2026年6月以降、Windows PCで使われているセキュアブート関連の証明書が順次有効期限を迎えます。
SNSなどでは「期限が切れるとWindowsが起動しなくなる」「今すぐBIOS設定を変えないと危険」といった不安をあおる話も見かけますが、Microsoftの公式情報では、古い証明書のまま期限を迎えても、PCが直ちに起動しなくなるわけではありません。
ただし、何もしなくてよいという意味でもありません。新しい2023年版の証明書が入っていないPCでは、将来的にWindows Boot Managerやセキュアブート関連の保護を十分に受けられなくなる可能性があります。
この記事では、Windowsのセキュアブート証明書期限切れ問題について、一般ユーザーが何を確認すればよいのか、手動対応が必要なのはどのような場合かを整理します。
この記事でわかること
最初に注意しておきたいこと
セキュアブートやUEFIの証明書は、Windowsが起動する前の安全性に関わる重要な設定です。
そのため、次の操作は慎重に行ってください。
特に、古いPC、Legacy BIOSやCSMで起動しているPC、MBR形式のディスクでWindowsを使っているPC、Linuxとのデュアルブート環境では、設定変更後にWindowsが起動しない、またはBitLocker回復キーを求められる可能性があります。
不安がある場合は、まずWindows Updateを最新にして様子を見る、PCメーカーの案内を確認する、BitLocker回復キーを確認してから作業する、という順番がおすすめです。
2026年のセキュアブート証明書期限切れとは?
セキュアブートは、PCの起動時に信頼できるソフトウェアだけを実行するためのUEFIの仕組みです。
Microsoftによると、Windows PCで使われてきた2011年版のセキュアブート証明書は、2026年6月から10月にかけて期限を迎えます。
主な対象は次の証明書です。
| 期限を迎える証明書 | 期限 | 新しい証明書 | 保存場所 |
|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | 2026年6月 | Microsoft Corporation KEK 2K CA 2023 | KEK |
| Microsoft Windows Production PCA 2011 | 2026年10月 | Windows UEFI CA 2023 | DB |
| Microsoft UEFI CA 2011 | 2026年6月 | Microsoft UEFI CA 2023 | DB |
| Microsoft UEFI CA 2011 | 2026年6月 | Microsoft Option ROM UEFI CA 2023 | DB |
この更新は、単に証明書の期限を延ばすだけではありません。Windows Boot Manager、セキュアブートデータベース、失効リスト、起動前の脆弱性対策などを今後も受け取れる状態にするための更新です。
期限切れになるとWindowsは起動しなくなる?
結論から言うと、古い証明書のまま期限を迎えても、Windowsが直ちに起動しなくなるわけではありません。
Microsoftは、2023年版の証明書を受け取っていないPCでも、起動と通常のWindows Updateは継続できると説明しています。
ただし、次のような影響が出る可能性があります。
つまり、「明日からPCが使えない」という話ではありませんが、長く放置してよい問題でもありません。
通常のWindowsユーザーは何をすればよい?
