UEFIマザーボードの設定にある「CSM」と「セキュアブート」、これらは同時に有効化してはいけません。
昔から色々なところで言われていたことですが、Windows を UEFI (GPT) 形式でインストールしたらマザーボードのこれら設定は見直したほうが良いですね。私も不具合が発生しました。
設定は以下のようにすることが推奨されます。
| CSM | 無効 |
| Secure Boot | 有効・無効どちらでもOK |
または
| CSM | 有効 |
| Secure Boot | 必ず無効にする |
UEFIのアップデートを行ったら「CSM」も「セキュアブート」も有効になってしまいWindowsの起動不良に陥りました。設定を上記のように変更したら直ったので、その変更方法を備忘録として書いておきます。
UEFI について
Unified Extensible Firmware Interface【UEFI】とは、従来のBIOSに代わるソフトウェアインタフェースの仕様です。
従来のBIOSよりも機能が拡張されており、「高速なシステムの起動」「より拡張されたディスク管理形式であるGPT形式の利用」「2TiB以上のディスクからのブート」「セキュアブートなどの利用」が可能になっています。特に大容量のディスクからOSが起動できるようになったのが最大のメリットと考える方もい多いでしょう。2TiB以上の記憶装置も珍しくなくない時代ですから。
UEFIでのブートに対応したOSを「UEFIモード」でインストールすることで、UEFIによるOSの起動ができるようになり、上記のメリットを活かせるようになります。ただ、64bit版Windowsであることがほぼ必須です。32bit版WindowsではUEFIモード(GPT形式へ)のインストールができません。
従来の方式である「レガシーBIOSモード」でインストールされている場合は、UEFIモードでOSを再インストールする必要があります。
【追記】最近は再インストールしなくても変更できる模様
最近はWindowsの再インストールをしなくても、現環境のままレガシーからUEFIへ変更できるようです。
上記IntelのサイトではWindows 10 Creators Update x64以降に搭載されている「MBR2GPT.exe」を用いて変換しています。また、他のサードパーティー製の変換ツールもあるようです。
システムの根底を操作するため、このツールによる不具合も考えられます。バックアップはしっかり行いたいところですが、再インストールの手間が省ける可能性があるのならば試してみるのもよいかと思います。
CSM について
Compatibility Supported Module【CSM】と呼ばれるシステムは、従来のBIOSをエミュレートして互換性を保つための仕組みです。
UEFIを実装している殆どのマザーボードで内蔵されているシステムで、これが有効になっていると従来のBIOS(レガシーBIOS)を通しての起動が可能になります。例えば、32bit版の Windows Vista や Windows 7 などの ” レガシーなOS ” をインストールできたり、また古いドライバや周辺機器との互換性が高くなります。
上記のような古い資産を運用したい場合はCSMを有効にすることで動作することが期待できます。
ただ、そこまで古いものを利用していないという場合であれば通常お世話になることは少なく、さらにUEFIブートをしているのであれば後述する「セキュアブート」との関係より「無効」が推奨されます。
【2018/12/26 追記】2020年までにCSMは廃止予定
Intelは、BIOS互換である「CSM」を2020年までに削除する予定のようです。
そろそろ古いプログラムは動かすのが難しくなりつつあります。廃止予定といっても今までのパソコンからいきなりCSMが無くなるわけではないですから、急に動かなくなることはないでしょうが、頃合いを見てそういったプログラムに頼らない環境に移行する必要がありそうですね。
セキュアブート について
セキュアブート【Secure Boot】とは、OSが起動する前に改ざんされていないかどうかをチェックするセキュリティ機能です。
UEFIで規定されているプロトコルの一つで、UEFIファームウェア内に保存されている「鍵」を使って、OSのブートローダやカーネルなどを検証、不正があれば実行を拒否できるシステムです。起動時のデジタル署名をチェックし、著名があるソフトウェアのみ実行します。
例えば、OS起動前にマルウェアなどを実行されてしまい感染を許してしまったり、不正なOSが読み込まれるのを防ぐことができます。
セキュリティの向上が見込めますが、反面意図的にLinuxなど別のOSのブートや、デジタル著名のないソフトウェアの実行、パーツの交換などを行うとOSの実行を拒否されることがあります。その場合は一時的にセキュアブートを無効化する必要があります。
また、CSMが有効になっている場合はセキュアブートを「無効」にすることが推奨されています。両方共有効になっているとWindowsの起動がうまくいかなかったり、動作が非常に不安定になります。CSMが無効の場合、セキュアブートは有効・無効どちらでもよいみたいです。
【2022年3月22日 修正】Windows 11 の動作要件に「UEFI」「セキュアブート」「TPM2.0」の対応
新しく発表がされた Windows 11 のシステム要件に「UEFI」「セキュアブート」「TPM2.0」の対応が書かれています。これまでのWindowsより動作条件は少々厳しくなっており、割と最近のPCだったとしても要件に合致しないもの(特にTPM2.0の対応が難しい)が多くでてきそうです。
CSMとセキュアブートは同時に有効化してはいけない
CSMとセキュアブートを同時に有効化してしまうと、最悪Windowsが起動しなくなります。
下記のMSDNのページにも2つとも有効にしないようにと明記されています。
Compatibility with legacy BIOS. Some UEFI-based PCs contain a Compatibility Support Module (CSM) that emulates earlier BIOS, providing more flexibility and compatibility for end users. To use the CSM, Secure Boot must be disabled.
