minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
2026年6月、Windowsのセキュアブート証明書が期限切れを迎えます。この問題に対処しないまま放置すると、最悪の場合PCが起動できなくなる可能性があります。
「セキュアブートってそもそも何?」「自分のPCは大丈夫?」「今すぐ何かしないといけないの?」と不安に思っている方も多いのではないでしょうか。
この記事では、セキュアブート証明書の期限切れ問題とは何かを初心者にもわかりやすく解説し、影響を受けるPCの確認方法から具体的な対処手順まで、すべてをステップ形式でご紹介します。Windows Updateを普段から適用している方であれば心配は少ないですが、念のため確認しておくことを強くおすすめします。
この記事でわかること
- セキュアブートとは何か、なぜ証明書が必要なのか
- 2026年6月・10月に期限切れになる証明書の詳細
- 自分のPCが影響を受けるかどうかの確認方法(PowerShellコマンド付き)
- Windows Updateによる自動更新の仕組みと手動更新の手順
- 証明書期限切れでPCが起動できなくなった場合の回復方法
- Dynabook・VAIO・Dell・HP・Lenovoなどメーカー別の対応状況
- BitLockerの回復キーに関する注意点
セキュアブートとは?初心者向けにわかりやすく解説
セキュアブートの基本的な仕組み
セキュアブート(Secure Boot)とは、PCの電源を入れてからWindowsが起動するまでの間に、不正なプログラムが実行されないようにする安全機能です。
通常、PCの起動時には以下の順序でプログラムが実行されます。
- UEFI/BIOS(PCの基盤に組み込まれた基本プログラム)が起動
- ブートローダー(Windowsを読み込むためのプログラム)が実行される
- Windows OSが起動する
セキュアブートは、この「2.ブートローダー」の段階で、Microsoftが電子署名した正規のプログラムだけを許可する仕組みです。万が一、ウイルスやマルウェアがブートローダーに偽装して起動しようとしても、正規の電子署名がなければ実行が拒否されます。
電子証明書の役割
セキュアブートが「正規のプログラムかどうか」を判断するために使っているのが電子証明書(CA証明書)です。簡単に言えば、Microsoftが発行した「この起動プログラムは安全ですよ」というお墨付きのようなものです。
この電子証明書には有効期限が設定されており、期限が切れると「安全かどうか判断できない」状態になります。その結果、セキュアブートがWindowsの起動プログラムをブロックしてしまう可能性があるのです。
セキュアブートに関連する主なデータベース
| データベース名 | 略称 | 役割 |
|---|---|---|
| Allowed Signature Database | DB | 起動を許可するプログラムの証明書リスト |
| Forbidden Signature Database | DBX | 起動を禁止するプログラムのリスト(ブラックリスト) |
| Key Enrollment Key | KEK | DBやDBXを更新するための鍵(管理者用の鍵) |
| Platform Key | PK | 最上位の鍵(PCメーカーが設定) |
なぜ2026年に証明書が期限切れになるのか
2011年に発行された証明書の15年問題
現在多くのPCで使われているセキュアブート証明書は、2011年にMicrosoftが発行したものです。これらの証明書には15年間の有効期限が設定されており、2026年にその期限を迎えます。
具体的に期限切れとなる証明書とスケジュールは以下のとおりです。
| 証明書名 | 用途 | 有効期限 |
|---|---|---|
| Microsoft Corporation KEK CA 2011 | KEK(証明書データベースの管理鍵) | 2026年6月24日 |
| Microsoft Corporation UEFI CA 2011 | DB(サードパーティ製ブートローダーの署名) | 2026年6月24日 |
| Microsoft Windows Production PCA 2011 | DB(Windowsブートローダーの署名) | 2026年10月19日 |
Microsoftの対応:2023年版の新証明書
Microsoftはこの問題に対応するため、2023年に新しい証明書(Windows UEFI CA 2023)を発行しています。この新しい証明書への移行が、Windows Updateを通じて段階的に進められています。
2024年以降に製造されたPCの多くには、最初から新しい2023年版の証明書がインストールされているため、基本的に問題ありません。一方で、それ以前に購入したPCは、Windows Updateによる証明書の更新が必要です。
どのような場合に起動できなくなるのか
以下の3つの条件すべてに該当する場合、2026年6月以降にPCが起動できなくなるリスクがあります。
- Windows 8以降(Windows 10、Windows 11を含む)を使用している
- セキュアブートが有効になっている
- 2025年6月以降のWindows Updateが適用されていない(=新しい2023年証明書が未適用)
