HPのPCでセキュアブートを無効にしたいのに、設定が見つからなかったり、HPセキュアブートグレーアウトで変更できなかったり、やっと切れたと思ったら起動しない…ここ、気になりますよね。
特に多いのが、セキュアブート無効BitLockerが絡んでBitLocker回復キーを求められるパターン、そしてBoot Device Not Found 3F0みたいな起動エラーです。
さらに、ValorantのVAN9003で「有効にしろ」と言われて混乱している人もいます。
この記事では、HPセキュアブート無効を安全に進めるために、レガシーサポートやWindows10環境の注意点、ProBookなど法人モデル特有の落とし穴まで、あなたが迷いやすいポイントをまとめていきます。
HPのセキュアブートを無効にする前の確認
HPのセキュアブート設定は、機種や世代で画面の見え方が違います。
さらに、暗号化(BitLocker)や法人向け保護機能が絡むと、単なるスイッチ操作では終わりません。
まずは「何が起きうるか」を押さえてから進めるのが安全ですよ。
- Secure Bootとは
- レガシーサポートとは
- BIOSに入る基本手順
- セキュアブートの無効とBitLocker
- HPのセキュアブートを無効にする:Windows10
Secure Bootとは
Secure Boot(セキュアブート)は、PCの電源を入れてからWindowsやLinuxが立ち上がるまでの“起動の入口”で、正しい署名(デジタル署名)を持つプログラムだけを実行する仕組みです。
ざっくり言うと、起動時に悪さをするマルウェア(ブートキット系)を入りにくくするためのガード役ですね。
ここ、普段は意識しないけど重要ポイントです。
もう少し噛み砕くと、UEFI(昔のBIOSの進化版)には「信頼できる鍵の束」が入っていて、起動に関わるブートローダーやドライバがその鍵で検証されます。
検証に通るものだけを動かすので、署名されていない起動メディア(古いOS、独自ツール、カスタムブートローダーなど)は弾かれることがあります。
あなたが「無効にしたい」と思うのは、まさにこの弾かれる状況に当たっていることが多いです。
無効化が必要になりやすいシーン
- Arch LinuxやGentooなど、標準で署名済みブートローダーを前提にしない構成にしたい
- 署名のないUEFIアプリ(診断ツール、復旧ツール、独自ビルドのブートローダーなど)を起動したい
- 古いWindowsや古い周辺機器の都合で、特定のブート方式に寄せたい
ここが大事:セキュアブートを無効にしても、UEFIのまま起動する構成は普通にあります。無効化=レガシー起動、とは限りません。
あと、HP機では設定保存後の再起動時に「Operating System Boot Mode Change」みたいな警告が出て、4桁コード入力を求められることがあります。
これは、外部から勝手に設定変更されるのを防ぐための“物理プレゼンス確認”です。
入力中の数字が画面に表示されない機種もあるので、落ち着いてゆっくり打てばOKですよ。
セキュアブートON/OFFで何が変わる?
| 項目 | ON(有効) | OFF(無効) |
|---|---|---|
| 起動メディアの条件 | 署名済みが基本 | 署名なしでも通る場合あり |
| セキュリティ | 起動経路の改ざんに強い | 起動経路の改ざん耐性が下がる |
| トラブル傾向 | Linux/ツールが起動できない | BitLocker回復や起動順の混乱 |
なので私のおすすめは、「必要な期間だけ無効にして、目的が達成できたら戻す」運用です。
ずっと切りっぱなしにするより、切る理由が消えた時点で戻した方が安心かなと思います。
レガシー サポートとは
レガシーサポートは、UEFIではなく昔ながらのBIOS互換モード(CSM)で起動できるようにする機能のことです。
古いOSやMBR形式の起動メディアを使うときに必要になる場合があります。
ここがややこしいのは、セキュアブート無効の話をしていると、セットで「レガシーもONにしないとダメ?」って思いがちなんですよね。
でも結論から言うと、セキュアブートを無効にしたいだけなら、レガシーサポートは触らない方が安全なケースが多いです。
というのも、Windows 10/11が今どきのHPで動いている場合、たいていUEFI(GPT)で構成されていて、起動の中心は「OS Boot Manager」になっています。
ここでレガシーを有効にすると、起動順や解釈が変わって、突然「起動デバイスがない」みたいな事故が起きやすくなるんですよ。
レガシーが必要なケース/不要なケース
必要になりやすい:MBRの古いディスクから起動したい、古いOSのインストーラがUEFI非対応、特定の古い拡張カードの都合でCSMが要る
