2026年6月以降、Windowsパソコンに搭載されているセキュリティ機能「セキュアブート証明書」の有効期限が順次終了します。
「セキュアブート証明書」とは、パソコンの起動プロセス(UEFI)でOSやドライバが改ざんされていないか確認し、正規のソフトウェアのみを読み込むためのデジタル署名技術です。
2011年に発行された証明書が2026年6月に期限を迎えるため、Windows Updateによる自動更新やBIOSファームウェアのアップデートによる対応が必要になることもあります。
これに伴い、Microsoft は新しいセキュアブート証明書(2023年版) への更新を順次進めています。
小生のWindows 11パソコン3台は、既に新しいセキュアブート証明書に更新されていることを確認できています。皆さんのパソコンの進捗状況はいかがでしょうか。
本稿では、新しいセキュアブート証明書の概要と、証明書が適用されているかどうかを調べる方法について解説いたします。
解説に使用したOSは「Windows 11 Pro 25H2」です。Windows 11 HomeまたはWindows 10でも同じ手順で確認できます。
Windows 11のセキュリティとプライバシーについては、以下の関連記事も合わせてご覧ください。
パソコンは常にウィルスやワーム、トロイの木馬、スパイウェアといったマルウェア(malware)の脅威にさらされています。マルウェアは、"malicious software" の略語で、悪意のあるソフトウェアをこう呼び、コンピュータやネッ[…]
インターネットの世界では、個人情報などのデータ(プライバシーのデータ)が収集されるのは日常茶飯事のことです。Windows 10/11 パソコンをお使いの人は、プライバシーを脅かす可能性のある標準設定が多数あることをご存じでしょうか。例え[…]
1 セキュアブート証明書の概要
「セキュア ブート」とは、 パソコンをウイルスから守るためのセキュリティ機能です。パソコンの電源を投入してからWindows OSが起動する前に、悪意のあるプログラムが侵入することを防いでいます。
その仕組みは、UEFIファームウェア内に信頼されたデジタル署名のデータベースを持ち、許可されたブートローダー(OSを起動させるプログラム)のみを動作させて、セキュアブートを高めているのです。
このデジタル署名のデータベースを「セキュアブート証明書」と呼称しており、Windows OSを起動・動作させるために必須となるセキュリティ機能です。
このセキュアブート証明書の有効期限が2026年6月から10月までとされており、巷間では「新しいセキュアブート証明書に更新しないと、パソコンが起動できなくなるかもしれない」と、取りざたされています。
しかしながら、Microsoftの関連公式サイト(このリンク)では「デバイスが新しい証明書なしで有効期限に達した場合でも、正常に起動して動作します。 Standard Windows 更新プログラムは引き続きインストールされます。 」とアナウンスしており、あまり心配することはありません。
だだし、「新しい脅威が発生すると、この期限切れの状態のデバイスは徐々に保護されなくなります」とも述べているため、そのままではデバイスのセキュリティ リスクは高まります。
新しい2023年セキュアブート証明書は、Windows Updateを介して自動的に配信されています。
配信は段階的に実行されているため、まだ更新されていない場合でもWindows Updateを適正に実行していれば最新の状態になります。
2 セキュアブート証明書の適用状況を確認する手順
本章では、Windowsの標準機能「ターミナル」によるコマンドで、自分のパソコンが「2023 セキュア ブート証明書」に更新されているかどうかを確認します。
コマンドは、以下に示す手順で2つ実行します。
- タスクバーの「スタート」ボタンを右クリックして、クイックリンクメニューの「ターミナル(管理者)」をクリックします。
- 「ユーザーアカウント制御」画面が表示された場合は「はい」ボタンをクリックします。
- 「ターミナル」(PowerShell)が開きます。
以下に示すコマンドを入力して、キーボードの「Enter」キーを押します。
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)
このコマンドは、セキュアブートのデジタル署名が登録されているデータベースを確認するものです。
(コマンドをコピーして、ターミナル画面で右クリックすれば簡単に貼り付けできます) - このコマンド結果が以下のように表示されます。
「False」または「True」
「False」の場合
2023年セキュアブート証明書は適用されていません。
「True」の場合
2023年セキュアブート証明書が適用済みです。 -
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match ‘Microsoft Corporation KEK 2K CA 2023’)続いて、以下に示すコマンドを入力して、キーボードの「Enter」キーを押します。
このコマンドは、データベースを更新するためのキーを確認するものです。 - このコマンド結果の意味は前述と同じです。
一方が「True」でもう片方が「False」の場合は、一部の証明書は適用済みですが完全ではありません。 今後のWindows Updateで更新される可能性が高いです。
両方とも「False」の場合は、2023セキュアブート証明書は適用されていません。Windows Updateによる更新を待ちます。
コマンドエラーが表示された場合は、UEFIのセキュアブートが無効化されているか、レガシーBIOSの可能性があります。
セキュアブートの設定状況は、それぞれのデバイスでUEFIを起動してご確認ください。
レガシーBIOSを使用している場合は、セキュアブートの対象外となるため何もする必要はありません。ただし、セキュリティは低下することを認識してパソコンを使う必要があります。
以上で「Windows 11の操作:セキュアブート証明書の更新を確認する手順」に関する解説を終わります。
Windows 11のセキュリティとプライバシーについては、以下の関連記事も合わせてご覧ください。
Windows OSは、ユーザーに関するあらゆる種類のデータをデフォルトで収集しています。これはユーザーエクスペリエンス(利便性)を向上させることを目的としていますが、プライバシー情報の流出という懸念も引き起こす可能性があります。例えば、[…]
スマートフォンやデジカメといったデジタル機器で写真を撮影すると、その写真にはExifデータが自動的に記録されます。記録されているデータから撮影した情況を把握できるので、後から写真の整理などをするときに活用できます。しかし、GPSを利用した[…]