つまり、Windows Updateを普段から適用していれば、基本的には問題ありません。ただし、企業でWSUS(Windows Server Update Services)を使って更新を管理している場合や、Windows Updateを長期間停止しているPCでは注意が必要です。
自分のPCが影響を受けるか確認する方法
確認方法1:セキュアブートの有効/無効を確認する
まず、お使いのPCでセキュアブートが有効になっているかどうかを確認しましょう。セキュアブートが無効の場合は、証明書の期限切れの影響を受けません。
手順:
- キーボードで Windowsキー + R を押して「ファイル名を指定して実行」を開く
- 「msinfo32」と入力して「OK」をクリック
- 「システム情報」画面が表示されたら、右側の一覧から「セキュアブートの状態」を探す
- 「有効」と表示されていれば、セキュアブートが有効です
ポイント:セキュアブートが「無効」の場合、証明書の期限切れによる起動不能の問題は発生しません。ただし、セキュリティの観点からはセキュアブートを有効にしておくことが推奨されています。
確認方法2:現在の証明書バージョンをPowerShellで確認する
次に、セキュアブートの証明書が新しい2023年版に更新済みかどうかを確認します。
手順:
- スタートメニューを右クリックし、「Windows ターミナル(管理者)」を選択
- PowerShellが開いたら、以下のコマンドをコピーして貼り付け、Enterキーを押す
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
結果の見方:
| 表示結果 | 意味 | 対応 |
|---|---|---|
| True | 新しい2023年証明書が適用済み | 対応不要。安心してください |
| False | まだ2011年の旧証明書のまま | Windows Updateを適用して更新が必要 |
確認方法3:レジストリで更新ステータスを確認する
より詳細な情報を確認したい場合は、以下のPowerShellコマンドを実行します。
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status').UEFICA2023Status
結果の見方:
- 0:まだ更新プロセスが開始されていない
- 1:証明書の配信が完了し、次回再起動時に適用される
- 2:DB(証明書データベース)の更新が完了
確認方法4:KEK証明書も確認する
DBだけでなく、KEK(Key Enrollment Key)の証明書も更新されているか確認しておくとより安心です。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
こちらもTrueと表示されれば、KEK証明書も最新版に更新済みです。
対処法:証明書を最新版に更新する手順
対処法1:Windows Updateを最新まで適用する(最も簡単)
最も簡単で確実な対処法は、Windows Updateをすべて適用することです。Microsoftは2025年から2026年6月にかけて、段階的に新しい証明書を配信しています。
Windows 10の場合:
- 「スタート」→「設定」→「更新とセキュリティ」をクリック
- 「Windows Update」を選択
- 「更新プログラムのチェック」をクリック
- 利用可能な更新プログラムがあれば、すべてダウンロードしてインストール
- 「再起動が必要です」と表示されたら、PCを再起動
- 再起動後、再度「更新プログラムのチェック」を実行して、追加の更新がないか確認
Windows 11の場合:
- 「スタート」→「設定」→「Windows Update」をクリック
- 「更新プログラムのチェック」をクリック
- すべての更新プログラムをダウンロード・インストール
- PCを再起動し、もう一度チェックして「最新の状態です」と表示されるまで繰り返す
重要:セキュアブート証明書の更新では、再起動が2回必要になる場合があります。1回目の再起動で証明書がインストールされ、2回目の再起動で適用が完了します。再起動を求められたら、必ず実行してください。
対処法2:手動でセキュアブート証明書を更新する(PowerShell)
Windows Updateで証明書が配信されていない場合や、早急に更新したい場合は、PowerShellから手動で更新を実行できます。
手順:
- スタートメニューを右クリックし、「Windows ターミナル(管理者)」を選択
- 以下のコマンドを実行して、スケジュールされた更新タスクを手動で開始する
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
- コマンド実行後、PCを2回再起動する
- 再起動後、以下のコマンドで更新が成功したか確認する
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Trueと表示されれば、更新は成功です。
注意:この手動更新コマンドが利用できるのは、対象のWindows Updateパッケージがすでにインストール済みの場合のみです。「タスクが見つかりません」というエラーが表示される場合は、先にWindows Updateを最新まで適用してください。
