Windows 11 へアップグレードする際や、セキュリティ強化のために、マルウェアの侵入を防ぐ「TPM 2.0」や「セキュアブート」の有効化が必要になる場面が増えています。
とはいえ、実際には
「そもそも TPM 2.0 って何?」
「どうやって設定するの?」
と戸惑ってしまう方がほとんどです。
※Windows11の要件で表示されることが多く、「PC正常性チェック」で指摘されて調べる方が増えています。
結論:TPMとSecure Bootは、BIOS(UEFI)設定で有効化できます。
ただし、機種によって項目名が異なるため、見つからない場合は以下の手順を順番に確認してください。
※本記事は最新のWindows 11仕様および各メーカーの情報をもとに随時更新しています。BIOS/UEFIの画面表示や項目名は機種によって異なる場合があります。
TPM 2.0とは?
TPM(Trusted Platform Module・トラステッド・プラットフォーム・モジュール)とは、パソコン内部のセキュリティ専用チップのことです。最近のPCでは、CPUやマザーボードに組み込まれた「ファームウェアTPM(fTPM)」として搭載されていることが多くなっています。
このセキュリティチップは、暗号化処理や Windows 起動時の整合性チェックに使われ、安全な環境を保つために重要な役割を果たします。BitLocker や Windows Hello などの機能も、TPM 2.0 を活用しています。
TPM 2.0 は TPM のバージョンの一つで、Windows 11 の動作要件にも含まれている世代です。
【補足】最近のパソコンでは、専用チップとしてのTPMだけでなく、CPU内に組み込まれた「ファームウェアTPM(Intel PTT / AMD fTPM)」が主流です。そのため「TPMがない」と思っていても、実際には設定で有効化できるケースが多くあります。
セキュアブートとは?
セキュアブート(Secure Boot)は、起動時に読み込まれるプログラムが正規のものかどうかを検証する仕組みです。
有効にしておくことで、マルウェアのような不正なブートローダーやドライバーが OS 起動前に動作することを防ぎ、PCのセキュリティを大きく高めることができます。
特に最近では、セキュリティ対策が強化されたオンラインゲームや業務アプリで「セキュアブートが有効でないと起動できない」ケースも増えており、一般ユーザーにとっても無関係ではない重要な設定となっています。
なぜTPM 2.0とセキュアブートが重要?
Windows 11 は TPM 2.0 と UEFI(セキュアブート機能を備えたファームウェア)をセキュリティ要件として求めています。TPM は暗号鍵の安全な保管や起動時の改ざん検出、Windows Hello・BitLocker の安全性向上など、“ハードウェアレベルの守り” を担う存在です。これから Windows 11 へのアップグレードや、一部オンラインゲーム・業務アプリの要件を満たすためにも、まずはこの 2 つの機能が使える状態か確認し、必要に応じて本記事の手順で安全に有効化していきましょう。
⚠ 作業前に必ずやること
- 重要データのバックアップ(外付けSSD/USBなど)
- BitLocker回復キーの控え(Microsoftアカウント・印刷・USB保管など)
- 設定変更後の初回起動で回復キー入力が求められる場合があります(正常な動作です)
※ TPM やセキュアブートまわりの設定を変えると、「構成が変わった」と判断されて BitLocker が鍵の入力を要求することがあります。慌てず、控えておいた回復キーを使えば復旧できます。
TPM 2.0とセキュアブートが有効か確認する方法
● TPM 2.0 の確認手順
- Windowsキー + R を押します。
- 「ファイル名を指定して実行」が開いたら
tpm.mscと入力し、Enter キーを押します。 - 「TPM 管理」画面が開いたら、「TPM の製造元バージョン」や「仕様のバージョン」が 2.0 になっているか確認します。
【補足】「TPM が見つかりません」「互換性のある TPM が使用できません」などと表示される場合、TPM 機能が無効になっているか、TPM 非搭載の機種の可能性があります。前者であれば、後述の BIOS/UEFI 設定で有効化できるケースが多いです。
● セキュアブートの確認手順
- 「スタート」ボタン右クリック → 「ファイル名を指定して実行」から
msinfo32と入力し、Enter。 - 「システム情報」が開いたら、左側が「システムの要約」になっていることを確認します。
- 右側の一覧をスクロールし、「セキュアブートの状態」が 「有効」または「オン」 になっていれば有効です。
ここで「オフ」や「サポートされていません」と出る場合は、BIOS/UEFI 側の設定を見直す必要があります。
BIOS/UEFIからTPM 2.0を有効にする手順
TPM は、初期状態で無効 になっているPCも少なくありません。
【最短で有効化する手順】
① PCを再起動してBIOSを開く
② SecurityまたはBootメニューを確認
③ TPM(Intel PTT / AMD fTPM)を有効にする
④ Secure Bootを有効にする
【かんたんにBIOS/UEFIを開く方法】
Windowsの「設定」→「システム」→「回復」→「PCの起動をカスタマイズする」から「今すぐ再起動」を選び、「トラブルシューティング」→「詳細オプション」→「UEFIファームウェアの設定」を選ぶことで、キー操作なしでBIOS/UEFI画面に入ることもできます。
以下の手順はあくまで「代表的な流れ」です。実際の画面構成はメーカーや機種によって異なります。
- パソコンを再起動します。
- 起動中に 「F2」「Delete」「Esc」「F10」 などのキーを連打して、BIOS/UEFI 設定画面に入ります(どのキーかはメーカーによって異なります)。
