投稿日:2026-05-14 最終更新日:2026-05-27
この記事は、2026年6月から順次期限切れを迎えるセキュアブート証明書の更新について調査したまとめ記事です。
概要
この記事は、かなり簡略化した記載にしています。Microsoftサポートに関連ページがいくつかあります。
・Windows セキュア ブート証明書の有効期限と CA 更新プログラム - Microsoftサポート
・セキュア ブート更新プロセスに関してよく寄せられる質問 - Microsoft サポート
セキュアブートとは
パソコンの電源を入れてOS(Operating System、Windows等)が起動する前に不正なプログラムや改ざんされたOSが読み込まれるのを防ぐセキュリティの仕組みです。OS起動前はセキュリティソフトも起動前で検知・隔離・駆除が困難なため無効では無防備なリスクとなります。またWindows11の最小システム要件でもあります。
セキュアブート証明書について
PCの起動時に信頼できるソフトウェアやファームウェアのみを実行させるためのセキュアブート機能で使用されるデジタル証明書です。今回問題となるのは「Windows UEFI CA 2011 証明書」で2026年6月から順次期限切れとなります。
更新先の「Windows UEFI CA 2023 証明書」の期限切れは2035年6月からです。
セキュアブート証明書の期限切れで起こること
正常に起動して動作するが、セキュアブートの新しいセキュリティ保護を受け取れなくなります。
将来的に OS が起動しなくなったり、セキュリティ更新が適用できなくなったりする可能性があります。
BitLocker(Windows 11 Home では デバイスの暗号化)の回復キーを求められる場合があります。
古い署名を持つデバイスドライバーが読み込めなくなります。
古い回復ドライブやインストールメディアからOSを再インストールしようとしても、署名切れで弾かれる場合があります。
セキュアブートの状態を確認する
最初は「セキュアブートの状態」を確認
1.[Windows]キーを押しながら[R]キー入力で、「ファイル名を指定して実行」画面を表示します。
2.「名前」に”msinfo32”と入力して[OK]押下します。
3.「システム情報」画面で「セキュアブートの状態」を確認するします。
セキュアブートの状態が”サポートされていません”
そもそもセキュアブートに対応していない。システム情報の「BIOSモード」が”UEFI”で無い。TPMが無いまたは無効。HDDやSSDの「パーティションのスタイル」が”GPT形式”でない。など複数理由で起こる。BIOS更新やUEFI設定はパソコンが動作しなくなる場合もあるので注意が必要です。
セキュアブートの状態が”無効”
証明書が設定されていない場合。セキュアブートに対応していてもUEFIの設定でセキュアブートを無効にしている場合。などの理由で起こる。Windowsを起動することはできるがセキュリティ機能は当然下がる。無効のままではセキュアブート証明書の状態を確認できず期限切れかチェックすることも出来ない状態です。
セキュアブートの状態が”有効”
セキュアブートの状態は有効だが、セキュアブート証明書が更新されているかはここでは判断できない状態。次の確認項目に進んでチェックが必要です。
更新後の証明書の状態を確認
セキュアブートの状態が”有効”となっていれば、セキュアブート証明書が更新されているかの確認を行います。”有効”以外では確認不可です。
WindowsPowerShellを管理者権限で開く
WindowsPowerShellを管理者権限で開きます。
1.スタートメニューを開きます(タスクバー中央左の[Windowsマーク]orキーボードの[Windows]キー)
2.続けて「Power」と入力して表示されるWindowsPowerShellの右欄から「管理者として実行する」を選択します。
3.ユーザーアカウント制御で「このアプリがデバイスに変更を加えることを許可しますか?」に「はい」で、WindowsPowerShellの画面が表示されます。
証明書状態確認コマンドを実行
以下の4件を確認します。
1.「Microsoft Corporation KEK 2K CA 2023」の更新確認
以下のコマンドをWindowsPowerShellの画面に貼り付けて[Enter]キーでコマンド実行。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
2.「Windows UEFI CA 2023」の更新確認
以下のコマンドをWindowsPowerShellの画面に貼り付けて[Enter]キーでコマンド実行。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
3.「Microsoft UEFI CA 2023」更新確認
以下のコマンドをWindowsPowerShellの画面に貼り付けて[Enter]キーでコマンド実行。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
4.「Microsoft Option ROM UEFI CA 2023」更新確認
以下のコマンドをWindowsPowerShellの画面に貼り付けて[Enter]キーでコマンド実行。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'
証明書状態が未更新時WindowsUpdateをチェック
セキュアブート証明書の更新はWindowsUpdateで受け取ります。
1.[Windows]キーを押しながら[I(アルファベットのアイ)]キー入力で設定画面を表示
2.左ペインの「WindowsUpdate」をクリック
3.「更新プログラムをチェック」で手動更新
回復ドライブの作成
セキュアブート証明書が更新されている事が確認できたら、回復ドライブの作成も済ませましょう。作成には32GB以上の容量を持つUSBメモリが必要です。過去に作成済でもセキュアブート証明書が古いままだったりするので、回復ドライブの再作成は行ったほうがいいです。過去の状態へ回復したい場面もないでしょうから、以前作成のUSBメモリに上書きでいいです。
回復ドライブの作成を開く
1.スタートメニューを開きます(タスクバー中央左の[Windowsマーク]orキーボードの[Windows]キー)
2.続けて「回復ドライブ」と入力し、「回復ドライブの作成」または「回復ドライブ」を開きます
3.ユーザーアカウント制御で「このアプリがデバイスに変更を加えることを許可しますか?」に「はい」で、回復ドライブの作成の画面が表示されます。
4.”次へ”クリック後指定するUSBメモリに回復ドライブを作成します。パソコンごと異なりますが、数十分~数時間かかることがあります。
5.「回復ドライブの準備ができました」が表示されたら”完了”ボタンクリックで閉じて、タスクトレイの「ハードウェアを安全に取り外してメディアを取り出す」クリックからUSBメディアを選択して、「安全に取り外しできます」メッセージが表示されたらUSBメディアをPCから抜き取ります。
