テクノロジーガイド

Windows 11で「PCR7 binding is not supported」を修正してデバイス暗号化を有効にする

2 min read Windows セキュリティ 更新されました 08 Oct 2025
Windows 11でPCR7エラーを修正してデバイス暗号化を有効化
Windows 11でPCR7エラーを修正してデバイス暗号化を有効化

PCR7対応ではないデバイス暗号化のエラーを示すPC画面

概要

Windows 11は互換ハードウェア上で簡易的なデバイス暗号化を提供します。これはWindows 11 Proに搭載されるBitLockerとは別物で、動作にはTPM 2.0やUEFI、Modern Standbyなどのハードウェア要件が必要です。システム情報に「PCR7 binding is not supported」と表示された場合、多くはセキュアブート(Secure Boot)やTPMの設定が原因です。本記事では原因の特定手順、BIOS/UEFIでの有効化手順、代替案、運用チェックリスト、トラブルシューティング、セキュリティ強化策までを詳しく解説します。

主要なポイント

  • Device Encryptionはハードウェア依存です。TPM 2.0とUEFI、Modern Standbyが要件。
  • 「PCR7 binding is not supported」は通常、Secure Bootが無効または設定不整合を示します。
  • 解決はBIOS/UEFIでSecure BootとTPMを有効化することです。
  • ハード要件が満たせない場合はBitLocker(Pro)やVeraCrypt等の代替を検討します。

なぜデバイス暗号化機能が表示されないのか

Device EncryptionはBitLockerと似ていますが、ハードウェア互換性に依存します。デバイス暗号化を有効化するには、主に次の要件が必要です。

  • TPM(Trusted Platform Module)2.0が搭載され、かつ有効であること
  • Modern Standbyに対応していること(ノートPCなど一部ハードウェア)
  • UEFIファームウェアが稼働していること(レガシーBIOSは非対応)

Windows 11をインストール済みでも、BIOS/UEFI設定でTPMやSecure Bootが無効化されていると「PCR7 binding is not supported」のようなメッセージが出ます。まずは状態の確認から始めてください。

システム情報で確認すべき項目

  1. スタートメニューを開き、[システム情報] と入力します。
  2. 「システム情報」アプリを管理者として実行します(結果を右クリック→管理者として実行)。
  3. 右ペインで次を確認します:
    • Secure Boot State(セキュアブート状態): On/Off
    • TPMのバージョン([セキュリティデバイス]や「TPM」関連の項目)
    • モダンスタンバイ(Modern Standby)関連の表示

システム情報でSecure Bootの状態を確認する画面

重要: Secure BootがOffならBIOS/UEFIで有効化する必要があります。Secure Bootの表示がOnでも、別のエラー(例: Hardware Security Test Interface failed)でデバイス暗号化が無効になる場合があります。

BIOS/UEFIでSecure Bootを有効にする手順(一般例)

注意: メーカーによりBIOS/UEFIの呼び名やホットキーは異なります。作業前に未保存の作業を保存し、PCの電源を切ってください。

  1. PCの電源を切ります。
  2. 電源を入れた直後にメーカー指定のキーを連打してBIOS/UEFIに入ります(例: F2/F10/F12/Del/Escなど)。
  3. BIOS/UEFIメニューで「Boot」や「Security」タブを選択します。
  4. 「Secure Boot」項目を探し、設定を「Enabled(有効)」に変更します。
  5. BIOSでTPM(またはPPT/TPM Device/PSP等の表記)を探し、有効化します(設定項目は「TPM State」「PTT」「fTPM」などメーカー依存)。
  6. 設定を保存してBIOSを終了し、PCを再起動します。

ヒント: 一部のHP製ノートはF10でBIOSに入ることが多いです。メーカーのサポートページで「BIOS entry key」や「Enable Secure Boot」を検索してください。

TPMの有効化と注意点

TPMにはハードウェアTPMとファームウェアTPM(fTPMやPTT)があります。どちらでもTPM 2.0相当であればデバイス暗号化に利用可能です。BIOS/UEFIでTPMが無効になっている場合は有効化します。

