Windows PCのセキュリティ機能である Secure Boot(セキュアブート) に使われている一部の証明書が、2026年に期限を迎えます。
特に話題になっているのが、 2011年版のSecure Boot証明書 です。 この古い証明書は、2026年6月から順次期限切れを迎えるため、Microsoftは新しい 2023年版証明書 への更新を進めています。
ただし、ここで誤解してはいけないのは、 「期限切れの日に、すべてのPCが突然起動しなくなる」という話ではない という点です。
多くのWindows 11 PCでは、Windows Updateなどを通じて自動更新されます。 一方で、古いPC、企業管理端末、特殊用途PC、一部のWindows 10環境では、更新状況を確認しておくことが重要です。
この記事では、 Secure Boot証明書とは何か、2026年に何が期限切れになるのか、自分のPCが更新済みか確認する方法、やってはいけない操作 をわかりやすく整理します。
- この記事でわかること
- 結論:WindowsセキュリティかPowerShellで「2023証明書が入っているか」を確認すればよい
- Situation:WindowsのSecure Boot証明書が2026年に期限を迎える
- Complication:古い証明書のままだと、将来の起動・更新・セキュリティに影響する可能性がある
- Question:自分のPCは更新済みなのか?何を確認すればよいのか?
- Answer:Windows Update、BIOS更新、UEFICA2023Status、BitLocker回復キーを確認する
- Secure Boot証明書とは
- 2026年に期限切れになる証明書
- 期限切れになるとPCは起動しなくなるのか
- 確認方法1:Windowsセキュリティで確認する【一番おすすめ】
- 確認方法2:PowerShellで確認する【管理者向け】
- 確認方法3:msinfo32でSecure BootのON/OFFを確認する【参考】
- 判断フロー
- 一般ユーザーがやるべきこと
- 情シス・管理者が確認すべきこと
- やってはいけないこと
- よくある誤解
- 現場判断用チェック表
- まとめ:2026年のSecure Boot証明書期限切れは、早めに更新状況を確認しておくことが大切
- 参考情報
この記事でわかること
- Secure Boot証明書とは何か
- 2026年6月に何が期限切れになるのか
- 期限切れになるとPCは起動しなくなるのか
- 2023年版証明書へ更新済みか確認する方法
- Windowsセキュリティで確認する方法
- PowerShellで確認する方法
- 一般ユーザーと管理者がやるべきこと
結論:WindowsセキュリティかPowerShellで「2023証明書が入っているか」を確認すればよい
先に結論から言うと、 Secure Boot証明書の更新状況は、WindowsセキュリティアプリまたはPowerShellで確認できます。
一般ユーザーであれば、まずは Windowsセキュリティ から確認するのが一番わかりやすいです。
管理者や情シスであれば、PowerShellを使って Windows UEFI CA 2023 が入っているか確認する方法が確実です。
Microsoftは、2011年に発行されたSecure Boot証明書が2026年に期限切れになるため、2023年版証明書への更新を進めていると案内しています。多くのデバイスでは、Windows Updateやメーカー側の更新を通じて自動的に配信されます。
Situation:WindowsのSecure Boot証明書が2026年に期限を迎える
Secure Bootは、PCの起動時に信頼できるソフトウェアだけを読み込むための仕組みです。 Windows 11では、Secure Bootは重要なセキュリティ要件の一つです。
このSecure Bootでは、起動時に使われるファームウェアやブートローダーを信頼するために、証明書が使われています。
Microsoftによると、2011年に発行されたMicrosoft Secure Boot証明書は、2026年に期限切れを迎えます。 具体的には、Microsoft Corporation KEK CA 2011が2026年6月24日、Microsoft UEFI CA 2011が2026年6月27日、Microsoft Windows Production PCA 2011が2026年10月19日に期限切れになります。
Complication:古い証明書のままだと、将来の起動・更新・セキュリティに影響する可能性がある
2011年版証明書が期限切れになったからといって、すぐにすべてのPCが起動しなくなるわけではありません。
しかし、古い証明書のまま放置すると、将来的に次のような問題につながる可能性があります。
- Secure Boot関連の更新を受け取れない
- 新しいブートローダーやEFIアプリを信頼できない
- 将来的なWindows更新や機能更新で問題が出る
- セキュリティ状態が劣化する
- 一部の特殊機器や管理端末で互換性問題が出る
Microsoftは、古いSecure Boot証明書のままのデバイスは、今後のブートレベルの脅威に対する保護を維持するために、2023年版証明書へ更新する必要があると説明しています。
Question:自分のPCは更新済みなのか?何を確認すればよいのか?
