UEFI環境でCSMとセキュアブートの設定はやはり気を付けた方がよかった

2017年8月6日
2022年3月22日
Windowsシステム, PCシステム・ハードウェア関連, PCトラブル
326413View

Windows 11 の動作要件にある「UEFI、セキュアブート」についても、こちらの記事にて似た対処が可能です。ご参考なりましたら幸いです。

UEFIマザーボードの設定にある「CSM」と「セキュアブート」、これらは同時に有効化してはいけません。

昔から色々なところで言われていたことですが、Windows を UEFI (GPT) 形式でインストールしたらマザーボードのこれら設定は見直したほうが良いですね。私も不具合が発生しました。

設定は以下のようにすることが推奨されます。

CSM	無効
Secure Boot	有効・無効どちらでもOK

または

CSM	有効
Secure Boot	必ず無効にする

UEFIのアップデートを行ったら「CSM」も「セキュアブート」も有効になってしまいWindowsの起動不良に陥りました。設定を上記のように変更したら直ったので、その変更方法を備忘録として書いておきます。

1 UEFI について
- - 1.0.1 【追記】最近は再インストールしなくても変更できる模様
2 CSM について
- - 2.0.1 【2018/12/26 追記】2020年までにCSMは廃止予定
3 セキュアブートについて
- - 3.0.1 【2022年3月22日修正】Windows 11 の動作要件に「UEFI」「セキュアブート」「TPM2.0」の対応
4 CSMとセキュアブートは同時に有効化してはいけない
5 ASUSマザーボードでの設定方法
6 まとめ
- - 6.0.1 参考サイト

UEFI について

Unified Extensible Firmware Interface【UEFI】とは、従来のBIOSに代わるソフトウェアインタフェースの仕様です。

従来のBIOSよりも機能が拡張されており、「高速なシステムの起動」「より拡張されたディスク管理形式であるGPT形式の利用」「2TiB以上のディスクからのブート」「セキュアブートなどの利用」が可能になっています。特に大容量のディスクからOSが起動できるようになったのが最大のメリットと考える方もい多いでしょう。2TiB以上の記憶装置も珍しくなくない時代ですから。

UEFIでのブートに対応したOSを「UEFIモード」でインストールすることで、UEFIによるOSの起動ができるようになり、上記のメリットを活かせるようになります。ただ、64bit版Windowsであることがほぼ必須です。32bit版WindowsではUEFIモード（GPT形式へ）のインストールができません。

従来の方式である「レガシーBIOSモード」でインストールされている場合は、UEFIモードでOSを再インストールする必要があります。

UEFI ファームウェア
https://msdn.microsoft.com/ja-jp/library/hh824898.aspx

[Windows] UEFI ブートか確認する
https://www.ipentec.com/document/document.aspx?page=windows-check-uefi-boot

Windows 10をUEFIモードでインストール | UEFI BIOSの設定とクリーンインストールの方法 | 普段使いのArch Linux
http://archlinux-blogger.blogspot.jp/2016/11/windows-10uefi-uefi-bios.html

About UEFI Forum | Unified Extensible Firmware Interface Forum （英語）
http://www.uefi.org/about

【追記】最近は再インストールしなくても変更できる模様

最近はWindowsの再インストールをしなくても、現環境のままレガシーからUEFIへ変更できるようです。

データ消失を伴わなずに Legacy から UEFI に Windows® インストールを変換する方法 - Intel
https://www.intel.co.jp/content/www/jp/ja/support/articles/000024558/memory-and-storage/intel-optane-memory.html

上記IntelのサイトではWindows 10 Creators Update x64以降に搭載されている「MBR2GPT.exe」を用いて変換しています。また、他のサードパーティー製の変換ツールもあるようです。

システムの根底を操作するため、このツールによる不具合も考えられます。バックアップはしっかり行いたいところですが、再インストールの手間が省ける可能性があるのならば試してみるのもよいかと思います。

CSM について

Compatibility Supported Module【CSM】と呼ばれるシステムは、従来のBIOSをエミュレートして互換性を保つための仕組みです。

UEFIを実装している殆どのマザーボードで内蔵されているシステムで、これが有効になっていると従来のBIOS（レガシーBIOS）を通しての起動が可能になります。例えば、32bit版の Windows Vista や Windows 7 などの " レガシーなOS " をインストールできたり、また古いドライバや周辺機器との互換性が高くなります。

上記のような古い資産を運用したい場合はCSMを有効にすることで動作することが期待できます。

ただ、そこまで古いものを利用していないという場合であれば通常お世話になることは少なく、さらにUEFIブートをしているのであれば後述する「セキュアブート」との関係より「無効」が推奨されます。