注意点: TPMを有効化/変更すると、ドメイン参加や既存の暗号化キーに影響することがあります。企業管理下の機器はIT管理者に相談してください。

再起動後の確認

BIOS/UEFIで設定を変更して再起動したら、再度「システム情報」を開いて「Secure Boot State」がOnになっているか、「Hardware Security Test Interface」に関連するメッセージが消えているかを確認します。問題が解決していれば、デバイス暗号化を有効化できるはずです。

「PCR7 binding is not supported」でも表示される別メッセージと意味

  • Hardware Security Test Interface failed: ハードウェア検査に失敗しています。ハードウェアが要件を満たしていない可能性があります。
  • Device is not Modern Standby supported: モダンスタンバイ非対応。ノートPCの一部機能が要件を満たさない時に出ます。

これらはハードウェアが物理的に要件不足であることを示すことが多く、その場合はソフトウェアだけで解決できません。

対処できない場合の代替案

  1. Windows 11 ProへアップグレードしてBitLockerを利用する(BitLockerはTPM非搭載でもパスワードやUSBキーで運用可能)。
  2. VeraCryptやDiskCryptorなど、サードパーティの暗号化ツールを使用する。
  3. 新しい互換ハードウェアへ買い替える(組織の方針とコストを検討)。

代替案の選択は、運用ポリシー、コスト、管理のしやすさを考慮してください。

実務向けチェックリスト(ロール別)

管理者向けチェックリスト:

  • BIOS/UEFI設定手順の社内手順書を用意する。
  • 端末のTPM/UEFI対応状況を資産管理DBで確認する。
  • 変更前にバックアップと復旧手順を確認する。

エンドユーザー向けチェックリスト:

  • 作業前に文書作成や編集中のファイルを保存する。
  • 指示に従ってBIOSに入るためのキーを確認する。
  • 設定変更後にログイン情報や回復キーの保管方法を確認する。

セキュリティチーム向けチェックリスト:

  • 暗号化キーや回復キーの管理ポリシーを策定する。
  • 暗号化有効化時の監査ログを取得する。
  • 万が一のためのインシデント対応手順を準備する。

プレイブック:Secure BootとTPMを有効にしてデバイス暗号化を試す(簡易SOP)

  1. 影響範囲の確認(該当PC一覧、業務影響)
  2. 重要データのバックアップ
  3. 管理者権限で「システム情報」を開き、現在の状態を記録
  4. BIOS/UEFIでSecure BootとTPMを有効化
  5. 再起動後にシステム情報で状態を再確認
  6. デバイス暗号化が利用可能なら、回復キーを安全に保管
  7. 影響が出た場合はロールバック手順(BIOS設定を元に戻す)を実行

ロールバック(迅速):

  • BIOSで元の設定に戻す
  • 再起動して動作を確認
  • バックアップから影響を受けたデータを復元

セキュリティ強化のヒント

  • 回復キーはクラウド(例: Microsoftアカウント)かオンプレの安全なキーストアに保管してください。
  • システム更新(UEFI/BIOSのファームウェア更新)を定期的に行い、互換性と脆弱性修正を適用します。
  • 管理対象デバイスはMDM(Intune等)でTPMやSecure Bootの準拠状態を監視します。

いつこの対処法は失敗するか(反例)

  • 古いハードウェアでUEFIやTPMが物理的に存在しない場合。
  • OEMカスタムファームウェアがSecure Bootを正しくサポートしていない場合。
  • 管理ドメインのポリシーでTPMやSecure Boot設定をロックしている場合。

これらではソフトウェア的な設定変更のみでは解決できません。

決定ツリー(要約)

