「セキュアブート証明書の期限切れ」って聞いて、なにそれ?と思った人、正直に手を挙げてください。2026年2月現在、Windowsの起動に必要な「セキュアブート」の電子証明書が2026年6月に期限切れを迎えることがニュースになっています。

放っておくとどうなるか。最悪の場合、ある日突然パソコンが起動しなくなります。でも安心してください。ほとんどの人はWindows Updateを普通にやっていれば大丈夫です。この記事では、自分のPCが大丈夫かどうかの確認方法と、万が一のときの対処法をわかりやすく解説します。

そもそもセキュアブートってなに?

セキュアブートとは、パソコンの電源を入れたときに「このOS(Windows)は正規品ですよ」と確認する仕組みです。ざっくり言うと、パソコン起動時のセキュリティチェックですね。

このチェックに使われているのが「電子証明書」です。運転免許証に有効期限があるように、この証明書にも期限があります。Microsoftが2011年に発行した証明書が、いよいよ2026年6月に期限切れを迎えるわけです。

証明書が切れると、パソコンが「このWindowsは信頼できるか確認できないから起動を止めよう」と判断してしまう可能性があるのです。

期限切れで何が起きる?影響範囲を整理

Microsoftの公式サポートページによると、期限切れになる証明書は以下の3つです。

  • Microsoft Corporation KEK CA 2011 — 2026年6月に期限切れ
  • Microsoft UEFI CA 2011 — 2026年6月に期限切れ
  • Microsoft Windows Production PCA 2011 — 2026年10月に期限切れ

これらは新しい「2023版」の証明書に置き換わります。具体的には「Windows UEFI CA 2023」「Microsoft UEFI CA 2023」などです。

影響を受けるのは、Windows 8以降(Windows 10・11含む)でセキュアブートが有効になっているPCです。つまり、ここ10年以内に買ったPCはほぼ全部が対象と考えてください。

ただし、2025年6月以降の累積更新プログラムを適用済みなら、新しい証明書は自動でインストールされています。普通にWindows Updateをしている人は基本的に心配いりません。

自分のPCは大丈夫?証明書の確認方法

「本当に大丈夫かな?」と不安な人のために、確認方法を紹介します。PowerShell(パワーシェル)というWindows標準ツールを使います。

ステップ1: PowerShellを管理者権限で開く

スタートボタンを右クリック →「ターミナル(管理者)」を選択します。Windows 10の場合は「Windows PowerShell(管理者)」を選んでください。

ステップ2: 証明書を確認するコマンドを実行

以下のコマンドをコピーして貼り付け、Enterを押します。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

結果が「True」と表示されれば、新しい証明書がすでにインストール済みです。何もする必要はありません。

結果が「False」と表示された場合は、まだ古い証明書のままです。次のセクションの対処法を実行してください。

ステップ3: セキュアブートが有効か確認(補足)

そもそもセキュアブートが有効かどうかは、以下のコマンドで確認できます。

Confirm-SecureBootUEFI

「True」ならセキュアブートは有効です。「False」や「コマンドが認識されない」場合は、セキュアブートが無効またはレガシーBIOSなので、今回の問題の影響は受けません。

「False」だった人の対処法4つ

確認で「False」が出た人、つまり新しい証明書がまだ入っていない人は、以下の方法で対処しましょう。2026年6月24日までに対応すればOKです。

対処法1: Windows Updateを実行する(最優先)

まずはこれが一番簡単で確実です。

  1. 「設定」→「Windows Update」を開く
  2. 「更新プログラムのチェック」をクリック
  3. 見つかった更新をすべてインストールして再起動

2025年6月以降の累積更新プログラムが適用されれば、新しい証明書が自動でインストールされます。dynabookの公式案内でも「OSを常に最新の状態にしておけば、特に考慮すべきことはありません」と案内されています。

対処法2: 手動で証明書更新タスクを実行する

Windows Updateが何らかの理由でうまくいかない場合は、PowerShell(管理者権限)で以下のコマンドを実行してみてください。

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

このコマンドは、Windowsに組み込まれた証明書更新タスクを手動で動かすものです。実行後、PCを再起動してからもう一度確認コマンドを試しましょう。

対処法3: BIOSを最新バージョンに更新する

PCメーカーによっては、BIOSアップデートで新しい証明書を配布しているケースもあります。お使いのメーカーのサポートページで最新のBIOSを確認してください。

対処法4: 起動しなくなってしまった場合の復旧

万が一、期限切れ後にPCが起動できなくなった場合は以下の手順を試してください。

  1. BIOS設定画面に入る(起動時にF2やDeleteキーを連打)
  2. セキュアブートを一時的に「無効」にする
  3. Windowsを起動してWindows Updateを実行する
  4. 新しい証明書がインストールされたら、セキュアブートを「有効」に戻す

BIOS設定への入り方はメーカーによって異なります。一般的にはDellはF2、HPはF10、LenovoはF1またはFn+F1です。わからない場合は「メーカー名 BIOS 入り方」で検索してみてください。

やってはいけないNG行為

この問題に対処するとき、以下のことはやらないでください

  • セキュアブートをずっと無効のまま放置する — セキュアブートはマルウェアからPCを守る重要な機能です。一時的に無効にするのはOKですが、証明書を更新したら必ず有効に戻しましょう
  • 非公式のツールやサイトから証明書をダウンロードする — 証明書の更新はWindows UpdateまたはPCメーカーの公式サイトからのみ行ってください。非公式のものはマルウェアの可能性があります
  • BIOSの設定をよくわからないまま変更する — セキュアブートの有効/無効以外の設定は触らないのが安全です。不安なら最寄りのPCショップやメーカーサポートに相談しましょう

FAQ

Windows Updateを普通にやっていれば大丈夫?

はい、ほとんどの場合は大丈夫です。2025年6月以降のWindows Updateを適用していれば、新しいセキュアブート証明書は自動的にインストールされます。心配な人は本記事の確認コマンドで「True」が出るかチェックしてみてください。

Windows 10でも影響はある?

あります。Windows 10でセキュアブートが有効なPCは同様に影響を受けます。なお、Windows 10のサポート終了は2025年10月ですが、それ以降もセキュアブート証明書の更新は配信されています。

自作PCやBTOパソコンでも対応が必要?

はい、セキュアブートが有効であれば対象です。自作PCの場合はマザーボードメーカー(ASUS、MSI、Gigabyteなど)のサイトで最新BIOSを確認するのがおすすめです。Windows Updateでの自動更新も有効です。

すでにPCが起動しなくなった場合はどうすればいい?

BIOS設定でセキュアブートを一時的に無効にすれば起動できる可能性が高いです。起動後にWindows Updateで証明書を更新し、そのあとセキュアブートを有効に戻してください。

会社のPCで自分でWindows Updateができない場合は?

企業のIT管理者がWSUS(Windows Server Update Services)やMicrosoft Intune経由で更新を管理している場合があります。社内のIT部門に「セキュアブート証明書の更新は対応済みですか?」と確認してみてください。

参考文献