Intel Platform Innovation Framework for EFI - Wikipedia
https://ja.wikipedia.org/wiki/Unified Extensible Firmware Interface

【2018/12/26 追記】2020年までにCSMは廃止予定

Intelは、BIOS互換である「CSM」を2020年までに削除する予定のようです。

2020年までにUEFIからBIOS互換を削除　Intel - ITmedia PC USER
http://www.itmedia.co.jp/pcuser/articles/1711/20/news120.html

2020年、ついにIntelのx86でDOSが動作しなくなる～UEFIからレガシーBIOS互換を削除 - PC Watch
https://pc.watch.impress.co.jp/docs/news/1092273.html

そろそろ古いプログラムは動かすのが難しくなりつつあります。廃止予定といっても今までのパソコンからいきなりCSMが無くなるわけではないですから、急に動かなくなることはないでしょうが、頃合いを見てそういったプログラムに頼らない環境に移行する必要がありそうですね。

セキュアブートについて

セキュアブート【Secure Boot】とは、OSが起動する前に改ざんされていないかどうかをチェックするセキュリティ機能です。

UEFIで規定されているプロトコルの一つで、UEFIファームウェア内に保存されている「鍵」を使って、OSのブートローダやカーネルなどを検証、不正があれば実行を拒否できるシステムです。起動時のデジタル署名をチェックし、著名があるソフトウェアのみ実行します。

例えば、OS起動前にマルウェアなどを実行されてしまい感染を許してしまったり、不正なOSが読み込まれるのを防ぐことができます。

セキュリティの向上が見込めますが、反面意図的にLinuxなど別のOSのブートや、デジタル著名のないソフトウェアの実行、パーツの交換などを行うとOSの実行を拒否されることがあります。その場合は一時的にセキュアブートを無効化する必要があります。

また、CSMが有効になっている場合はセキュアブートを「無効」にすることが推奨されています。両方共有効になっているとWindowsの起動がうまくいかなかったり、動作が非常に不安定になります。CSMが無効の場合、セキュアブートは有効・無効どちらでもよいみたいです。

セキュアブートの概要
https://msdn.microsoft.com/ja-jp/library/hh824987.aspx

セキュアブートの無効化 - Windows 10 hardware dev
https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn898540(v=vs.85).aspx

【2022年3月22日修正】Windows 11 の動作要件に「UEFI」「セキュアブート」「TPM2.0」の対応

新しく発表がされた Windows 11 のシステム要件に「UEFI」「セキュアブート」「TPM2.0」の対応が書かれています。これまでのWindowsより動作条件は少々厳しくなっており、割と最近のPCだったとしても要件に合致しないもの（特にTPM2.0の対応が難しい）が多くでてきそうです。

Windows 11 のシステム要件、機能、デバイスの要件について
https://www.microsoft.com/ja-jp/windows/windows-11-specifications

CSMとセキュアブートは同時に有効化してはいけない

CSMとセキュアブートを同時に有効化してしまうと、最悪Windowsが起動しなくなります。

下記のMSDNのページにも2つとも有効にしないようにと明記されています。

UEFI Firmware - MSDN
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-8.1-and-8/hh824898(v=win.10)?redirectedfrom=MSDN

Compatibility with legacy BIOS. Some UEFI-based PCs contain a Compatibility Support Module (CSM) that emulates earlier BIOS, providing more flexibility and compatibility for end users. To use the CSM, Secure Boot must be disabled.

【和訳】レガシーBIOSとの互換性。一部のUEFIベースのPCには、以前のBIOSをエミュレートする互換性サポートモジュール（CSM）が含まれており、エンドユーザーにより多くの柔軟性と互換性を提供します。CSMを使用するには、セキュアブートを無効にする必要があります。

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-8.1-and-8/hh824898(v=win.10)?redirectedfrom=MSDN より引用

なので、CSMとセキュアブートは以下の組みあせで設定する必要があります。

CSM	無効
Secure Boot	有効・無効どちらでもOK

または

CSM	有効
Secure Boot	必ず無効にする

私はWindowsをUEFIインストールした後、UEFIのアップデートも実行していました。その際にどうやら「CSM」「セキュアブート」どちらも有効になってしまったようで、気付かずそのまま続行してしまいました。

UEFIのアップデート後、Windowsは起動できますが非常に不安定でとてもではありませんがOSを操作できる状態ではありません。ということで、ここらの設定を見直してみたらあっさり直りました。

Windows 8がでてきた辺りからこの問題は広く認知されてきたので、この話自体は小耳に挟んでいました。それをすぐに思い出せたので解決自体は早かったですが、一応設定方法を書いておこうと思ったため記事にしました。