ここで気になるのは、 自分のPCが2023年版のSecure Boot証明書に更新されているのか という点です。
確認方法は大きく3つあります。
- Windowsセキュリティで確認する
- PowerShellで確認する
- msinfo32でSecure BootのON/OFFだけ確認する
ただし、msinfo32で分かるのは主に Secure Bootが有効かどうか です。 証明書が2023年版に更新済みかどうかまでは分からないため、更新状況の確認にはWindowsセキュリティまたはPowerShellを使うのが現実的です。
Answer:Windows Update、BIOS更新、UEFICA2023Status、BitLocker回復キーを確認する
現実的な対応としては、次の順番がおすすめです。
- Windows Updateを最新にする
- WindowsセキュリティでSecure Boot証明書の状態を見る
- 必要に応じてPowerShellで確認する
- メーカーのBIOS / UEFI更新を確認する
- BitLocker回復キーの保管場所を確認する
Microsoftは、WindowsセキュリティアプリでSecure Boot証明書の更新状態を確認できるようになったと案内しています。この画面では、デバイスが更新を受け取っているか、現在の状態、対応が必要かどうかを確認できます。
Secure Boot証明書とは
Secure Boot証明書とは、PCの起動時に 信頼できるソフトウェアかどうかを確認するための証明書 です。
PCは起動時に、WindowsのブートローダーやUEFI関連のプログラムを読み込みます。 この時、悪意のあるブートローダーや改ざんされたソフトウェアが起動しないように、Secure Bootが証明書で信頼性を確認します。
つまり、Secure Boot証明書は、 Windowsが安全に起動するための信用リスト のようなものです。
2026年に期限切れになる証明書
Microsoftが案内している主な期限切れ証明書は次のとおりです。
| 古い証明書 | 期限 | 新しい証明書 | 役割 |
|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 2026年6月24日 | Microsoft Corporation KEK 2K CA 2023 | DB / DBX更新の署名 |
| Microsoft UEFI CA 2011 | 2026年6月27日 | Microsoft UEFI CA 2023 | UEFIアプリなどの署名 |
| Microsoft Windows Production PCA 2011 | 2026年10月19日 | Windows UEFI CA 2023 | Windowsブートローダーの署名 |
Microsoft公式では、これらの2011年版証明書に対応する新しい2023年版証明書が案内されています。
期限切れになるとPCは起動しなくなるのか
ここはかなり重要です。
期限切れ=即起動不能 ではありません。
Microsoftは、2011年証明書が期限切れになることで、古い証明書のままのPCは今後のブートレベルの脅威に対する保護を維持するために更新が必要になると説明しています。 つまり、すぐに全部のPCが止まるというより、 将来的なセキュリティ更新や互換性に影響する可能性がある という話です。
ただし、古いPC、特殊用途PC、企業管理端末、サポート外OSでは、更新が自動で進まない場合があります。 そのため、期限が近づく前に更新状況を確認しておくことが大切です。
確認方法1:Windowsセキュリティで確認する【一番おすすめ】
一般ユーザーに一番おすすめなのが、Windowsセキュリティから確認する方法です。
確認手順
- 設定 を開く
- プライバシーとセキュリティ を開く
- Windowsセキュリティ を開く
- デバイスセキュリティ を開く
- セキュアブート の状態を確認する
Microsoftは、WindowsセキュリティアプリでSecure Boot証明書更新の状態、現在のステータス、対応が必要かどうかを確認できると案内しています。
判定の目安
| 表示 | 意味 | 対応 |
|---|---|---|
| 緑 | 更新済み・問題なし | 基本的に対応不要 |
| 黄 | 更新待ち・条件不足・要確認 | Windows UpdateやBIOS更新を確認 |
| 赤 | 未更新または問題あり | メーカー情報・管理者確認 |
画面の文言や色表示はWindowsのバージョンや管理状態によって変わる可能性があります。 そのため、表示内容を確認し、必要に応じて管理者やメーカーサポートに相談してください。