対処法3:BIOS/UEFIの更新を確認する
PCメーカーによっては、BIOS/UEFIのアップデートを通じてセキュアブート証明書の更新を行う場合があります。これはWindows Updateとは別の経路での更新です。
手順:
- お使いのPCメーカーのサポートサイトにアクセス
- お使いの機種名・型番を入力して検索
- 「ドライバー・アップデート」のページから、BIOSアップデートが提供されているか確認
- アップデートがある場合は、メーカーの指示に従ってインストール
BitLockerをお使いの方へ:BIOSアップデート後やセキュアブート証明書の更新後に、BitLockerの回復キーの入力を求められることがあります。更新前に必ずBitLocker回復キーを控えておいてください。回復キーは「Microsoftアカウントの回復キー管理ページ」で確認できます。
対処法4:回復ドライブを事前に作成しておく(強く推奨)
万が一、証明書の問題でPCが起動できなくなった場合に備えて、今のうちに回復ドライブを作成しておくことを強くおすすめします。
回復ドライブの作成手順:
- 32GB以上のUSBメモリを用意する(中のデータはすべて消去されます)
- Windowsの検索バーに「回復ドライブ」と入力し、「回復ドライブの作成」を開く
- 「システム ファイルを回復ドライブにバックアップします」にチェックを入れて「次へ」
- 接続したUSBメモリを選択して「次へ」→「作成」をクリック
- 作成が完了するまで待つ(30分~1時間程度かかることがあります)
回復ドライブの作成には32GB以上のUSBメモリが必要です。まだお持ちでない場合は、以下のような信頼性の高いUSBメモリを1本用意しておくと安心です。
おすすめUSBメモリ(回復ドライブ作成用)
- バッファロー USBメモリ 32GB ノックスライド式 USB3.2(Gen1) RUF3-KS32GA-BK/N – キャップレスで紛失の心配なし。日本メーカーの安心品質
- バッファロー USBメモリ 32GB Type-C/Type-A両対応 RUF3-ACR32G-B/N – USB-CとUSB-A両対応。新旧どちらのPCでも使えて便利
証明書期限切れでPCが起動できなくなった場合の回復手順
もし証明書の問題でPCが起動できなくなってしまった場合でも、いくつかの方法で回復できる可能性があります。
方法1:BIOSでセキュアブートを一時的に無効にする
最も手軽な応急処置は、BIOS/UEFI画面からセキュアブートを無効にすることです。
手順:
- PCの電源を入れた直後に、F2キー(メーカーによってはF10、Del、Escキー)を連打してBIOS/UEFI画面に入る
- 「Security」タブまたは「Boot」タブを探す
- 「Secure Boot」の項目を見つけて「Disabled」に変更
- 設定を保存して再起動する(通常はF10キーで保存&終了)
| PCメーカー | BIOS起動キー | 備考 |
|---|---|---|
| Dell | F2 | 電源投入直後に連打 |
| HP | F10 | Escキーでメニュー表示後にF10の機種もあり |
| Lenovo | F2(ノート)、F1(デスクトップ) | Novoボタンがある機種はそちらも利用可 |
| Dynabook(東芝) | F2 | 電源ボタン直後に連打 |
| VAIO | F3またはF4 | ASSISTボタンがある機種はそちらを使用 |
| ASUS | F2またはDel | 電源投入直後に連打 |
| 自作PC(マザーボード) | Del | メーカーによってF2の場合もあり |
重要:セキュアブートを無効にするのはあくまで応急処置です。無効のままにしておくと、セキュリティが低下します。Windowsが起動できたら、すぐにWindows Updateを適用して証明書を更新し、その後セキュアブートを再度有効にしてください。
方法2:回復ドライブから起動して修復する
事前に回復ドライブを作成してあった場合は、そこからPCを起動して修復できます。
- 回復ドライブ(USBメモリ)をPCに挿入
- PCの電源を入れ、ブートメニューを表示(F12、F9、Escなどメーカーによって異なる)
- USBメモリを選択して起動
- 「トラブルシューティング」→「詳細オプション」を選択
- 「スタートアップ修復」を実行
方法3:Windowsインストールメディアから修復する
回復ドライブがない場合は、別のPCでWindowsのインストールメディア(USBメモリ)を作成し、そこから起動して修復を試みます。
- 別の正常に動作するPCで、Microsoftの公式サイトからメディア作成ツールをダウンロード
- 8GB以上のUSBメモリを使ってインストールメディアを作成
- 起動できないPCにUSBメモリを挿入し、ブートメニューから起動
- 「コンピューターを修復する」→「トラブルシューティング」→「詳細オプション」を選択
- 「コマンドプロンプト」を選択し、修復コマンドを実行
インストールメディア作成用のUSBメモリは、8GB以上であれば基本的に使えますが、余裕を持って32GBのものを用意しておくと、回復ドライブとしても兼用できるため便利です。
おすすめUSBメモリ(インストールメディア作成用)