不要になりやすい:Windows 10/11をそのまま使う、UEFI対応のLinux(最近の主要ディストリはだいたいOK)、UEFI対応のUSBメディアを作れる
また最近のPC、とくにゲーミング系や新しめの世代では、そもそもレガシーサポートが無い(UEFI専用)機種も多いです。
ここを探しても見つからないのは、壊れているのではなく仕様の可能性が高いですよ。
OMEN/Victusの章で触れますが、レガシーが無いなら「USBメディア側をUEFIで作り直す」のが正攻法です。
レガシーサポートを有効にすると、機種によってはセキュアブートが強制的に無効になることがあります。
逆に言うと、セキュアブートを切りたいだけなら、レガシーを触らない方が安全なケースも多いです。
ちなみに、UEFIかレガシーかでディスク構成も変わります。
UEFIはGPT、レガシーはMBRが絡むことが多いので、目的に合わせて“どっちの世界で戦うか”を先に決めると迷子になりにくいです。
BIOSに入る基本手順
HPのBIOS(UEFI設定)に入る基本はシンプルです。
電源投入直後にEscを断続的に連打してスタートアップメニューを出し、そこからF10でBIOSに入る流れが王道です。
ここは本当に「タイミング命」なので、電源ボタン押したら即Esc連打、くらいでちょうどいいです。
まずはこれ:王道の入り方(Esc→F10)
- Windowsをシャットダウン(できれば「再起動」か、Shiftを押しながらシャットダウン)
- 電源ボタンを押した直後からEscを連打
- Startup Menuが出たらF10(BIOS Setup)
入れない時にまず疑うこと
Windowsの高速スタートアップが有効だと、完全シャットダウンにならずBIOSに入りづらいことがあります。
対策としては、再起動を使うか、Shiftキーを押しながらシャットダウンしてから起動するのが手堅いです。
あと、Bluetoothキーボードだと起動直後の入力を拾わないこともあるので、可能なら有線キーボードで試すとハマりにくいですよ。
USB起動など「一度だけ起動デバイスを変えたい」なら、BIOS設定で順番をいじるより、起動時にF9でブートメニューを出して選ぶ方がラクなことも多いですよ。
HPの起動キーを整理(迷子防止)
| キー | 役割 | よく使う場面 |
|---|---|---|
| Esc | Startup Menu | 入口(ここからF9/F10などへ) |
| F10 | BIOS Setup | Secure Boot/起動設定の変更 |
| F9 | Boot Menu | USBを一回だけ起動したい |
| F2 | System Diagnostics | ストレージ/メモリの診断 |
HPの起動が遅くてBIOSに入るタイミングが掴みにくい場合は、以下も参考になります。
最後に大事な話をすると、BIOS画面の表記はモデル・世代・BIOS更新で変わります。
メニュー名が違っても焦らず、Boot Options、Security、System Configurationあたりを落ち着いて探すのがコツです。
セキュアブートの無効とBitLocker
ここが最大の落とし穴です。
セキュアブートの設定を変えると、Windowsが「起動環境が変わった」と判断して、BitLocker(デバイス暗号化)が回復キーの入力を要求することがあります。
やらかしやすいのは「セキュアブート切っただけなのに、なんで急に48桁!?」ってなるパターンで、ここで回復キーが見つからないと本当に詰みます。
なので、無効化の前に準備だけは絶対にやっておきましょう。
なぜ回復キーが必要になるの?(ざっくり仕組み)
BitLockerはTPM(セキュリティチップ)と連携して、起動時の状態が“いつも通り”であることを確認します。
セキュアブートのON/OFFは、その“起動時の状態”に直結するので、TPM側が「状態が変わった=不正の可能性がある」と判断して、ドライブの鍵を渡さないことがあるんです。
結果として、Windowsは回復モードに入り、48桁の回復キーを求めます。
注意:BitLockerは環境によって有効/無効が違います。心当たりがなくても、Windows 11では標準で暗号化されていることがあるので、先にチェックしておくのが無難です。
やることチェックリスト
- Microsoftアカウント等で回復キーを確認・保存
- 可能ならBitLockerの保護を一時的に中断
- 不安なら重要データをバックアップしてから作業
回復キーの確認は“別端末から”が安定
回復画面が出ると、そのPCではブラウザも開けないので、スマホや別PCから回復キーを見られる状態にしておくのがコツです。
確認先の案内はMicrosoftが公式に出しているので、まずここを押さえるのが一番確実です。(出典:Microsoft サポート『BitLocker 回復キーを見つける』)