【和訳】レガシーBIOSとの互換性。一部のUEFIベースのPCには、以前のBIOSをエミュレートする互換性サポートモジュール(CSM)が含まれており、エンドユーザーにより多くの柔軟性と互換性を提供します。CSMを使用するには、セキュアブートを無効にする必要があります。
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-8.1-and-8/hh824898(v=win.10)?redirectedfrom=MSDN
なので、CSMとセキュアブートは以下の組みあせで設定する必要があります。
| CSM | 無効 |
| Secure Boot | 有効・無効どちらでもOK |
または
| CSM | 有効 |
| Secure Boot | 必ず無効にする |
私はWindowsをUEFIインストールした後、UEFIのアップデートも実行していました。その際にどうやら「CSM」「セキュアブート」どちらも有効になってしまったようで、気付かずそのまま続行してしまいました。
UEFIのアップデート後、Windowsは起動できますが非常に不安定でとてもではありませんがOSを操作できる状態ではありません。ということで、ここらの設定を見直してみたらあっさり直りました。
Windows 8がでてきた辺りからこの問題は広く認知されてきたので、この話自体は小耳に挟んでいました。それをすぐに思い出せたので解決自体は早かったですが、一応設定方法を書いておこうと思ったため記事にしました。
ASUSマザーボードでの設定方法
本記事ではASUS製マザーボードの「ROG STRIX Z690-F GAMING WIFI」での設定方法を紹介します。
※CSMは削除の予定となっていましたが、取りあえず2021年11月発売のこのマザーボードではCSMの項目はまだあるようです。Windows 11のAlder Lake搭載PCで有効化した場合、どのような動作をするかは未検証です。
※記事のアップデートをしたためマザーボードが以前(ASUS STRIX Z270F GAMING)と変わっていますが操作はほとんど同じです。
今回はASUSマザーボードで解説していますが、CSMとセキュアブートの設定はUEFI対応であれば、どのマザーボードであってもどこかに設定できる場所があるはずです。説明書にも記載はあると思いますし、この記事での説明ともそう離れてないはずなので参考になれば。
ただ、Surfaceなどの既製品・メーカー製PCではどうなっているか不明。CSM・セキュアブートともに設定の変更ができないものもあるかも。そこはメーカーさんに聞いてみてください。
※画像は日本語表記のものです。括弧内は英語表記だった場合の項目名です。
PCが起動しロゴが表示されたらすかさず「F2」キーを連打。
UEFI BIOS Utilityが開けたら、右下の「詳細設定モード(英:Advanced Mode)」 を選択。
「起動(英:Boot)」 タブの画面に入り、「CSM(英:Compatibility Support Module)」 を選択します。
「CSMの起動(英:Launch CSM)」を開き、「Enabled」「Disabled」のいずれかを選択します。有効化したいときは「Enabled」、無効化したいときは「Disabled」です。
「起動(英:Boot)」タブの画面に戻って 「セキュアブートメニュー(英:Secure Boot)」を選択します。
ここで現在のセキュアブートの状態と、OSタイプを選択できます。
「OSタイプ(英:OS Type)」が「UEFI モード(英:Windows UEFI mode)」だとセキュアブートが有効になります。「非 UEFI モード(英:Other OS)」にするとセキュアブートが無効になります。
- 非 UEFI モード → セキュアブート無効
- UEFI モード → セキュアブート有効
まとめ
以上、CSMとセキュアブートの簡単なお話と推奨設定について書きました。
私の現PC環境(2022年3月)は、Windows 11 Pro 64bit版でUEFIインストールしてあるため、CSMは無効でセキュアブートは有効という設定になっています。そうしないとWindows 11の動作条件を満たさないため、Windows 11を利用する場合は必須の設定になります。
因みに「Fast Boot」という機能もありますが、こちらは現在当方では無効にしています。こちらもCSMが有効ならばFast Bootは無効にしたほうがよいみたいですね。Windowsの機能である「高速スタートアップ」も無効にしています。