- バッファロー USBメモリ 32GB USB3.2(Gen1) RUF3-K32GA-BK – 高速転送対応のスタンダードモデル。インストールメディア作成に最適
メーカー別の対応情報まとめ
主要PCメーカーの対応状況をまとめました。各メーカーともサポートページで注意喚起を行っています。
Dynabook(ダイナブック)
Dynabookは2026年2月にセキュアブート証明書の有効期限切れに関する専用サポートページを公開しています。
- 影響を受けない機種:Windows 11 25H2プリインストールモデル、一部のWindows 11 24H2プリインストールモデル(dynabook BA/ZY、BA86/VA、RA/ZY、RA73/V、XA/ZY、XA74/VYなど)は出荷時に新しい証明書が適用済み
- 対応方法:Windows Updateを最新まで適用する。BIOSアップデートも併せて確認することを推奨
VAIO
VAIOもセキュアブート証明書データベースの更新に関するFAQページを公開しています。
- Windows Updateが正常に適用されていれば、自動的に証明書が更新される
- VAIO独自のBIOSアップデートによる証明書更新も順次提供
Dell
Dellはセキュアブート移行に関するFAQページと、BIOSからのDB更新手順を詳しく公開しています。
- Dell製PCでは、BIOS設定画面から直接セキュアブートのDB(証明書データベース)を更新できるオプションが用意されている機種がある
- PowerShellコマンドによる証明書確認手順も詳細に解説
- BitLocker利用時は回復キーの事前確認を推奨
HP
HPもセキュアブート証明書に関するサポートドキュメントを公開しています。
- Windows Updateの適用を最優先の対処法として推奨
- HP製PCのBIOSアップデートによる対応も順次提供
- 企業向けPCについては管理者向けの詳細ガイドも公開
Lenovo
- LenovoもWindows Updateを通じた証明書更新を推奨
- Lenovo Vantage(サポートアプリ)からBIOSアップデートの確認が可能
- ThinkPad、ThinkCentre、IdeaPadなど各シリーズごとに対応BIOSを提供予定
メーカー別対応まとめ表
| メーカー | 専用サポートページ | BIOSでの更新対応 | 備考 |
|---|---|---|---|
| Dynabook | 公開済み | あり | 一部モデルは出荷時に対応済み |
| VAIO | 公開済み | 順次提供 | FAQ形式で手順を詳細解説 |
| Dell | 公開済み(複数ページ) | あり(BIOS画面から直接更新可能な機種あり) | サーバー向けガイドも公開 |
| HP | 公開済み | 順次提供 | 企業向け管理者ガイドあり |
| Lenovo | 公開済み | 順次提供 | Lenovo Vantageからの確認を推奨 |
企業・法人ユーザーが注意すべきポイント
WSUS環境での対応
企業でWSUS(Windows Server Update Services)を使ってWindows Updateを管理している場合は、セキュアブート証明書の更新プログラムが自動配信されていない可能性があります。
以下の点を確認してください。
- WSUSでKB5036210(Windows UEFI CA 2023証明書のDB展開)が承認・配信されているか
- 関連するセキュアブート更新プログラムがWSUSのフィルターでブロックされていないか
- クライアントPCにWindows Updateが適切に配信・適用されているか
仮想マシン(Hyper-V等)の対応
Hyper-Vなどの仮想マシンでもセキュアブートが有効になっている場合があります。仮想マシンのセキュアブート設定も忘れずに確認してください。
BitLockerの回復キー管理
セキュアブート証明書の更新に伴い、BitLockerの回復キー入力が求められるケースが報告されています。特に大量のPCを管理している企業では、以下の対策が重要です。
- Active Directoryに保存されたBitLocker回復キーを確認・エクスポートしておく
- Azure ADを使っている場合は、Entra ID上の回復キーを確認
- ユーザーに対して、個人のMicrosoftアカウントに紐づいた回復キーの保存場所を周知
よくある質問(FAQ)
Q1. Windows Updateを普通にしていれば何もしなくて大丈夫ですか?
はい、基本的には大丈夫です。Windows 10やWindows 11のHome、Pro、Educationエディションでは、Windows Updateが有効になっていれば、2026年6月までに自動的に新しい証明書が配信・適用されます。ただし、念のためPowerShellコマンドで更新状況を確認しておくことをおすすめします。
Q2. セキュアブートが無効のPCでも影響はありますか?
セキュアブートが無効の場合は、証明書の期限切れによる起動不能の影響は受けません。ただし、セキュリティ上の観点からは、セキュアブートを有効にして適切に証明書を更新しておくことが推奨されています。
Q3. Windows 7やWindows 8.1のPCも影響を受けますか?