以下は簡易的な意思決定図です。

flowchart TD
  A[システム情報を確認] --> B{Secure BootはOnか?}
  B -- Yes --> C{TPM 2.0は有効か?}
  B -- No --> D[BIOSでSecure Bootを有効化]
  D --> A
  C -- Yes --> E[デバイス暗号化が利用可能か確認]
  C -- No --> F[BIOSでTPMを有効化またはfTPM/PTTを有効化]
  F --> A
  E -- 利用可能 --> G[回復キーを保管して暗号化を有効化]
  E -- 利用不可 --> H[Hardware不足: BitLocker/サードパーティを検討]

互換性マトリクスと移行のコツ

  • TPM 2.0 搭載 + UEFI + Modern Standby:デバイス暗号化を利用可能。
  • TPM 2.0 搭載 + UEFIだがModern Standby非対応:BitLockerを推奨。
  • TPM非搭載かレガシーBIOS:BitLocker(プロファイルに応じたキー方式)かサードパーティ暗号化。

移行のコツ: 既存資産の一覧化→優先度付け→少数台でパイロットを実施→全体展開。

プライバシーとコンプライアンスの注意点

  • 暗号化はデータ保護の重要な要素です。GDPR等の法令に基づく個人データ保護では、適切な暗号化と鍵管理が求められます。
  • 回復キーの保存場所とアクセス制御を明確にし、監査ログを保持してください。
  • サードパーティ製ツールを選ぶ際は、サプライヤーのセキュリティ評価とライセンス条件を確認してください。

よくあるトラブルと対処例

  • 問題: BIOSでSecure Bootを有効にしたのに「PCR7 binding is not supported」が消えない。
    対処: UEFIのファームウェア更新を確認。メーカー固有のSecure Bootキー(Platform Key)の問題の可能性あり。メーカーサポートへ連絡。

  • 問題: TPMを有効化したらWindowsがドメイン認証でエラーになる。
    対処: IT管理者に連絡し、ドメインポリシーとTPMの連携を確認。必要に応じて回復キーを使ってアクセス回復。

まとめ

「PCR7 binding is not supported」の多くはSecure BootやTPMの設定不整合が原因です。まずはシステム情報で状態を確認し、BIOS/UEFIでSecure BootとTPMを有効化してください。ハードウェアが要件を満たさない場合はWindows 11 ProのBitLockerやサードパーティ暗号化製品を検討します。運用面では回復キー管理、監査ログ、ファームウェア更新をセットで計画することが重要です。

FAQ

Q1: PCR7 bindingは何を意味しますか?
A1: PCR7はTPMのプラットフォーム状態レジスタの一つで、Secure Bootやブートパスの整合性に関連します。PCR7関連のメッセージはセキュアブートやTPMの設定問題を示唆します。

Q2: Secure Bootを有効にすると何か問題がありますか?
A2: 一部の古いOSやカスタムドライバーが動作しなくなる可能性があります。業務用途の機器は事前に互換性確認を行ってください。

Q3: 回復キーを紛失したらどうなりますか?
A3: 回復キーを失うと暗号化されたデータにアクセスできなくなるリスクがあります。必ず安全な場所にバックアップしてください(クラウドまたは安全なオフライン保管)。

BIOS設定画面の例(Secure BootとTPMの有効化)

共有する: X/Twitter Facebook LinkedIn Telegram
著者
編集

類似の素材

CentOS 7 に Gogs をインストールして Nginx で公開する方法
インフラ

CentOS 7 に Gogs をインストールして Nginx で公開する方法

FirefoxでGoogle Instantを有効化して即時検索する方法
ブラウザ設定

FirefoxでGoogle Instantを有効化して即時検索する方法

Midjourney「The Application Did Not Respond」エラー修正ガイド
トラブルシューティング

Midjourney「The Application Did Not Respond」エラー修正ガイド

ウェブを匿名で閲覧する方法と実践チェックリスト
プライバシー

ウェブを匿名で閲覧する方法と実践チェックリスト

iPhoneで写真の背景を消す|3つの実践方法
写真編集

iPhoneで写真の背景を消す|3つの実践方法

Google カレンダーで天気・スポーツ・テレビ番組を表示
カレンダー

Google カレンダーで天気・スポーツ・テレビ番組を表示