“保護の中断”の考え方(Pro/Homeで違う)
Windows Pro/Enterpriseだと、GUIで「BitLockerの保護を中断」できるケースが多いです。
Home系はGUIが分かりづらい(中断ボタンが見当たらず、解除しか出ない)こともあります。
ここで“解除(復号化)”を選ぶと、容量によってはかなり時間がかかるので、現実的には「中断できるなら中断」がラクです。
コマンドが使える環境なら、管理者権限のPowerShell/コマンドプロンプトで以下のように操作します(ドライブ文字は通常C:)。
中断:manage-bde -protectors -disable C:
再開:manage-bde -protectors -enable C:
ここも大事:回復キーは機密情報です。スクショをSNSやチャットに貼るのは絶対に避けてください。共有が必要なら、社内の安全な手段や専門家の手順に従うのが安心です。
BitLocker絡みの事前準備は、以下の記事でも手順の考え方を整理しています。
なお、暗号化や回復キーの扱いは個人の状況で最適解が変わります。
正確な情報は公式サイトをご確認ください。不安が強い場合は、最終的な判断は専門家にご相談ください。
HPのセキュアブートを無効にする:Windows10
Windows 10でHPセキュアブート無効をやる目的は、だいたい次のどれかに収束します。
- Linuxを入れたい(またはデュアルブート)
- 署名されていない起動メディアを使いたい
- 古いツールや特殊なドライバ環境を動かしたい
ポイントは、Windows 10自体はUEFIのままセキュアブートだけ無効でも普通に起動できることが多い、という点です。
むやみにレガシーサポートまで有効にすると、起動順が変わって「OSが見つからない」系のトラブルが出ることがあります。
ここ、焦って色々触ると沼りやすいので、順番を決めて一個ずつ進めるのがいいですよ。
Windows 10でのおすすめ手順(安全寄り)
- BitLocker(デバイス暗号化)状態と回復キーを先に確認
- BIOSでSecure BootをDisabledにする(レガシーは触らない)
- 必要なUSBメディアはUEFI起動できる形式で作る(GPT/FAT32目安)
- 起動デバイス選択はF9ブートメニューで“その都度選ぶ”
Windows上で状態確認するなら、msinfo32(システム情報)で「BIOSモード」や「セキュアブートの状態」を見ておくと、話が早いです。
Linux目的なら“無効化しない選択肢”もある
Ubuntu/Fedora/openSUSEあたりの主要ディストリビューションは、署名済みの仕組み(shimなど)を使っていることが多く、セキュアブート有効のままでも入るケースがあります。
一方で、カーネルモジュールを自分でビルドする構成(たとえばNVIDIAドライバやVirtualBox系、独自カーネルなど)だと、署名の都合で躓くことがあるので、その場合は無効化が現実的になります。
やりたいことが「OS入れ替え」なのか「特定ツール起動」なのかで、最適な落としどころが変わります。
目的を先に言語化すると、設定を触りすぎずに済みますよ。
Windows 10環境でも、BitLockerが有効な場合は回復キー問題が起きます。
先に回復キーを確保してから触るのが鉄則ですよ。
HPのセキュアブートを無効にするための製品別対処
HPはPavilionなど家庭向け、OMEN/Victusのゲーミング系、ProBookなど法人向けでクセが違います。
ここでは「その機種で引っかかりやすいポイント」を中心に、迷いどころをつぶしていきます。
- HP ProBookでセキュアブートを無効にする
- セキュアブートを有効化できない
- OMEN/Victusの注意点
- レガシーサポートの有効化およびセキュアブートの無効化
- まとめ:HPのセキュアブートを無効にする要点
HP ProBookでセキュアブートを無効にする
ProBookを含む法人向けは、家庭向けよりセキュリティが強めです。
セキュアブートを無効にしても、再起動したら勝手に戻る、そもそも項目が触れない、といった話が出やすいですね。
ここは“仕様”として起きることもあるので、焦って何回も切り替えるより、先に前提を整えるのが大事です。
法人モデルで起きがちなこと
- BIOS管理者パスワードが必須で、未設定だと変更できない
- BIOS保護機能(例:Sure Start系)が変更を「改ざん」とみなして戻す
- 変更時に物理プレゼンス確認(コード入力)が必須
注意:会社支給PCなど管理下の端末は、ポリシーで制限されている可能性があります。勝手に変更すると業務影響が出ることもあるので、まず社内ルールや管理者に確認しておくのが無難です。
私がよく見るポイント(ProBook系)