古いソフトウェアがある場合はCSMの有効化も役立ちますが、そこまで古い資産がない場合はCSMは無効化してセキュアブートを有効化した方がセキュリティは強くなると思います。新しいPCを買ったり組んだ場合は、一度ここらの設定は確認したほうがよいでしょう。正しく設定されていないと起動障害に陥りやすいです。
- 2017年8月6日:初出
- 2018年8月21日:OSの再インストールをしなくてもレガシーからUEFIへ変更できる情報を追記
- 2018年12月26日:CSMは今後廃止予定である旨の追記
- 2021年6月26日:Windows 11の動作要件について追記
- 2022年3月17日:操作するマザーボードを新しいものへ変更、書き換え
- 2022年3月22日:Windows 11の動作要件について少し修正
コメント
コメント欄を開く
コメント一覧 (4件)
[…] OS,CPU,memory,BIOSは、検索画面に「システム情報」と入れて確認できる。BIOSは、「BIOSモード」を確認する。「BIOSモード」欄がなければregacyと思って良いだろう。「BIOSモード」がUEFIなら、CSM:無効,secure boot:有効 にする。 参考:環境確認方法, UEFIのときの対応UEFIについてはこちら […]
[…] OS,CPU,memory,BIOSは、検索画面に「システム情報」と入れて確認できる。BIOSは、「BIOSモード」を確認する。「BIOSモード」欄がなければregacyと思って良いだろう。「BIOSモード」がUEFIなら、CSM:無効,secure boot:有効 にする。 参考:環境確認方法, UEFIのときの対応UEFIについてはこちら […]
>CSMとセキュアブートは同時に有効化してはいけない
とありますが、多分ひとによっては同時に有効もしくは有効にする必要があるかもしれません。
Windows11へのアップデート要件チェックでTPM2.0とセキュアブート有効化をしていたのですが、セキュアブートかMBRではなくGPTじゃないといけないということで「MBR2GPT」コマンドでGPTに変換
その後にUEFIでセキュアブート有効化、CSM無効化、TPM2.0の有効化を実施。
起動後にマザーボードメーカーのロゴの画面で異常を知らせるビープ音発生、その後通常の起動成功のビープ音がなりWindows10が正常に起動、動作に異常は無しで、Windows11の要件チェックでもセキュアブートとTPM2.0が満たしてる事を確認。
その後再度UEFIを確認すると無効化したはずのCSMが強制的に有効化されてました。
再度UEFIでCSMを無効化すると、起動時のマザーボードメーカーの
ロゴの画面で異常を知らせるビープ音がなり、その後正常起動時のビープ音がなってWindowsが正常に立ち上がりますが、やはり無効化したCSMは強制的に有効化されてました。
調べるとどうやら接続してるデバイスやモニターによってはCSM無効化にすると異常を知らせるビープ音が発生するらしく、CSM有効化しないと起動時に毎回ビープ音が鳴るとの事。
また、使用環境によってはCSM無効化しても
起動時に毎回ビープ音が鳴るとの事。
また、使用環境によっては私のようにCSM無効化してもビープ音発生すると強制的に有効化されるため、セキュアブート有効化とCSM有効化を同時に強制的になるパターンもあるようです。
一応セキュアブート有効化とCSM有効化を同時にする事でWindows11の要件を満たし、起動時のマザーボードメーカーのロゴ画面で発生するビープ音も鳴らないって感じです。
コメントありがとうございました。
環境によっては同時有効が効果的な場面があること、貴重な情報かと思います。
Microsoftの公式では同時有効化は非推奨ですが、マザーボードメーカー側での推奨設定がある感じでしょうか。
古いデバイスを使用する場合にはCSMが有効化されていないとドライバ等の互換性が悪くなるようですので、恐らくこれが原因でCSMを無効化しようとすると
マザーボード側で警告されるのかと思います。
Windows11の動作要件にCSMの事は書かれていないようなので、恐らくCSMは関係なくセキュアブートとTPMが有効化されていれば一旦はチェックが通るのかと思います。
それでWindows 11にアップグレードした際に正常動作するかどうかの判断は私からは申し上げられませんが、マザーボードと周辺機器の組み合わせによっては
同時有効もやむを得ない状況があるとのこと、情報のご提供としてコメントいただきありがとうございました。