ASUSマザーボードでの設定方法

本記事ではASUS製マザーボードの「ROG STRIX Z690-F GAMING WIFI」での設定方法を紹介します。

※CSMは削除の予定となっていましたが、取りあえず2021年11月発売のこのマザーボードではCSMの項目はまだあるようです。Windows 11のAlder Lake搭載PCで有効化した場合、どのような動作をするかは未検証です。

※記事のアップデートをしたためマザーボードが以前（ASUS STRIX Z270F GAMING）と変わっていますが操作はほとんど同じです。

ROG STRIX Z690-F GAMING WIFI | マザーボード | ROG JAPAN
https://rog.asus.com/jp/motherboards/rog-strix/rog-strix-z690-f-gaming-wifi-model/

今回はASUSマザーボードで解説していますが、CSMとセキュアブートの設定はUEFI対応であれば、どのマザーボードであってもどこかに設定できる場所があるはずです。説明書にも記載はあると思いますし、この記事での説明ともそう離れてないはずなので参考になれば。

ただ、Surfaceなどの既製品・メーカー製PCではどうなっているか不明。CSM・セキュアブートともに設定の変更ができないものもあるかも。そこはメーカーさんに聞いてみてください。

※画像は日本語表記のものです。括弧内は英語表記だった場合の項目名です。

PCが起動しロゴが表示されたらすかさず「F2」キーを連打。

UEFI BIOS Utilityが開けたら、右下の「詳細設定モード（英：Advanced Mode）」を選択。

「詳細設定モード（Advanced Mode）」に移行します。
「起動（英：Boot）」タブの画面に入り、「CSM（英：Compatibility Support Module）」を選択します。

「起動（Boot）」タブを開き、「CSM」を選択します。
「CSMの起動（英：Launch CSM）」を開き、「Enabled」「Disabled」のいずれかを選択します。有効化したいときは「Enabled」、無効化したいときは「Disabled」です。

「CSMの起動」設定画面。無効化したい場合は「Disabled」にしてください。
「起動（英：Boot）」タブの画面に戻って「セキュアブートメニュー（英：Secure Boot）」を選択します。

ここで現在のセキュアブートの状態と、OSタイプを選択できます。

「OSタイプ（英：OS Type）」が「UEFI モード（英：Windows UEFI mode）」だとセキュアブートが有効になります。「非 UEFI モード（英：Other OS）」にするとセキュアブートが無効になります。

●非 UEFI モード　→　セキュアブート無効
●UEFI モード　→　セキュアブート有効

「セキュアブートメニュー」の設定画面。セキュアブートを有効化したい場合は「UEFI モード（Windows UEFI mode）」にします。

まとめ

以上、CSMとセキュアブートの簡単なお話と推奨設定について書きました。

私の現PC環境（2022年3月）は、Windows 11 Pro 64bit版でUEFIインストールしてあるため、CSMは無効でセキュアブートは有効という設定になっています。そうしないとWindows 11の動作条件を満たさないため、Windows 11を利用する場合は必須の設定になります。

因みに「Fast Boot」という機能もありますが、こちらは現在当方では無効にしています。こちらもCSMが有効ならばFast Bootは無効にしたほうがよいみたいですね。Windowsの機能である「高速スタートアップ」も無効にしています。

古いソフトウェアがある場合はCSMの有効化も役立ちますが、そこまで古い資産がない場合はCSMは無効化してセキュアブートを有効化した方がセキュリティは強くなると思います。新しいPCを買ったり組んだ場合は、一度ここらの設定は確認したほうがよいでしょう。正しく設定されていないと起動障害に陥りやすいです。

参考サイト

UEFIやセキュアブートの勘違いしやすい設定30個まとめ - ぼくんちのTV 別館
http://freesoft.tvbok.com/tips/efi_installation/uefi_28_important.html

ASUS Z170 PRO GAMING BIOS設定 1/2 ― 項目説明 - ふらっと気の向くままに
http://datyotosanpo.blog.fc2.com/blog-entry-97.html

▼ 更新履歴

2022年3月22日：Windows 11の動作要件について少し修正
2022年3月17日：操作するマザーボードを新しいものへ変更、書き換え
2021年6月26日：Windows 11の動作要件について追記
2018年12月26日：CSMは今後廃止予定である旨の追記
2018年8月21日：OSの再インストールをしなくてもレガシーからUEFIへ変更できる情報を追記
2017年8月6日：初出

前の記事

2017年7月29日
Windows 10 のコマンドプロンプトとWindows PowerShellの起動方法
次の記事

2018年8月20日
ブログを全面リニューアルしました

▼ コメント欄（クリックで展開）