初めてセキュアブートを設定するのは少し戸惑うかもしれません。なかでも、ファームウェアに該当の設定が見つからなかったり、レガシーBIOSモードになっていてUEFIモードに切り替わっていなかったりすると、壁にぶつかることもあります。メーカーによってはUEFIの設定項目を隠したりロックしたりしているケースもあり、ちょっと手間取ることも。ですが、一度有効にすれば、マルウェアの起動防止や信頼できるOSコンポーネントだけを動かすことを確実にするなど、セキュリティ強化には非常に効果的です。
大抵の場合、セキュアブートを有効にするにはPCを再起動してUEFIファームウェアの設定画面に入る必要があります。ただし、そのキーがPCのブランドによって異なり、F2、Delete、F12、Esc、またはその組み合わせだったりします。起動直後、Windowsが起動する前に該当キーを押さなければならず、何度も押す必要がある場合もあります。設定画面に入ったら、「ブート」セクションを探し、セキュアブートを「有効」に切り替えましょう。その後、F10を押すか「保存して終了」を選んで設定を保存すれば完了です。Microsoftはやや手順を複雑にしている印象です。
もしこれでうまくいかない場合は、マザーボードのファームウェアやBIOSの更新を試してみてください。新しいバージョンではセキュアブートの設定が表示されることもあります。また、システムがレガシーモードでなくUEFIモードで動いているかどうかも再確認しましょう。セキュアブートはUEFIモードでないと有効になりません。設定は「設定 > 更新とセキュリティ > 回復 > 高度な起動」から「今すぐ再起動」を選び、「UEFIファームウェア設定」に入るのが一般的です。なお、一部のシステムではレガシーモードにしているとセキュアブートが非表示になったり無効になったりするため、その場合はまずUEFIモードに切り替える必要があります。
もう一つのよくあるトラブルは、セキュアブートが表示されない場合です。そのときは、ファームウェアの設定で「Compatibility Support Module(CSM)」やレガシーサポートを無効にしてみてください。また、メーカーの公式サイトからファームウェアを最新にアップデートすると、互換性が向上したり、セキュアブートのオプションが解放されたりすることもあります。特に、TPM(トラステッド・プラットフォーム・モジュール)をBIOSで有効にしておく必要がある場合もあります。
ちなみに、これらを行った結果、古いハードウェアドライバーや特定のLinuxディストリビューションなど、一部ソフトウェアが正常に起動しなくなるケースもあります。これはセキュアブートの署名が必要なためです。ただし、Windowsユーザーにとっては、セキュリティを高める価値は十分にあります。
まとめると、セキュアブートの有効化はちょっと手間がかかることもありますが、 malwareやランサムウェアの進化を考えると、やっておいて損はありません。少し設定をいじったり、ファームウェアをアップデートしたりする作業も必要になるかもしれませんが、その価値は十分にあります。最終的には、システムの安全性を高める最良の方法の一つです。