ProBook系で“戻る”現象が出るときは、BIOS内のSecurity周りに「Sure Start」や「BIOS protection」的な項目があって、そこでセキュアブートキーの保護が有効になっていることがあります。
こういう設定がONだと、あなたが意図して無効にしても、次回起動時に「保護のために元に戻す」挙動になりやすいです。
現実的な進め方:まず保護機能の監視・保護を緩める(必要な範囲だけ)→その後にセキュアブートを無効化、の順番にすると成功率が上がりやすいです。
BCU(管理ツール)を使う環境の注意
会社で多数台を管理している環境だと、Windows側からBIOS設定を投入する仕組みが入っていることもあります。
その場合、個人で手動変更しても、次の管理サイクルで“管理ポリシーが上書き”して戻ることがあります。
ここは個人の努力でどうにもならない領域なので、管理担当に相談するのが最短です。
ProBookで無効化する場合は、まずBIOSのセキュリティ関連(Sure Startや保護設定)の項目を確認し、必要なら保護を緩めてからセキュアブート設定に進める流れになります。
ここは機種差が大きいので、HP公式の該当モデル情報も必ずチェックしてください。
そしてもう一回大事な話。
法人モデルは暗号化(BitLocker)とセットになっていることが多いので、無効化前に回復キーの準備は必須です。
正確な情報は公式サイトをご確認ください。
不安があるなら、最終的な判断は専門家にご相談ください。
セキュアブートを有効化できない
検索で多いのが「セキュアブート有効化できない」「グレーアウトで触れない」ですね。
無効化の話をしているのに有効化?と思うかもですが、ValorantやWindows 11要件で「有効にしたい」人も混ざるので、ここでまとめて整理します。
結論から言うと、セキュアブートが触れないときは“前提条件”が満たせていないか、HPの保護機能で“ロックされている”か、だいたいそのどっちかです。
よくある原因
- 起動モードがUEFIではなくレガシーになっている
- レガシーサポート(CSM)が有効で、セキュアブートがロックされている
- BIOSの権限(管理者パスワード)不足で項目が触れない
- セキュアブートキーの状態が不整合で、設定が固定されている
私がよくやる切り分け順(迷子防止)
- msinfo32で「BIOSモード」がUEFIになっているか確認
- BIOSでレガシーサポートがONなら、まずOFFにしてみる
- Secure Boot ModeがCustomになっていないか確認(Standardへ戻す)
- 「Factory Default Keys」「Restore Factory Keys」系があれば実行
- それでもダメなら、BIOS更新や法人モデルの保護機能(Sure Start等)を疑う
設定項目がグレーアウトのときは、BIOS内の「工場出荷時キーの復元(Factory Default Keys)」系の項目が効くことがあります。
あと、機種によっては一時的に管理者パスワードを設定すると、セキュリティ項目が編集可能になることもあります。
Windows 11やValorant目的のときの注意
Windows 11の要件や、ValorantのVAN9003などのアンチチート要件では、TPMとセキュアブートをチェックされることがあります。
この場合は「無効にする記事」を読んでいるあなたでも、実は目的としては“有効にする”が正解かもしれません。
目的がゲーム起動なら、セキュアブートはEnabledに戻し、Standardにして、必要ならキーを工場出荷状態に戻す、という流れが多いです。
セキュアブートを有効化したい(特にWin11やValorant目的)なら、HP機の具体的な手順は以下の記事も参考になります。
ただし、BIOS設定の画面や呼び名はモデル・世代・BIOSバージョンで変わります。
正確な情報はHP公式サポートをご確認ください。
自信がないなら、無理して続行せず専門家に相談するのが安全です。
OMEN/Victusの注意点
OMEN/Victusは、見た目が独自UIだったり、設定が簡略化されていたりします。
さらに新しめの世代だと、レガシーサポートがそもそも存在しない(UEFI専用)ことが多いです。
ここに慣れてないと、「レガシーが無い=詰み?」って思いがちですが、実はそうでもないです。
レガシーが無い時の正攻法
古いOSやツールを起動したい目的があっても、レガシー起動ができないなら、起動メディア側をUEFI対応に作り直すのが基本です。
USBを作るツール(Rufusなど)では、一般的に次のような設定が安定します。
目安:パーティション構成はGPT、ファイルシステムはFAT32、ターゲットはUEFI(CSMなし)
OMEN/Victusでハマりやすいポイント
- BIOS内で設定を探し回るより、F9ブートメニュー起動が早い
