2026年6月、Microsoftが2011年に発行したセキュアブートの証明書が期限切れを迎える。PC系のニュースサイトでは騒がれているネタなんですが、「で、結局うちのPCはどうなの?」がわかりにくい。

自分も気になって、工房にあるPC 7台をPowerShellのコマンドで一括チェックしてみた。結果、6台は新しい2023年版の証明書に更新済み。でも1台だけ「False」が返ってきたんですよね。調べたらWindows Updateの保留分が1つ残っていて、そいつが原因で証明書の自動更新が止まっていた。手動で適用したら即「True」に変わったので大事には至らなかったけれど、複数台運用していると「ほぼ全部大丈夫だけど1台だけ漏れてる」パターンが体感でいちばん怖い。

この記事では「自分のPCが更新済みかどうか」を30秒で確認する手順と、更新されていなかった場合にやることを書いておく。Windows Updateを普通に当てていればまず心配はいらないが、確認はコピペ1回で終わるので、やっておくに越したことはないです。

セキュアブート証明書の期限切れで何が起きるのか

セキュアブートは、PCの電源を入れたときに「正規のWindowsブートローダー以外は起動させない」とUEFI(BIOSの後継ファームウェア)が見張る仕組み。この見張りに使われている証明書が、2011年に発行されたもので、有効期限が2026年の夏に切れる。

具体的なスケジュールは以下のとおり。

  • Microsoft Corporation KEK CA 2011:2026年6月24日に期限切れ
  • Microsoft UEFI CA 2011:2026年6月27日に期限切れ
  • Microsoft Windows Production PCA 2011:2026年10月19日に期限切れ

Microsoftはこれに対応するために、2023年版の新しい証明書(Windows UEFI CA 2023、Microsoft Corporation KEK 2K CA 2023など)をWindows Update経由で配布している。2025年10月以降の累積更新プログラムを適用していれば、多くのPCには自動で入っているはずだ。

ぶっちゃけ「証明書の期限切れ」と聞くと「6月になったら突然PCが起動しなくなるのか?」と焦る人が多い。けれど、そこまで極端なことは起きない。Microsoftの公式サポートページによれば、2023年版の証明書を受け取っていなくても「デバイスは引き続き正常に起動し、通常のWindows Updateもインストールされる」としている。ただし、ブートマネージャーの更新やセキュアブートDBの失効リスト更新など、起動プロセスのセキュリティ保護が古いままになる。放置するのは望ましくない。

自分のPCが更新済みか確認する方法

確認方法は2通り。GUIが好きな人は「Windowsセキュリティ」アプリから、コマンドでサクッと済ませたい人はPowerShellから確認できる。結果は同じなので好みで選んでほしい。

方法1:Windowsセキュリティアプリで確認する

2026年4月の更新プログラム以降を適用済みのWindows 11なら、Windowsセキュリティアプリに証明書の状態が表示されるようになった。Microsoftのサポートページでもこの確認方法が案内されている。

  1. スタートメニューから「Windowsセキュリティ」を開く
  2. 左メニューの「デバイスセキュリティ」をクリック
  3. 「セキュアブート」の項目を確認する

緑色のチェックマークで「セキュア ブートはオンで、必要な証明書の更新がすべて適用されています」と表示されていれば更新済み。問題なし。

黄色の警告アイコンで「古いブート信頼構成を使用しています」と出た場合は、まだ新しい証明書が入っていない。この場合は後述の対処が必要になる。

方法2:PowerShellで確認する

15年やっててもこういう確認系のコマンドは毎回ググるんですが、これは短いので覚えておいて損はないと思う。

  1. スタートメニューで「PowerShell」と検索する
  2. 「Windows PowerShell」を右クリックして「管理者として実行」を選ぶ
  3. 以下のコマンドをコピペしてEnterキーを押す
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Trueが返ってくれば、新しい証明書(Windows UEFI CA 2023)がインストール済み。Falseなら、まだ更新されていない状態だ。

(ちなみに自分はこのコマンドを工房の7台で順番に叩いていった。SSH越しにリモートで回したほうが効率的だったんですが、現物を見ながらやらないと落ち着かない性分なので1台ずつ回った)

