セキュアブート証明書の有効期限切れ：知っておくべきこと

Microsoftは、2026年6月24日の初回有効期限直前に、対象となるすべてのWindows 11およびWindows 10 PCに対して「Secure Boot 2023」証明書の更新を展開しました。Microsoftの発表によると、「この更新により、Windowsの品質更新プログラムには、高確度のデバイスターゲティングデータが追加され、新しいSecure Boot証明書を自動的に受信できるデバイスの範囲が広がります。デバイスは十分な更新成功シグナルを示した場合にのみ新しい証明書を受け取り、制御された段階的な展開が維持されます。」と述べています。

2026年6月のPatch Tuesday更新を受け取った場合、Secure Boot 2023証明書がすでにデバイスにインストールされている可能性があります。以下に、証明書の状態を確認し、潜在的な問題をトラブルシューティングするための情報を記載します。

Secure Boot証明書更新とは？

Secure Bootは、すべてのブートコンポーネントのデジタル署名を確認し、ルートキットやブートキットが起動チェーンに侵入するのを防ぐファームウェアレベルのセキュリティ機能です。このシステムをサポートする証明書は2011年に発行され、有効期限は以下の通りです：

• Microsoft Corporation KEK CA 2011：2026年6月24日
• Microsoft UEFI CA 2011：2026年6月27日
• Microsoft Windows Production PCA 2011：2026年10月19日

これらの日付以降もSecure Bootが機能し続けるように、Microsoftは2024年以降、Windows Updateを通じて2023年版の代替証明書を展開しています。2026年6月の更新により、対象デバイスの範囲が大幅に拡大し、ほとんどのサポート対象PCが「高信頼性」カテゴリーに移行しました。このカテゴリーでは、更新が自動的かつ安全に適用されます。

Secure Boot 2023証明書がPCにインストールされているか確認する方法

Secure Boot証明書の状態を確認する最も簡単な方法は、Windowsセキュリティアプリを使用することです。この機能は、2026年4月のWindows 11更新で追加されました。以下の手順に従ってください：

1. Windowsセキュリティアプリを開きます。
2. 左側のメニューからデバイス セキュリティをクリックします。
3. Secure Bootセクションまでスクロールして状態を確認します。

以下のいずれかの状態インジケーターが表示されます：

• 緑のチェックマーク：必要な証明書更新がすべて適用されており、特にアクションは必要ありません。
• 黄色の警告：更新が保留中であることを示します。証明書をインストールする前に、互換性データやPCメーカーからのBIOS更新が必要な場合があります。
• 赤の警告：特定の問題が更新を妨げていることを示します。通常、ファームウェアの非互換性が原因です。PCメーカーのサポートページでBIOS更新を確認してください。

Secure Bootセクションが表示されない場合、Secure Bootが無効化されているか、非対応ハードウェアでのレジストリ回避を使用してインストールされている可能性があります。古いPCや非対応PCに関する詳細な手順については、Secure Boot検証ガイドを参照してください。

PCがSecure Boot更新を受け取らなかった場合は？

Secure Boot 2023証明書更新を受け取らなかった場合でも、PCが機能しなくなるわけではありません。Microsoftは、更新された証明書がないデバイスでも通常通り起動し、定期的なWindows更新を受け取ることが確認されています。ただし、これらのデバイスは今後のブートレベルのセキュリティ更新を受け取らなくなるため、時間の経過とともにBlackLotusブートキットなどの脆弱性にさらされる可能性があります。

最新ハードウェアの場合、更新は自動的に適用されます。PCが黄色の警告を示している場合は、次のWindows Updateサイクルを待ちます。Microsoftは、毎月の更新ごとにデバイスカバレッジを拡大し続けています。メーカーがサポートを終了した古いハードウェアの場合、2023年版の証明書を取得できない可能性があります。この場合、BIOS更新を確認するのが第一歩で、手動介入を検討する前に行うべきです。

更新後にPCが2回再起動する可能性があります

Secure Boot証明書更新プロセス中にPCが2回または3回再起動するのは通常の動作です。この動作は以下の複数ステップのプロセスにより発生するとMicrosoftは確認しています：

1. 新しい証明書をファームウェアに書き込む。
2. 更新されたブートマネージャーを適用する。
3. 更新されたSecure BootチェーンでWindowsを起動する。

さらに、C:\Windows\SecureBootという新しいフォルダーが表示される場合があります。これはマルウェアではなく、暗号化証明書ファイルをファームウェアに書き込む前にWindowsがステージングするためのものです。このフォルダーを削除しないでください。

Windows 10ユーザーもSecure Boot更新を受け取る

Windows 10がサポート終了状態であるにもかかわらず、Secure Boot更新は拡張セキュリティ更新プログラム（ESU）に登録されているユーザーに提供されています。2026年5月更新（KB5087544）以降、Windows 10ユーザーはSecure Boot状態のレポートを受け取るようになりました。ただし、ESUプログラムに登録していないユーザーは、Windows Updateを通じてこれらの更新を受け取ることはできません。

ESUに切り替えるには、ローカルアカウントからMicrosoftアカウントへの移行が必要です。Windows 11ユーザー向けには、2026年6月更新でSecure Boot証明書の最大規模の展開が行われています。

IT管理者向け：6月24日の締切に関する重要な詳細

2026年6月24日以降、Microsoft Corporation KEK CA 2011は旧キーで新しいSecure Boot失効ペイロード（DBX更新）に署名することができなくなります。ただし、既存の署名済みペイロードおよび手動展開方法は引き続き機能します。DBキーは2026年10月19日まで有効であり、それまではMicrosoftが新しいブートマネージャーに署名することが可能です。

Microsoftは、デバイス信頼バケット、Intuneモニタリング、PXEブートシナリオ、仮想マシンの注意点など、IT管理者の懸念に対応するためにエンジニアとAMAセッションを実施しました。エンタープライズフリート管理については、aka.ms/GetSecureBootが主要なリソースです。

保留バケットに分類されているデバイスは、Secure Boot更新を適用する前にOEMからのBIOS更新が必要です。ファームウェア更新なしで更新を強制することは推奨されず、ブート失敗やBitLocker回復を引き起こす可能性があります。

Windows Latestは、読者の皆様に支えられています。Google DiscoverやGoogle Searchで当サイトをお気に入りの情報源として登録し、独立した報道をサポートしてください。