家庭用のWindows 10またはWindows 11で、Windows UpdateをMicrosoftから直接受け取っている一般的なPCでは、多くの場合、特別な作業は不要です。
まず確認することは次の3つです。
| 確認項目 | 内容 |
|---|---|
| Windowsがサポート対象か | Windows 11、またはESUなどで更新を受け取れるWindows 10か |
| Windows Updateを止めていないか | 更新の一時停止を解除し、最新の更新を適用する |
| セキュアブートが有効か | msinfo32 で状態を確認する |
2026年5月時点では、Microsoftは2026年6月まで段階的に2023年版証明書の更新を進めています。焦って手動更新するより、まずWindows Updateとメーカーのファームウェア更新を確認するのが安全です。
手順1:セキュアブートが有効か確認する
最初に、Windowsでセキュアブートが有効になっているか確認します。
Windowsキー +Rを押します。msinfo32と入力してEnterキーを押します。- 「システム情報」が開いたら、右側の一覧で次の項目を確認します。
| 項目 | 確認する内容 |
|---|---|
| BIOS モード | UEFI になっているか |
| セキュア ブートの状態 | 有効 になっているか |
BIOS モード が UEFI、セキュア ブートの状態 が 有効 であれば、セキュアブートは動作しています。
手順2:Windows セキュリティで証明書更新状態を確認する
Windowsの更新状況によっては、Windows セキュリティアプリからセキュアブート証明書の状態を確認できます。
- スタートメニューから「Windows セキュリティ」を開きます。
- 「デバイス セキュリティ」を開きます。
- セキュアブート証明書の更新状態に関する表示を確認します。
表示がない場合でも、すぐに異常とは限りません。Windowsのバージョン、更新状況、PCメーカーの実装によって見え方が異なるためです。
表示だけで判断しにくい場合は、次のPowerShellで確認します。
手順3:PowerShellで Windows UEFI CA 2023 を確認する
より直接的に確認したい場合は、管理者権限のPowerShellでセキュアブートのDBを確認します。
スタートボタンを右クリックし、「ターミナル(管理者)」または「Windows PowerShell(管理者)」を開いて、次のコマンドを実行します。
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')結果の見方は次のとおりです。
| 結果 | 意味 |
|---|---|
True | Windows UEFI CA 2023 がDBに入っています |
False | まだ Windows UEFI CA 2023 がDBに入っていない可能性があります |
| エラー | セキュアブートが無効、管理者権限ではない、UEFI変数を読めない環境などが考えられます |
なお、2026年4月14日以降の月例累積更新プログラムを適用している環境では、Get-SecureBootUEFI -Name db -Decoded で証明書情報を読みやすく表示できるようになっています。
Get-SecureBootUEFI -Name db -Decodedこの出力に CN=Windows UEFI CA 2023 が含まれていれば、2023年版のWindows用証明書が確認できます。
False が出た場合はどうすればよい?
False が出ても、すぐに危険という意味ではありません。
まずは次を確認します。
- Windows Updateを最新にする
- PCメーカーのBIOSまたはUEFIファームウェア更新を確認する
- 数日から数週間おいて再度確認する
Microsoftは、一般ユーザー向けには2023年版証明書をWindows Update経由で段階的に配信しています。サポート対象のWindowsで、セキュアブートが有効になっていれば、多くのPCでは自動更新を待つのが基本です。
セキュアブートが無効だった場合は有効化すべき?
一般的なWindows 11 PCであれば、セキュアブートは有効にしておくのがおすすめです。
セキュアブートが有効だと、Windowsが起動する前に動作する不正なブートローダーやブートキットへの対策になります。また、Windows 11の要件にも関係します。
ただし、無条件にBIOSやUEFIで設定を変更してよいわけではありません。
有効化する前に、少なくとも次を確認してください。
特に BIOS モード が レガシ の場合は、単にセキュアブートを有効にするだけでは解決しません。ディスク形式や起動方式の変更が必要になる可能性があるため、無理に進めないほうが安全です。
手動で証明書更新を進める方法はある?
Microsoftは、IT管理者向けにレジストリキーを使ったセキュアブート証明書更新の展開方法を公開しています。
ただし、これは主に企業や学校など、IT管理下のWindowsデバイスを対象にした方法です。家庭用PCでは、まずWindows Updateによる自動更新を待つのが基本です。
どうしても検証目的で手動実行する場合は、管理者権限のPowerShellで次のような公式手順が案内されています。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Microsoftの説明では、このタスクは通常12時間ごとに実行されます。また、処理の途中で再起動が必要になる場合があります。
処理状況は、次のレジストリ値で確認できます。
| レジストリ値 | 意味 |
|---|---|
UEFICA2023Status | NotStarted、InProgress、Updated などの更新状態 |
UEFICA2023Error | エラーがある場合のコード |
UEFICA2023ErrorEvent | 関連するイベントID |
これらは次の場所に作成されます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicingレジストリ変更はリスクがあるため、通常の記事読者には「まずWindows Updateを最新にする」「メーカーの案内を確認する」までを推奨し、手動更新は上級者向けの選択肢として扱うのがよいです。
True になったら証明書問題は解決?
