セキュアブートは有効になっているが暗号化されていない。

Question

セキュアブートは有効になっていますがディスク管理画面でOSの入っているCドライブを見ると鍵アイコンがなく暗号化されていません。

私のPCは第六世代I5-6400 マザーはH110M-Aという古い構成です。BIOSバージョン　0503　2016/01/25

第六世代のCPUはTPM2.0はサポートされていないと聞きます。実際BIOSに項目はありませんでした。

ASUS公式でファームウエアやBIOSの新しいバージョンはありますが今のものが安定している事とこのマザーの型番で0503から更新しようとして失敗した人が何名かおられて怖くでやりたくないです。

今回心配しているのは６月の証明書問題で起動できなくなるか？ということです。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023') ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

上のコマンドをしたところ、片方がfalse 片方がtrueでした。

今後windowsアップデートで新しい更新（証明書発行）がくるのかどうかも不明だし、両方ともtrueになっている人も大勢いましたので自分の場合はもしかして何かしらのエラーで止まっているかと困っています。

そこで質問なのですが、こうしてセキュアブートが有効になっていてもデバイスが暗号化されていない場合はBitLocker回復キーを求められる画面が出たり、起動できないといった事はありませんか？

（マイクロソフトアカウントにも当然回復キーはありませんでした。）

Answer 1

Intel 第6世代（Skylake）は、 TPM 2.0 が“オプション扱い”だった最後の世代です。ディスクの暗号化（BitLocker暗号化機能）は標準では適用されていないはずです。

また、ディスクの暗号化の機能とセキュアブートは直接関係ありませんが、Windows 11のシステム要件にはTPM2.0・セキュアブートが前提になっています。

Windows 10であるのでそれらは忘れてください。

デバイスが暗号化されていない場合はBitLocker回復キーを求められる画面が出たり、起動できないといった事はありませんか？

ありませんので安心してください。

6月の Secure Boot 証明書問題は“暗号化の有無”とは無関係です。Secure Boot の KEK/DB 証明書は「複数世代が混在していても正常なのでPowerShell で Secure Boot の KEK/DB を確認すると 2023 証明書が片方だけ true というケースがありえます。

基本的に

• H110 世代は BIOS 更新で失敗報告が多い
• 古いマザーは「更新中に電源が落ちると復旧不能」なものが多い
• Secure Boot 証明書の更新は Windows Update 側で行われるため、BIOS 更新は必須ではない

ので、証明書問題のために BIOS を更新する必要は基本的に無いというのが正しい理解です。

Secure Boot の証明書は Windows Update が“段階的に”配布

--

2023〜2026 年の Secure Boot 証明書更新は、 世界中の PC に一斉配布するとトラブルが起きるため、 段階的ロールアウト が行われています。

そのため：

片方だけ更新されている

まだ更新が来ていない

更新が来たが古い証明書も残っている

といった状態は普通に発生します。

次のステップとして、

1. Secure Boot の証明書更新が正しく行われているかの安全な確認方法
2. TPM なし環境で BitLocker を使う方法（可能ではある）
3. Skylake 世代 PC を 2026 年以降も安全に使うためのチェックリスト
4. あなたの環境に合わせた“起動不能リスク”の具体的な評価

のいずれかが知りたい場合はコメントに質問を追加するか、好ましいのは別スレッドでそれらを別途質問し直すことをお薦めします。