- BIOS更新後に項目が減ったように見える(実際は階層が変わっただけ)
- セキュアブート設定が“隠れている”ように見える(キーリセットで戻ることも)
また、OMEN/Victusは「セキュアブートを切って古いものを起動したい」人と、「Valorantのためにセキュアブートを入れたい」人が混ざる代表格です。
あなたの目的がどっちかで、やることが真逆になるので、ここは一回立ち止まって確認しましょう。
ゲーム目的(VAN9003など):セキュアブートはEnabledが基本。
署名無しメディア起動目的:セキュアブートはDisabledが必要なことが多い。
また、BIOSで順番を固定するより、起動時のブートメニュー(F9)で一度だけUSBを選ぶ方がトラブルが少ないこともあります。
OS起動不能になったときも、F9から「OS Boot Manager」を選べば復活するケースがあるので、覚えておくと安心ですよ。
レガシーサポートの有効化およびセキュアブートの無効化
この組み合わせは、古いOSやMBRメディアを動かしたいときに出てきます。
ただし、やり方を間違えると「Windowsが起動しない」につながりやすいので注意が必要です。
個人的には、目的が明確じゃないなら、まずは“レガシーを触らない”方針で進めるのをおすすめします。
よくある事故:Boot Device Not Found
レガシーサポートを有効にすると、起動順の解釈が変わって、UEFIの「OS Boot Manager」が見つからず、Boot Device Not Found 3F0のようなエラーになることがあります。
これ、実際はディスクが壊れたわけじゃなく、ただ「探し方を変えたら見つからなくなった」パターンが多いです。
焦りがちだけど、落ち着いて“UEFIの世界に戻す”のが基本対応になります。
注意:Windows 10/11を継続利用するなら、基本はUEFIのままセキュアブートだけ無効で足ります。レガシーを有効にするのは「目的がある時だけ」にした方が安全です。
戻し方の考え方
起動できなくなったときは、BIOSでUEFIの起動順(UEFI Boot Order)を確認し、OS Boot Managerが最上位に来るように調整します。
さらに、ブートリストが「Legacy Boot Order」を優先しているようなら、UEFI側を優先する設定に戻すのがコツです。
それでもダメなら、診断や復旧環境など段階的に切り分けが必要です。
大事なデータがある場合、ここで無理をすると状況が悪化することもあるので、慎重にいきましょう。
症状→対策の早見表
| 症状 | ありがちな原因 | まず試すこと |
|---|---|---|
| 3F0 / Boot Device Not Found | レガシー優先でOS Boot Managerを見失う | UEFI Boot OrderでOS Boot Managerを最上位へ |
| USBが起動一覧に出ない | USBがUEFI形式になっていない | GPT/FAT32で作り直し、F9から選択 |
| Windowsが回復キー要求 | BitLockerが起動状態変化を検知 | 回復キー入力 or 事前に保護中断 |
起動エラーの解釈や復旧はケースが分かれます。
正確な手順は公式サポートを確認しつつ、判断に迷うなら最終的な判断は専門家にご相談ください。
まとめ:HPのセキュアブートを無効にする要点
最後に、HPセキュアブート無効をやるときの要点だけギュッとまとめます。
ここだけ押さえておくと、失敗率がかなり下がるかなと思います。
あなたが今まさに困ってるのは、だいたい「設定が触れない」「起動しない」「回復キーが出た」のどれかなので、そこに直結する形でまとめますね。
HPセキュアブート無効の基本方針
- 最初にBitLocker回復キーを確保し、必要なら保護を中断
- 目的がなければレガシーサポートは触らず、UEFIのままセキュアブートだけ無効
- グレーアウトや変更できない時は、工場出荷時キー復元や管理者権限を確認
- ProBookなど法人モデルは保護機能が干渉しやすいので、公式情報の確認を優先
作業後にやっておくと安心な確認
- Windowsでmsinfo32を開き、セキュアブート状態やBIOSモードを確認
- BitLockerを中断したなら、作業が終わった段階で再開(戻し忘れ防止)
- USB起動が目的なら、F9ブートメニューで想定通り起動できるかテスト
そして、ValorantのVAN9003など「無効にしたいのに有効が必要」なケースもあります。
目的(OS変更なのか、ゲーム要件なのか)で正解が変わるので、焦らず状況を切り分けてくださいね。
BIOS設定や暗号化は、あなたのデータに直結します。
正確な情報はHP公式・Microsoft公式をご確認ください。
判断に迷う場合や業務端末の場合は、最終的な判断は専門家にご相談ください。