Windows 7はセキュアブートの対象外のため、影響を受けません。Windows 8/8.1は対象ですが、すでにMicrosoftのサポートが終了しているため、証明書の自動更新は提供されません。セキュアブートを無効にするか、Windows 10/11へのアップグレードを検討してください。
Q4. 2024年以降に買ったPCなら安全ですか?
2024年以降に製造されたPCの多くは、出荷時に2023年版の新しい証明書がインストール済みのため、基本的に安全です。ただし、すべてのモデルが対応しているとは限りませんので、PowerShellコマンドで確認しておくとより安心です。
Q5. Linux(Ubuntu等)とのデュアルブート環境では何か影響がありますか?
セキュアブートが有効なデュアルブート環境では、Linuxのブートローダー(GRUB等)の署名に使われている「Microsoft Corporation UEFI CA 2011」も期限切れの影響を受ける可能性があります。Linuxディストリビューション側も対応を進めていますが、最新のアップデートを適用しておくことをおすすめします。
Q6. 証明書の更新後にBitLockerの回復キーを求められたらどうすればいいですか?
セキュアブート証明書の更新後にBitLockerの回復キーを求められることがあります。回復キーは以下のいずれかの方法で確認できます。
- Microsoftアカウント:https://account.microsoft.com/devices/recoverykey にログイン
- Azure AD(Entra ID):職場や学校のアカウントで管理されている場合はIT管理者に問い合わせ
- 紙に印刷した回復キー:BitLocker設定時に印刷したものがあれば利用
- USBメモリに保存した回復キー:BitLocker設定時にUSBに保存した場合
Q7. 証明書の期限切れで突然PCが使えなくなることはありますか?
ある日突然使えなくなる、ということは基本的にありません。証明書の期限切れ自体でPCが即座に起動不能になるわけではなく、証明書期限切れ後に新しい署名のブートマネージャーに更新された時に、旧証明書のDBでは整合性が取れなくなり、起動できなくなるという流れです。Windows Updateを適用していれば、証明書は事前に更新されるため心配ありません。
Q8. 自作PCの場合はどうすればいいですか?
自作PCの場合も対応は同じです。Windows Updateを最新まで適用すれば、証明書は自動更新されます。加えて、マザーボードメーカー(ASUS、MSI、Gigabyte、ASRockなど)の公式サイトで最新のBIOSアップデートが公開されていないか確認してください。BIOSアップデートを適用することで、UEFIファームウェアレベルでの証明書更新も行われる場合があります。
Q9. 「Windows UEFI CA 2023」のPowerShell確認で「False」が出ましたが、すぐに危険ですか?
いいえ、今すぐ危険というわけではありません。Falseと表示されたのは、まだ新しい証明書が配信されていないか、まだ適用されていないだけです。2026年6月が期限ですので、今のうちにWindows Updateを適用しておけば問題ありません。焦らず、本記事の対処法に沿って更新を進めてください。
Q10. セキュアブートの証明書更新にお金はかかりますか?
一切かかりません。セキュアブート証明書の更新はWindows UpdateおよびBIOSアップデートを通じて無償で提供されています。有料のソフトウェアやサービスを購入する必要はありません。もし「証明書更新のために費用が必要」というメッセージが表示された場合は、詐欺の可能性が高いので注意してください。
まとめ
2026年6月に迫るWindowsのセキュアブート証明書の期限切れ問題について解説しました。最後に、今すぐやるべきことをまとめます。
今すぐやるべきチェックリスト
- セキュアブートの状態を確認(msinfo32で「有効」かどうか確認)
- PowerShellで証明書バージョンを確認(「Windows UEFI CA 2023」がTrueかどうか)
- Windows Updateを最新まで適用(Falseだった場合は最優先で実行)
- BitLockerの回復キーを控えておく(証明書更新後に求められることがある)
- 回復ドライブを作成しておく(万が一の起動不能に備えて)
- PCメーカーのサポートサイトを確認(BIOSアップデートがあれば適用)
Windows Updateを普段から適用していれば、ほとんどの方は心配する必要はありません。ただし、「確認したら安心できた」という状態を作っておくことが大切です。
特に企業のIT管理者の方は、WSUS環境での更新プログラムの配信状況や、BitLocker回復キーの管理状況を早めに確認しておくことを強くおすすめします。
この記事の手順に沿って確認・対処していただければ、2026年6月の期限切れを安心して迎えることができるはずです。不安な点があれば、お使いのPCメーカーのサポート窓口にも相談してみてください。
