2026年6月に期限切れを迎える「セキュアブート証明書期限切れ問題」
Microsoft からの発表により、多くのWindowsユーザーや企業の情シス担当者にとって、無視できないテーマとなっています。
セキュアブート証明書期限切れについては、以前記事を作成しておりますので、是非ご覧いただけると幸いです。
現在、2026年3月も半ばとなりますので、2026年6月はもう目の前に迫りました!
「自分のPCは大丈夫なのか?」
「証明書はちゃんと更新されているのか?」
こうした不安を感じている方も多いのではないでしょうか。
本記事では、実際のPCを使ってセキュアブート証明書が更新されているかを確認する方法を説明します。
さらに、更新されていなかった場合の対処方法についても紹介しますので、ぜひ最後までご覧ください。
セキュアブート証明書の期限問題とは?(おさらい)
2026年6月、Windows環境において重要な役割を持つ「セキュアブート証明書」が期限切れを迎えます。
セキュアブートとは、PCの起動時に不正なプログラムの実行を防ぐ仕組みであり、UEFIに組み込まれた証明書によって信頼性が担保されています。
今回の問題は、この証明書の一部が期限切れになることで、正常なOS起動に影響が出る可能性がある点にあります。
2026年6月に何が起こるのか
古い証明書のまま運用している場合、将来的に以下のような影響が懸念されます。
- セキュアブートやブートローダーに関するアップデートを受け取れない
- 新しいブートローダーを信頼しない
- 最悪OSが起動しない
そのため、事前に証明書の更新状況を確認することが重要です。
セキュアブート証明書が更新されているか確認する方法
ここからは、実際にWindows環境で確認する方法を解説します。
確認前に準備するもの
確認作業には以下が必要です。
- 管理者権限のあるアカウント
- Windows 10 / Windows 11 のPC
- セキュアブートが有効な環境
セキュアブート状態の確認方法
まずは、使用しているPCの「セキュアブート使用有無」を確認します。
最も簡単な確認方法が、「システム情報(msinfo32)」を使う方法です。
確認手順
1.「Windowsキー + R」を押します
2.「msinfo32」と入力し実行
3.「システム要約」項目の、「BIOSモード:UEFI」、「セキュアブートの状態:有効」を確認
確認方法は以上になります。その他BIOS画面で確認する方法もありますので、BIOSから確認される場合は、各PCメーカーのサポートページよりご確認ください。
セキュアブート証明書情報の取得
具体的に、セキュアブート証明書更新を確認する場合は、PowerShellを使用します。
今回の、セキュアブート期限切れによる更新は、Windows Updateで自動更新されます。以下表にある、「期限切れ証明書」→「新しい証明書」に更新されますので、確認方法を以下に記載していきたいと思います。
| 期限切れ証明書 | 新しい証明書 |
|---|---|
| Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 |
| Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 |
| Microsoft UEFI CA 2011 * | Microsoft UEFI CA 2023 |
| Microsoft UEFI CA 2011 * | Microsoft Option ROM UEFI CA 2023 |
確認手順
管理者権限でPowerShellを開き、以下の証明書状態確認コマンドを実行します。
1.「Microsoft Corporation KEK 2K CA 2023」更新確認コマンド
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
2.「Windows UEFI CA 2023」更新確認コマンド
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
3.「Microsoft UEFI CA 2023」更新確認コマンド
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
4.「Microsoft Option ROM UEFI CA 2023」更新確認コマンド
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'
確認した結果、全て結果が「False = 証明書未更新」。全てのセキュアブート証明書は更新されていない事が分かりました。本当に6月までに、Windows Updateで自動更新されるのか不安が残りました。
更新されていなかった場合
もし証明書が更新されていなかった場合ですが、基本的には、Windows Updateでの自動更新をMicrosoftでは推奨しています。Windows Updateの適用タイミングは段階的に行われるようですので、「更新されるまで待つ!」というのが、基本になります。
Microsoft Secureboot Certificate FAQ
「更新されない時、何かやる事はないのか?」と思われるかもしれません。ユーザー側として、実施できる事としては、以下の2点になります。
1. UEFI/BIOSのアップデート
一部のPCでは、BIOSプログラムをアップデートが必要な場合があります。
メーカーのサポートページを確認し、最新版にアップデートしましょう。
2. セキュアブート証明書更新通知を行う(レジストリ)
MicrosoftのWindows Updateよりも先に、セキュアブート証明書更新を行いたい場合は、レジストリを使用して、更新を促す通知設定を行う事が可能です。
レジストリ設定手順を以下に記載します。
セキュアブート証明書更新通知手順
1.「Windowsキー + R」を押します
2.「regedit」と入力し、レジストリエディタを起動します
3.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot を開きます
4.AvailableUpdates レジストリ値を 0x5944 に構成します
これにより、Windows がセキュア ブート キーの更新とデバイスへのインストールを実行するように通知されます。
以上になります。
セキュアブート証明書更新確認
上記設定後、再起動を行おうとしたところ、「更新プログラムを適用して再起動」が表示されました。
ささこれは、セキュアブート証明書がダウンロードされたかもしれません!
再起動実行後、再度、セキュアブート証明書情報をPowerShellで取得してみたところ・・
全て「True = 新証明書が適用済み」が確認できました!
まとめ|今すぐ確認すべきポイント
2026年6月の期限に向けて、今から準備しておくことが重要です。
最低限チェックすべきポイント
- セキュアブートが有効か
- 証明書が更新されているか
- Windows Updateが適用されているか
- Windows Updateより先に証明書を更新したい場合は、レジストリで通知を行う
是非、ご参考にしていただけると幸いです!
コメント