- 「Security」「Advanced」「Trusted Computing」 などの項目を探して開きます。
- TPM に相当する項目(例:Intel PTT / AMD fTPM / Security Device Support など)を 「Enabled」 に変更します。
- 「Save & Exit(保存して終了)」を選び、再起動します。
※ 項目名はメーカーごとにかなり差があります。心配な場合は、PCメーカー公式サイトのマニュアルや「TPM 2.0 有効化 手順(メーカー名)」などで確認するのがおすすめです。
BIOS/UEFIからセキュアブートを有効にする手順
- PCを再起動し、もう一度 BIOS/UEFI 設定画面に入ります。
- 「Boot」タブまたは「Security」タブを開き、「Secure Boot」 の項目を探します。
- Secure Boot を 「Enabled(有効)」 に変更します。
- 必要に応じて「OS Type」や「OS Mode Selection」で 「Windows UEFI モード」「UEFI OS」 などを選び、セキュアブート用のキーをロードする設定が求められる場合もあります。
- 設定を保存し、再起動します。
セキュアブートを有効にするには、PCがUEFIモードで起動していることが前提です。古い「Legacy BIOS(CSM)」モードのままでは、Secure Bootの項目がグレーアウトして変更できないことがあります。
その場合は、ディスク形式(MBR)をGPTに変換し、UEFIモードへ移行する必要があります。ただし、この作業は環境によっては起動不能のリスクもあるため、不安な場合は無理に変更せず慎重に進めましょう。
🔧 自分での設定が不安な方におすすめ
PCトラブル・設定代行のサポートサービスを月額330円〜で利用できます。
👉 【パソコン修理サポート|ドクター・ホームネット】公式サイトはこちら
うまく設定できない場合は、以下の原因が考えられます。
■ 項目が表示されない
→ TPMが無効ではなく非対応の可能性があります。
■ グレーアウトしている
→ Secure Bootの前提条件(CSM無効など)が満たされていない可能性があります。
■ 有効にできない
→ BIOS設定の保存方法や管理者権限が関係している場合があります。
このあと、それぞれの対処方法を詳しく解説します。
セキュアブートが有効にならない場合のチェックポイント
- 起動モードが Legacy BIOS になっている
→ Windows が「レガシ BIOS モード」でインストールされていると、セキュアブートを有効にできません。UEFI モードに切り替えるには、ディスク形式を GPT に変換のうえ再インストールが必要になることがあります。 - BitLocker や他の暗号化ソフトを使っている
→ 起動構成の変更が暗号化に影響する場合があります。必ず回復キーを控えたうえで作業し、心配な場合は暗号化を一時停止してから設定を変更してください。
トラブル時のミニFAQ
- 「TPMが見つかりません」と表示される
→ BIOS の Security / Advanced / Trusted Computing などの項目から、Intel PTT / AMD fTPM / Security Device Support などの設定を確認し、「Enabled」になっているかチェックしましょう。 - 有効化後、毎回 BitLocker の回復キーを聞かれるようになった
→ 起動構成が変わったことで、BitLocker が毎回確認している可能性があります。復旧後に BitLocker を一旦解除して再設定する、または Microsoft サポートやメーカーサポートに相談するのがおすすめです。 - TPM に脆弱性ってあるの?
→ 2025年には CVE-2025-2884 など、TPM 2.0 のリファレンス実装に関する脆弱性が公表されています。通常は、PCメーカーやマザーボードメーカーが配布するTPMファームウェア更新や BIOS アップデートで対処されますので、メーカー公式サイトのアップデート情報を定期的に確認しておくと安心です。 - Windows 11にアップグレードできない(TPMエラーが出る)
→「このPCはWindows 11を実行できません」と表示される場合、TPM 2.0またはセキュアブートが無効になっている可能性があります。まずは本記事の手順で有効化を確認し、それでも解決しない場合はBIOSのバージョン更新も検討しましょう。
まとめ
最後に、TPM 2.0 とセキュアブートの役割と有効化のポイントを、表にまとめておきます。
| 機能名 | 役割 | 有効化のポイント |
|---|---|---|
| TPM 2.0 | セキュリティチップによる暗号化・起動時の改ざん検出。Windows 11 要件の一つ。 | BIOS/UEFI の「Security」「Trusted Computing」などから、TPM / PTT / fTPM を Enabled にする。 |
| セキュアブート | 起動時に読み込まれるプログラムの正当性を検証し、マルウェアの起動を防ぐ。 | UEFI モードで起動していることを確認し、「Boot」「Security」タブの Secure Boot を Enabled にする。 |
「設定が難しそう」と感じるかもしれませんが、最近のPCではほとんどの場合、項目を「Enabled」に切り替えるだけで完了します。落ち着いて一つずつ確認していけば、初心者の方でも十分対応可能です。
初めて設定する際は少し緊張しますが、事前のバックアップと回復キーの控えさえしっかり用意しておけば、致命的なトラブルになることは多くありません。不安なときは、メーカーサポートや専門のサポートサービスをうまく頼りつつ、少しずつ進めていきましょう。
【関連記事】
