MicrosoftがWindows 11の期限切れのセキュアブート証明書を置き換えます – 詳細と更新方法

• セキュアブートは、低レベルのマルウェアがWindows 11の起動プロセスを侵害するのを防ぎます。
• マイクロソフトが2011年に発行したオリジナルのセキュアブート証明書は2026年6月に期限切れとなり、2023年に発行された新しい証明書は保護期間を2053年まで延長する。
• 2024年以降に購入されたデバイスは、既に最新の証明書を取得済みである可能性が高いです。その他のデバイスは、Windows Updateを通じて順次証明書を受け取っています。
• PowerShell を使用して証明書の状態を確認したり、更新が自動的に行われなかった場合は、レジストリの調整やスケジュールされたタスクを使用して証明書を手動で更新したりできます。

お使いのPCのセキュアブートモジュールの証明書は、2026年6月に有効期限が切れます。2026年1月のセキュリティ更新プログラムから、マイクロソフトは新しい証明書の段階的な展開を開始しました。これにより、お使いのコンピューターは引き続き正常に起動し、セキュリティ更新プログラムを受信できるようになります。

Windows 11のセキュアブートは、UEFI（Unified Extensible Firmware Interface）ファームウェアに搭載されたセキュリティ機能で、起動時に重要なシステムファイルへの不正な変更を防ぎます。これにより、デバイスは製造元が信頼するソフトウェアのみを使用して起動することが保証されます。

つまり、セキュアブートは、ブートプロセスに感染し、オペレーティングシステムやウイルス対策ソフトウェアが起動する前にコンピュータを乗っ取ってしまう可能性のある低レベルのマルウェア（ブートキットやルートキットなど）からデバイスを保護するのに役立ちます。

セキュアブート証明書を理解する

このプロセスの一環として、この機能は暗号鍵（認証局（CA）として知られる）を使用して、ファームウェアモジュールが信頼できるソースから提供されたものであることを検証し、デバイスの起動初期段階でマルウェアが実行されることを防ぐのに役立ちます。

セキュアブート証明書には有効期限が設定されており、コンピュータがセキュリティアップデートを継続的に受信し、正しく起動することを保証する役割を果たしています。そのため、2011年の認証局（CA）の有効期限が2026年6月に切れる前に、2023年の証明書をインストールする必要があります。

2024年以降に購入されたデバイスをお持ちの場合は、最新の証明書が既にインストールされている可能性が高いです。しかし、それ以外のコンピューターについては、Microsoftは現在、Windows Updateを通じて新しいセキュアブート証明書の展開を進めています。

2026年1月13日にリリースされた「2026-01 セキュリティ更新プログラム (KB5074109) (26200.7623)」において、このソフトウェア大手は、更新プログラムに、新しいセキュアブート証明書を自動的に受信する資格のあるデバイスを識別する、信頼性の高いデバイスターゲティングデータのサブセットが含まれるようになったと述べています。デバイスは、十分な更新成功シグナルを実証した後にのみ新しい証明書を受信し、安全かつ段階的な展開が保証されます。

つまり、セキュアブートを更新するために手動で操作する必要はなく、システムがアップデートを受信し続けるようにするだけで済みます。少なくとも、2026年6月のセキュリティアップデートが利用可能になるまでは、この状態が続きます。

セキュアブート証明書の有効期限を確認してください

お使いのコンピューターに最新の認証局が追加されたという通知は届かないため、デバイスにまだアップデートが必要かどうかを確認することが重要です。

Windows 11には、ファームウェアの有効期限を人間が読みやすい形式で表示するネイティブコマンドはありません。ただし、以下の手順で、2026年に期限切れとなる証明書に代わる「更新済み」の2023年版証明書がインストールされているかどうかを確認できます。

PowerShell（管理者権限）を開き、以下を実行します。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• 正解です。あなたは新しい証明書（2053年まで有効）をお持ちです。
• 誤り：あなたはまだ2011年発行の証明書（2026年に有効期限切れ）を使用している可能性が高いです。

PowerShellでセキュアブート証明書の有効期限を確認する / 画像: Mauro Huculak

現代のセキュアブートチェーンのほぼすべては、Microsoftの2011年版証明書に依存しており、その有効期限は以下のとおりです。

• マイクロソフト社 KEK CA 2011 (2026年6月24日)。 
• マイクロソフト社 UEFI CA 2011 (2026年6月27日)
• Microsoft Option ROM UEFI CA 2011 (2026年6月27日)。
• Microsoft Windows Production PCA 2011（2026年10月19日）

参考までに、各資格証書の内容は以下のとおりです。

• KEK証明書：セキュアブート署名データベース（DB/DBX）の更新を可能にする信頼アンカー。
• UEFI CA証明書：ブートローダーおよびファームウェアコンポーネント（サードパーティ製EFIアプリケーションを含む）の署名を信頼します。
• オプションROM認証局：ファームウェアのオプションROMモジュールを信頼します。
• Microsoft Windows Production PCA 2011:セキュアブート環境下で、Windowsブートローダーおよび関連バイナリがファームウェアによって信頼されることを保証します。

Windows 11 のセキュア ブート証明書を更新する

証明書の有効期限が近づいている場合、Microsoft とコンピューターメーカー (OEM) は、Windows Update またはシステム更新を通じてファームウェア更新または「DBX」更新を自動的に配信し、新しい 2023 CA 証明書を登録します。ただし、セキュアブートを手動で更新することもできます。

警告：作業を進める前に、BitLocker回復キーを保存し、BIOS（UEFI）が最新の状態であることを確認してください。お使いのコンピューターのファームウェアが新しい証明書をサポートしていない場合、アップデート後にコンピューターが起動しなくなる可能性があります。また、作業を進める前にコンピューターの完全バックアップを作成することをお勧めします。

PowerShell（管理者権限）を開き、以下を実行します。

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

このコマンドは、オペレーティングシステムに必要なすべての証明書（PCA 2023署名付きブートマネージャを含む）を展開するように指示するレジストリキーを設定します。

この値0x5944は、関連するすべての証明書更新を有効にする「完全緩和」コードです。

Windows 11には、これらの証明書の変更を処理する組み込みタスクがあり、次のコマンドを使用して手動でトリガーすることで、12時間待つ必要がなくなります。

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell のセキュア ブート証明書の更新 / 画像: Mauro Huculak

通常、アップデートを完全に適用するには2回の再起動が必要です。1回目の再起動後、システムはブートマネージャを更新します。2回目の再起動後、UEFIデータベースへの証明書登録が完了します。

再起動後、管理者権限で以下のPowerShellコマンドを実行して、「UEFI CA 2023」がデータベースに存在するかどうかを確認できます。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• 正解：システムは新しい証明書によって保護されました。
• 誤り：複数回再起動してもこの状態が続く場合は、マザーボードのファームウェアが古すぎて新しい証明書形式に対応していない可能性があります。メーカーのウェブサイトで「セキュアブート」関連のBIOSアップデートを確認してください。

BitLocker が有効になっている場合は、ファームウェアが新しいキーをデバイスに正常に書き込む前に、一時的に暗号化を無効にする必要がある場合があります( )。Suspend-BitLocker -MountPoint "C:" -RebootCount 2