2026年の有効期限前にWindows 11（および10）に2023年のセキュアブート証明書をインストールする方法

• 2011年に発行されたWindows 11（およびWindows 10）のセキュアブート証明書は、2026年6月に有効期限が切れます。
• 2024年以降に製造されたPCには、通常2023年の証明書が付属しています。それ以前のシステムでは、手動でのアップデートが必要になる場合があります。
• これらの手順は、証明書の詳細を確認し、2023年の証明書を手動でインストールするのに役立ちます。

Windows 11とWindows 10では、Microsoftは標準のシステムアップデートを通じて、セキュアブート証明書の検証と更新を段階的に進めています。ほとんどの場合、2026年6月の期限までにデバイスが対応できるよう、毎月のセキュリティアップデートを適用するだけで十分です。

ただし、新しい2023年版セキュアブート証明書を自分で検証または適用したい場合は、手動でプロセスを完了できます。このガイドでは、その手順を説明します。

セキュアブートは、UEFI（Unified Extensible Firmware Interface）に組み込まれたファームウェアレベルのセキュリティ機能です。これにより、デバイスは承認された認証局によってデジタル署名され、信頼されたソフトウェアのみで起動することが保証されます。セキュアブートは、オペレーティングシステムがロードされる前にブートローダーとファームウェアコンポーネントを検証することで、ルートキットやその他の低レベルのマルウェアが起動プロセスを侵害するのを防ぎます。

この保護機能を実現するために、セキュアブートは認証局（CA）と呼ばれる暗号鍵を利用します。これらの鍵はファームウェアとオペレーティングシステム間の信頼関係を確立し、起動初期段階で署名されていないコードや改ざんされたコードをブロックします。

他のすべてのデジタル証明書と同様に、セキュアブート認証局にも有効期限があります。2011年に発行された元の証明書は2026年6月に期限切れとなります。信頼性検証エラー、起動時の問題、または今後のアップデート受信の中断を防ぐため、システムは期限前に更新された2023年版証明書をインストールする必要があります。

2024年以降に製造されたコンピューターには、通常、2023年の証明書が既にインストールされた状態で出荷されます。それ以前のハードウェアについては、マイクロソフトは継続的なセキュリティメンテナンスの一環として、Windows Updateを通じて更新された証明書を提供していますが、新しい証明書を手動でインストールして置き換えることも可能です。

このガイドでは、Windows 11 デバイス上のセキュア ブート証明書を確認し、手動で更新するための簡単な手順を説明します。

重要：この処理はデータを破壊するものではありませんが、作業を進める前にコンピュータの完全なバックアップを作成することをお勧めします。あらかじめご了承ください。

Windows 11に2023年のセキュアブート証明書をインストールする

BitLockerが有効になっている場合は、ファームウェアが新しいキーをデバイスに正常に書き込む前に、PowerShellで暗号化を一時的に無効にする必要があります。また、作業を進める前に、お使いのコンピューターが2026年2月のセキュリティ更新プログラム（KB5077181）以降に完全に更新されていることSuspend-BitLocker -MountPoint "C:" -RebootCount 2を確認してください。

2026年に有効期限が切れる前にセキュアブート証明書を更新するには、以下の手順に従ってください。

1. スタートを開く。

    

    

2. PowerShell（またはターミナル）を検索し、一番上の検索結果を右クリックして、「管理者として実行」を選択します。

3. デバイスがセキュアブートを有効にしたUEFIを使用していることを確認するには、このコマンドを入力してEnterキーを押してください。

   Confirm-SecureBootUEFI

   補足：出力が「True」の場合は、以下の手順に進んでください。そうでない場合は、セキュアブートを有効にする必要があります。Windows 10をお使いの場合は、従来のBIOSからUEFIに切り替える必要がある場合もあります。

4. セキュアブート証明書の有効期限を確認するには、次のコマンドを入力してEnterキーを押してください。 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

5. （出力1）出力が「True」の場合、新しい証明書（2053年まで有効）を取得済みです。処理を停止し、続行しないでください。

6. （出力2）出力が「False」の場合は、おそらくまだ2011年の証明書（2026年に有効期限切れ）を使用していると思われます。以下の手順に進んでください。

7. 必要な証明書をすべて展開するためのレジストリキーを設定するには、次のコマンドを入力してEnter キーを押してください。 

   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

8. 証明書の変更を手動で実行するには、次のコマンドを入力してEnter キーを押してください。

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

   

9. コンピュータを一度再起動してください。

10. デバイスをもう一度再起動し、証明書の確認手順を続行してください。

    補足：アップデートを完全に適用するには、通常2回の再起動が必要です。1回目の再起動後、システムはブートマネージャを更新します。2回目の再起動後、UEFIデータベースへの証明書登録が完了します。

11. スタートを開く。

12. PowerShell（またはターミナル）を検索し、一番上の検索結果を右クリックして、「管理者として実行」を選択します。

13. アップデートが正常に完了したかどうかを確認するには、次のコマンドを入力してEnter キーを押してください。 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

手順を完了した後、出力が「True」であれば、新しい証明書（2053年まで有効）がコンピュータに正常にインストールされています。出力が「False」であれば、証明書のインストールは正しく行われていません。

「True」は2023年の認証局の登録を確認するものですが、すべてのシナリオで2011年の証明書が即座に削除されるわけではないことに注意してください。システムによっては、一時的に両方が表示される場合があります。

処理後も出力が「False」のままの場合は、イベントビューアー>アプリケーションとサービスログ> Microsoft > Windows > SecureBoot-Updateでエラーを確認してください。また、コマンドを実行してスケジュールされたタスクが存在することを確認してくださいGet-ScheduledTask -TaskName "Secure-Boot-Update"。

アップデート後、BitLockerを無効にする必要があった場合でも、Resume-BitLocker -MountPoint "C:"コマンドを実行することで暗号化を再開できます。ただし、-RebootCount 22回の再起動後には自動的に再開されます。

注意すべき点の一つは、2023年のセキュアブート証明書は突然出現するものではないということです。マイクロソフトは、これらの新しい証明書をWindowsのサービス更新プログラムに含めており、通常はWindows 11およびサポートされているWindows 10デバイス向けの累積更新プログラムまたはセキュリティ更新プログラムの一部として提供されます。 

実際、同社は2026年2月のセキュリティアップデート（およびそれ以降のリリース）以降、新しいセキュアブート証明書を組み込んでいます。

Windows UEFI CA 2023として知られるこれらの証明書は、マイクロソフトによってデジタル署名されており、セキュアブートによって信頼されています。

証明書が既にコンピュータに保存されている場合は、これらの手順に従うことで、システムによる自動更新処理を待つことなく、すぐに証明書を適用できます。