KEK(鍵交換キー)の証明書も確認したい場合は、同じPowerShellで以下も実行する。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

dbとKEKの両方が「True」なら、セキュアブート証明書の更新は完了している。

「False」や黄色アイコンが出たときの対処

焦らなくて大丈夫。PCショップ時代にも「何かヤバい通知が出た」と駆け込んでくる客が多かったんですが、セキュアブート証明書の更新が遅れている原因は大半が「Windows Updateの適用漏れ」なんですよね。

ステップ1:Windows Updateの保留分を片付ける

  1. 「設定」→「Windows Update」を開く
  2. 「更新プログラムのチェック」をクリック
  3. 保留中の更新があれば、すべてインストールして再起動する

自分の工房で引っかかった1台も、保留になっていた累積更新プログラムを適用するだけで「True」に変わった。特に2025年10月以降の累積更新プログラム(LCU)が適用されていることが重要。Microsoftの公式ブログでも「最新の累積更新を適用すること」が最初のアクションとして案内されている。

ステップ2:オプションの更新も確認する

「Windows Update」の画面下部に「オプションの更新プログラム」が表示されていないか確認してほしい。Microsoftはセキュアブート証明書の更新を段階的に配信しているため、タイミングによっては「オプション」扱いになっていることがある。見つかったらインストールして再起動し、もう一度PowerShellのコマンドで確認する。

ステップ3:BIOSも最新にしておく

メーカー製PCの場合、BIOSのアップデートがWindows Update経由で配信されることがある。Dellのサポートページdynabookの案内ページでも、BIOS更新の適用が推奨されている。

自作PCの場合はマザーボードメーカーのサイトから最新BIOSを確認すること。自分の経験だと、BIOSのメニュー構成はメーカーや世代で全然違うので、結局マニュアルを見ることになる。面倒だが省略できない工程だ。

「セキュアブートをオフにすれば解決」は絶対にやめてほしい

ネット上で「セキュアブートを無効にすればいい」という情報を見かけるかもしれない。確かにセキュアブートを無効にすると証明書のチェック自体がスキップされるので、「期限切れ問題」は回避できるように見える。

でもこれ、ブートレベルのセキュリティ保護をまるごと捨てているのと同じなんですよね。PC Watchの特集記事でも「セキュアブートをオフにするのはかなり危険」と明確に書かれている。正しい対処はWindows Updateを当てて新しい証明書を受け取ることであって、セキュリティを下げることではない。

オフにしたくなる気持ちはわかるんですが、ここは正攻法で行くべきところです。

FAQ

6月24日を過ぎたらPCが起動しなくなるの?

いいえ。証明書が古いままでも、PCは引き続き起動する。Microsoftの公式サポートによれば、通常のWindows Updateのインストールも可能。ただし、ブートマネージャーやセキュアブートDBの更新など、起動プロセスのセキュリティ保護を今後受けられなくなる。長期間放置するのは推奨されない。

Windows 10のPCはどうすればいい?

Windows 10も同じセキュアブート証明書を使っているため影響を受ける。Windows 10は2025年10月にサポートが終了しているので、証明書の自動更新が継続配信されるかはMicrosoft次第になる。可能であればWindows 11へのアップグレードを検討するのが安全だ。

自作PCでもセキュアブート証明書の更新は自動で来る?

Windows 11がインストールされていてWindows Updateが有効な状態なら、自作PCでもメーカー製PCと同じくWindows Update経由で証明書は配信される。ただし自分の工房では7台中1台で保留になっていたケースがあるので、PowerShellで一度確認しておくのをおすすめする。

PowerShellで「Cmdlet は、このプラットフォームではサポートされていません」と出る場合は?

セキュアブートが無効のPCか、レガシーBIOSモードで起動しているPCで出るエラー。「msinfo32」を実行して「BIOSモード」が「UEFI」、「セキュアブートの状態」が「有効」になっているか確認する。レガシーBIOSモードのPCではセキュアブート自体が使えないため、この証明書問題の影響は受けない。

参考文献