PowerShellの確認で True になった場合、少なくとも Windows UEFI CA 2023 がセキュアブートのDBに入っている状態です。
この状態なら、2026年10月に期限を迎える Microsoft Windows Production PCA 2011 だけに依存した状態ではなくなっています。
ただし、セキュアブート証明書の更新は複数の証明書やブートマネージャー更新を含むため、今後もWindows Updateとメーカーのファームウェア更新は継続してください。
うまくいかない場合の確認ポイント
Get-SecureBootUEFI で 0xC0000100 のようなエラーが出る
セキュアブートが無効、またはUEFI変数を読み取れない状態の可能性があります。
まず msinfo32 で BIOS モード と セキュア ブートの状態 を確認してください。
Windows セキュリティにセキュアブートの項目がない
表示がないだけで、直ちに異常とは限りません。
msinfo32 とPowerShellの確認結果を優先して判断します。
セキュアブートを有効にしたらBitLocker回復キーを求められた
BitLockerは起動環境の変化を検出すると、回復キーを求める場合があります。
作業前にMicrosoftアカウントや組織の管理画面で回復キーを確認しておくことをおすすめします。
セキュアブートを有効にしたらWindowsが起動しない
BIOSまたはUEFI画面に戻り、セキュアブートを一度無効に戻してください。
その後、PCメーカーのサポート情報を確認し、起動方式、ディスク形式、BIOS更新の要否を確認します。
よくある質問
2026年6月を過ぎるとWindowsは使えなくなりますか?
いいえ。Microsoftは、2023年版証明書が入っていないPCでも、直ちに起動できなくなるわけではなく、通常のWindows Updateも継続できると説明しています。
ただし、起動前のセキュリティ保護を今後も受けるためには、2023年版証明書への更新が必要です。
Windows UEFI CA 2023 が入っていれば完全に安心ですか?
重要な確認ポイントの1つではありますが、セキュアブート更新全体はKEK、DB、ブートマネージャー更新など複数の要素を含みます。
True になった後も、Windows Updateとメーカーのファームウェア更新は続けてください。
古いPCでも対応が必要ですか?
UEFIセキュアブートに対応していない古いPCでは、この仕組み自体を使っていない場合があります。
一方、Windows 10やWindows 11をUEFI環境で使っているPCでは対象になる可能性があります。まず msinfo32 で確認するのが確実です。
手動更新コマンドを実行したほうがよいですか?
一般ユーザーは、まずWindows Updateとメーカーのファームウェア更新を優先するのがおすすめです。
レジストリを使った手動更新は、Microsoftの公式ドキュメントでもIT管理者向けの展開方法として説明されています。仕組みを理解したうえで、必要な場合だけ実行してください。
まとめ
2026年のWindowsセキュアブート証明書期限切れは、「期限が来た瞬間にPCが起動しなくなる」という問題ではありません。
一方で、古い2011年版証明書のまま放置すると、将来の起動前セキュリティ保護を受けにくくなる可能性があります。
まずは次の順番で確認するのがおすすめです。
- Windows Updateを最新にする
msinfo32でセキュアブートが有効か確認する- PowerShellで
Windows UEFI CA 2023が入っているか確認する Falseの場合は、焦らずWindows Updateとメーカー更新を確認する- 手動更新は、リスクを理解したうえで必要な場合だけ行う
不安をあおる情報に流されず、Microsoft公式情報とPCメーカーの案内を確認しながら、安全に対応していきましょう。
参考情報
- Windows Secure Boot certificate expiration and CA updates – Microsoft Support
- Windows devices for home users, businesses, and schools with Microsoft-managed updates – Microsoft Support
- Secure Boot certificate update status in the Windows Security app – Microsoft Support
- PowerShell: Using the -Decoded parameter in Get-SecureBootUEFI – Microsoft Support
- Registry key updates for Secure Boot: Windows devices with IT-managed updates – Microsoft Support