確認方法2:PowerShellで確認する【管理者向け】
管理者や情シスで確実に確認したい場合は、PowerShellを使います。
管理者権限でPowerShellを開き、次のコマンドを実行します。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'判定
| 結果 | 意味 |
|---|---|
| True | Windows UEFI CA 2023が確認できる |
| False | 2023証明書が確認できない可能性がある |
MicrosoftのSecure Boot playbookでは、2026年に期限切れを迎える証明書に備えて、Secure Boot証明書を確認・更新するための手順やツールが案内されています。
また、状況確認用として次のレジストリ値を見る運用もあります。
Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\ -Name UEFICA2023Status,UEFICA2023Errorこの値は、2023年版証明書への更新状況やエラー確認に使われます。 前回のHP BIOS更新問題のように、Secure Boot証明書更新が途中で止まるケースでは、この確認が重要になる場合があります。
確認方法3:msinfo32でSecure BootのON/OFFを確認する【参考】
msinfo32でもSecure Bootの状態を確認できます。
確認手順
- Win + R を押す
- msinfo32 と入力してEnter
- セキュアブートの状態 を確認する
ここで分かるのは、主にSecure Bootが有効かどうかです。
ただし、 2023年版証明書に更新済みかどうかまでは判断できません。
そのため、証明書更新状況を確認したい場合は、WindowsセキュリティまたはPowerShellを使うほうが確実です。
判断フロー
| 状態 | 判断 | 対応 |
|---|---|---|
| Windowsセキュリティが緑 | 問題なし | 通常運用でOK |
| PowerShellがTrue | 2023証明書確認済み | 通常運用でOK |
| Windowsセキュリティが黄 | 更新待ち・確認必要 | Windows Update、BIOS更新を確認 |
| PowerShellがFalse | 未更新の可能性 | メーカー情報や管理者確認 |
| Windowsセキュリティが赤 | 要対応 | PCメーカー・情シスへ相談 |
一般ユーザーがやるべきこと
1. Windows Updateを最新にする
多くのWindows 11 PCでは、2023年版証明書の更新はWindows Update経由で進みます。 まずはWindows Updateを最新にしておきます。
2. Windowsセキュリティで状態を見る
次に、WindowsセキュリティでSecure Boot証明書の状態を確認します。 緑表示であれば、基本的には大きな心配はありません。
3. BIOS / UEFI更新を確認する
一部のPCでは、Windows Updateだけでなくメーカー側のBIOS / UEFI更新が必要になる場合があります。 Microsoftも、一部のシステムでは追加のファームウェア更新が必要になる可能性があると説明しています。
4. BitLocker回復キーを確認しておく
BIOSやSecure Boot関連の更新では、BitLocker回復キーを求められる場合があります。
そのため、更新前にBitLocker回復キーの保管場所を確認しておくと安心です。
- Microsoftアカウント
- Microsoft Entra ID
- Intune
- Active Directory
- 社内の資産管理台帳
情シス・管理者が確認すべきこと
企業環境では、個別端末だけでなく、管理対象PC全体の状態確認が必要になります。
確認ポイント
- Windows Updateの適用状況
- Secure Boot証明書の更新状態
- UEFICA2023Status / UEFICA2023Error
- BitLocker回復キーの保管状況
- BIOS / UEFI更新の配信状況
- 対象外・古いPCの有無
- 特殊用途PCやキッティング済み端末の状態
MicrosoftはIT管理者向けにも、WindowsセキュリティアプリでSecure Boot証明書更新状態を確認できる案内を公開しています。管理端末では、更新状況や対応が必要なデバイスを確認する運用が重要です。
