますが、UEFIのアップデートを行ったら「CSM」も「セキュアブート」も有効になってしまいWindowsの起動不良に陥りました。設定を上記のように変更したら直ったので、その変更方法を備忘録として書いておきます。


UEFI

Unified Extensible Firmware Interface【UEFI】とは、従来のBIOSに代わるソフトウェアインタフェースの仕様です。

従来のBIOSよりも機能が拡張されており、「高速なシステムの起動」「より拡張されたディスク管理形式であるGPT形式の利用」「2TiB以上のディスクからのブート」「セキュアブートなどの利用」が可能になっています。特に大容量のディスクからOSが起動できるようになったのが最大のメリットと考える方もい多いでしょう。2TiB以上の記憶装置も珍しくなくない時代ですから。

UEFIでのブートに対応したOSを「UEFIモード」でインストールすることで、UEFIによるOSの起動ができるようになり、上記のメリットを活かせるようになります。ただ、64bit版Windowsであることがほぼ必須です。32bit版WindowsではUEFIモード(GPT形式へ)のインストールができません。

従来の方式である「レガシーBIOSモード」でインストールされている場合は、UEFIモードでOSを再インストールする必要があります。

CSM

Compatibility Supported Module【CSM】と呼ばれるシステムは、従来のBIOSをエミュレートして互換性を保つための仕組みです。

UEFIを実装している殆どのマザーボードで内蔵されているシステムで、これが有効になっていると従来のBIOS(レガシーBIOS)を通しての起動が可能になります。例えば、32bit版の Windows Vista や Windows 7 などの " レガシーなOS " をインストールできたり、また古いドライバや周辺機器との互換性が高くなります。

上記のような古い資産を運用したい場合はCSMを有効にすることで動作することが期待できます。

ただ、そこまで古いものを利用していないという場合であれば通常お世話になることは少なく、さらにUEFIブートをしているのであれば後述する「セキュアブート」との関係より「無効」が推奨されます。

セキュアブート

セキュアブート【Secure Boot】とは、OSが起動する前に改ざんされていないかどうかをチェックするセキュリティ機能です。

UEFIで規定されているプロトコルの一つで、UEFIファームウェア内に保存されている「鍵」を使って、OSのブートローダやカーネルなどを検証、不正があれば実行を拒否できるシステムです。起動時のデジタル署名をチェックし、著名があるソフトウェアのみ実行します。

例えば、OS起動前にマルウェアなどを実行されてしまい感染を許してしまったり、不正なOSが読み込まれるのを防ぐことができます。

セキュリティの向上が見込めますが、反面意図的にLinuxなど別のOSをブートしようとしたり、デジタル著名のないソフトウェアを実行しようとしたり、パーツを交換したりすると実行を拒否されることもあります。その場合は一時的にセキュアブートを無効化する必要があります。

また、CSMが有効になっている場合はセキュアブートを「無効」にすることが推奨されています。両方共有効になっているとWindowsの起動がうまくいかなかったり、動作が非常に不安定になります。CSMが無効の場合、セキュアブートは有効・無効どちらでもよいみたいです。

CSMとセキュアブートは同時に有効化してはいけない

CSMとセキュアブートを同時に有効化してしまうと、最悪Windowsが起動しなくなります。

下記のMSDNのページにも2つとも有効にしないようにと明記されています。

一部の UEFI ベースの PC には、以前の BIOS をエミュレートする互換性サポート モジュール (CSM) が含まれており、エンド ユーザーにより高い柔軟性と互換性を提供しています。CSM を使うには、セキュア ブートを無効にする必要があります。

https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn938339%28v=vs.85%29.aspx より引用

なので、CSMとセキュアブートは以下の組みあせで設定する必要があります。

CSM 無効
Secure Boot 有効・無効どちらでも

または

CSM 有効
Secure Boot 必ず無効にする

私はWindowsをUEFIインストールした後、UEFIのアップデートも実行していました。その際にどうやら「CSM」「セキュアブート」どちらも有効になってしまったようで、気付かずそのまま続行してしまいました。(※因みに、今年1月ころ新しいPCを購入した少し後のお話)

UEFIのアップデート後、Windowsは起動できますが非常に不安定でとてもではありませんがOSを操作できる状態ではありません。ということで、ここらの設定を見直してみたらあっさり直りました。

Windows 8がでてきた辺りからこの問題は広く認知されてきたので、この話自体は小耳に挟んでいました。それをすぐに思い出せたので解決自体は早かったですが、一応設定方法を書いておこうと思ったため記事にしました。

ASUSマザーボードでの設定方法

本記事ではASUS製マザーボードの「ASUS STRIX Z270F GAMING」での設定方法を紹介します。

ただ、CSMとセキュアブートの設定はUEFI対応であれば、どのマザーボードであってもどこかに設定できる場所は必ずあります。説明書にも記載はあると思いますし、この記事での説明ともそう離れてないはずなので参考になれば。

ただ、メーカー製PCではどうなっているか不明。CSM・セキュアブートともに設定できないものもあるかも。そこはメーカーさんに聞いてみてください。

  1. PCが起動しロゴが表示されたらすかさず「F2」キーを連打。

    UEFI BIOS Utilityが開けたら、右下の「Advanced Mode(F7)」を選択。

    EZモード
    ▲クリックで拡大

  2. [起動(Boot)] タブの画面に入り、[起動/CSM] を選択します。

    [CSMの起動] から「無効」「有効」「自動」のいずれかを選択します。

    CSMの設定変更画面
    ▲クリックで拡大

  3. 同じく [起動(Boot)] タブの画面から [起動/セキュアブートメニュー] を選択します。

    現在のセキュアブートの状態と、OSタイプを選択できます。

    OSタイプが「UEFI モード(Windows UEFI mode)」だとセキュアブートが有効になります。「非 UEFI モード(Other OS)」にするとセキュアブートが無効になります。

    ●UEFI モード → セキュアブート有効
    ●非 UEFI モード → セキュアブート無効

    セキュアブートの設定変更画面
    ▲クリックで拡大

まとめ

以上、CSMとセキュアブートの簡単なお話と推奨設定について書きました。

私のPC環境は、Windows 10 Pro 64bit版でUEFIインストールしてあるため、CSMは無効でセキュアブートは有効という設定になっています。因みに「Fast Boot」という機能もありますが、こちらは現在当方では無効にしています。こちらもCSMが有効ならばFast Bootは無効にしたほうがよいみたいですね。Windowsの機能である「高速スタートアップ」も無効にしています。

古いソフトウェアがある場合はCSMの有効化も役立ちますが、そこまで古い資産がない場合はCSMは無効化してセキュアブートを有効化した方がセキュリティは強くなると思います。新しいPCを買ったり組んだ場合は、一度ここらの設定は確認したほうがよいでしょう。正しく設定されていないと起動障害に陥りやすいです。

参考サイト

スポンサーリンク

Track Back

Track Back URL

コメントする

非公開。必須ではありません。

(いくつかのHTMLタグ(a, strong, ul, ol, liなど)が使えます)

このページの上部へ

サイト内検索

広告

最近のコメント

Powered by Movable Type 6.3.2