大量展開時の注意
BIOS / UEFI更新やSecure Boot証明書更新は、BitLocker回復キー要求を引き起こす可能性があります。
そのため、全台一斉更新ではなく、
- テスト端末で確認
- 一部部署で展開
- 問題がなければ全体展開
という段階展開が安全です。
やってはいけないこと
- Secure BootをむやみにOFFにする
- TPMを安易にクリアする
- BitLocker回復キー未確認のままBIOS更新する
- Windows Updateを長期間止める
- msinfo32だけで証明書更新済みと判断する
- 会社PCを個人判断でBIOS変更する
特に危険なのは、 TPMクリア です。 BitLocker回復キーがない状態でTPMをクリアすると、暗号化されたドライブへアクセスできなくなる可能性があります。
会社PCの場合は、自己判断でSecure BootやTPMを変更せず、情シス・管理者に確認することが重要です。
よくある誤解
誤解1:期限切れの日にPCが一斉に起動しなくなる
これは違います。
期限切れにより、すぐに全PCが停止するという話ではありません。 ただし、古い証明書のままだと、将来的なセキュリティ更新や互換性に影響する可能性があります。
誤解2:Secure Bootが有効なら証明書も更新済み
これも違います。
msinfo32でSecure Bootが有効と表示されていても、2023年版証明書に更新済みとは限りません。 証明書更新状況は、WindowsセキュリティまたはPowerShellで確認する必要があります。
誤解3:BIOSを触ればすぐ直る
BIOSやSecure Boot、TPMは起動セキュリティに関わる重要な設定です。 不用意に変更すると、BitLocker回復キー要求や起動不能につながる可能性があります。
現場判断用チェック表
| 確認項目 | 見る場所 | 判断 |
|---|---|---|
| Secure Bootが有効か | msinfo32 | ON/OFFのみ確認 |
| 証明書更新状況 | Windowsセキュリティ | 一般ユーザー向け |
| Windows UEFI CA 2023 | PowerShell | 管理者向け確認 |
| 更新エラー | UEFICA2023Error | 0以外なら要確認 |
| BIOS更新 | メーカー公式 | 機種ごとに確認 |
| BitLocker回復キー | Microsoftアカウント / Entra ID / Intune / AD | 更新前に確認 |
まとめ:2026年のSecure Boot証明書期限切れは、早めに更新状況を確認しておくことが大切
Windows PCで使われている2011年版のSecure Boot証明書は、2026年6月から順次期限切れを迎えます。 Microsoftは新しい2023年版証明書への更新を進めており、多くのWindows 11 PCではWindows Updateなどを通じて自動的に更新されます。
ただし、古いPC、企業管理端末、特殊用途PC、一部のWindows 10環境では、自動更新だけでは完結しない場合があります。 そのため、WindowsセキュリティやPowerShellで更新状況を確認しておくことが重要です。
確認方法としては、一般ユーザーは Windowsセキュリティ 、管理者は PowerShellでWindows UEFI CA 2023の有無 を確認するのがおすすめです。
また、BIOS / UEFI更新やSecure Boot証明書更新では、BitLocker回復キーを求められる可能性があります。 更新前に回復キーの保管場所を確認しておくと安心です。
一言でまとめると、 Secure Boot証明書の期限切れは、すぐにPCが止まる話ではないが、放置すると将来的なセキュリティと互換性に影響する可能性があるため、2023証明書への更新状況を確認しておくべき です。
参考情報
- Microsoft:Windows Secure Boot certificate expiration and CA updates
- Microsoft:When Secure Boot certificates expire on Windows devices
- Microsoft:Secure Boot certificate update status in the Windows Security app
- Microsoft Tech Community:Secure Boot playbook for certificates expiring in 2026