Windows 11、10でPCに最新のセキュアブート証明書がインストールされているかどうかを確認する方法

  • マイクロソフトの2011年版セキュアブート証明書は、2026年6月に有効期限が切れます。
  • 新しいWindows UEFI CA 2023証明書は、保護期間を2053年まで延長します。
  • 2024年以降に購入されたデバイスには、通常、更新された証明書が既に含まれています。
  • 古いPCには、Windows Updateを通じて段階的にアップデートが配信されます。
  • PowerShellコマンドを使用して証明書の状態を確認できます。

一部のWindows 11およびWindows 10デバイスでは、2011年に初めて発行されたセキュアブート証明書が2026年6月に期限切れとなる予定です。マイクロソフトはこれらの証明書を2023年版の証明書に積極的に置き換えていますが、起動やセキュリティ上の問題を防ぐため、システムが既に新しい証明書に移行済みであることを確認してください。

セキュアブートは、UEFI(Unified Extensible Firmware Interface)におけるファームウェアベースの保護機能であり、デバイスがメーカーによってデジタル署名され信頼されたソフトウェアのみをロードすることを保証します。オペレーティングシステムがロードされる前に重要なブートコンポーネントへの不正な変更を防ぐことで、起動プロセスを保護します。

これを実現するために、セキュアブートは認証局(CA)と呼ばれる暗号鍵を使用してファームウェアモジュールとブートローダーを検証します。これらの証明書は信頼の連鎖を構築し、起動初期段階で悪意のあるコードが実行されるのを阻止します。

他のデジタル証明書と同様に、セキュアブート認証局(Secure Boot CA)にも有効期限が設定されています。2011年版の証明書は2026年6月に有効期限を迎えるため、システムがアップデートを受信し、信頼検証エラーなく正常に起動するには、新しい2023年版の証明書をインストールする必要があります。

デジタル証明書には有効期限があるため、システムが正常に起動し、アップデートを受信できるようにするには、2011年の認証局(CA)が2026年6月に期限切れになる前に、2023年の証明書をインストールする必要があります。

2024年以降に購入されたデバイスには、通常、新しい証明書が既に含まれています。それ以前のハードウェアについては、マイクロソフトがWindows Updateを通じて配布しています。

Microsoftは、定期的なシステム更新を通じてセキュアブートの証明書を自動的に識別して更新するため、Windows Updateを有効にして、2026年6月の期限前に毎月のセキュリティ更新プログラムをインストールする以外に、手動での操作は必要ありません。ただし、デバイスに適切な証明書がインストールされているかどうかを確認し、理解しておくことは常に良いことです。

このガイドでは、2023年のセキュアブート証明書が既にコンピュータにインストールされているかどうかを確認する手順を説明します。

PowerShellを使用して、お使いのPCにSecure Boot 2023証明書がインストールされているかどうかを確認してください。

2026年に期限切れとなる証明書に代わる「更新された」2023年版セキュアブート証明書をお持ちかどうかを確認するには、以下の手順に従ってください。

  1. Windows 11でスタートメニューを開きます。

     

     

  2. PowerShell(またはターミナル)を検索し、一番上の検索結果を右クリックして、「管理者として実行」を選択します。

  3. セキュアブート証明書の有効期限を確認するには、次のコマンドを入力してEnterキーを押してください。 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Windows 11、10でPCに最新のセキュアブート証明書がインストールされているかどうかを確認する方法

手順を完了した後、出力が「True」であれば、新しい証明書(2053年まで有効)を取得済みです。出力が「False」であれば、おそらくまだ2011年の証明書(2026年に有効期限切れ)を使用していると思われます。

Secure Boot 2011の証明書は2026年に期限切れになります – 各証明書の機能

現代のセキュアブートチェーンのほぼすべては、Microsoftの2011年版証明書に依存しており、その有効期限は以下のとおりです。

  • マイクロソフト社 KEK CA 2011 (2026年6月24日)。 
  • マイクロソフト社 UEFI CA 2011 (2026年6月27日)
  • Microsoft Option ROM UEFI CA 2011 (2026年6月27日)。
  • Microsoft Windows Production PCA 2011(2026年10月19日)

参考までに、各証明書の機能は以下のとおりです。

  • KEK証明書:セキュアブート署名データベース(DB/DBX)の更新を可能にする信頼アンカー。
  • UEFI CA証明書:ブートローダーおよびファームウェアコンポーネント(サードパーティ製EFIアプリケーションを含む)の署名を信頼します。
  • オプションROM認証局:ファームウェアのオプションROMモジュールを信頼します。
  • Microsoft Windows Production PCA 2011:セキュアブート環境下で、Windowsブートローダーおよび関連バイナリがファームウェアによって信頼されることを保証します。

証明書の有効期限が近づいている場合、Microsoft とコンピューターメーカー (OEM) は、Windows Update またはシステム更新を通じてファームウェア更新または「DBX」更新を自動的に配信し、新しい 2023 CA 証明書を登録します。新しいセキュア ブート証明書は、いつでも手動でインストールできます。

イベントビューアーにイベントID 1801が表示される理由(そしてそれがエラーではない理由)

最後に、ソース「TPM-WMI (Microsoft-Windows-TPM-WMI)」に対してイベントID 1801が表示され、 「BucketConfidenceLevel: 監視中 - より多くのデータが必要です」というメッセージが表示されることに気づくでしょう。

エラーのように見えますが、これは不具合ではありません。この表示は、オペレーティングシステムが更新されたセキュアブート証明書を検出したものの、まだファームウェアに適用していないことを意味します。

このデバイスは現在、マイクロソフトがアップデートを段階的に展開する間、ステージングおよび検証段階にあります。セキュアブートキーはUEFIファームウェア内に存在し、ブートチェーンに影響を与えるため、ブートに関する問題を回避するために、移行は慎重に調整されています。

簡単に言うと、イベントID 1801は、Windowsがセキュアブート証明書の展開の一環としてデバイスを評価していることを示すステータスチェックです。「監視中」というメッセージは、その評価プロセスを反映したものであり、TPMの問題、セキュアブートの破損、またはBIOSの障害を示すものではありません。エラーとしてログに記録されますが、これはあくまで情報提供のためのものです。

セキュアブート証明書の移行は2段階で行われます。まず、Windows 11(または10)が新しい証明書をダウンロードし、オペレーティングシステム内に配置します。その後、互換性チェックと検証を経て、証明書がシステムファームウェアに書き込まれ、有効化されます。

デバイスはこれらの2つの段階の中間の状態に一定期間留まることがあるため、実際には何も問題がないにもかかわらず、イベントビューアーにTPM-WMIのエントリが表示され続ける場合があります。

Windowsセキュリティを使用して、お使いのPCにSecure Boot 2023証明書がインストールされているかどうかを確認してください。

PowerShellの使用に加え、Windowsセキュリティアプリが更新され、2026年に有効期限が切れるセキュアブート証明書の正確な状態が表示されるようになりました。 

お使いのコンピューターに最新のセキュアブート証明書がインストールされているかどうかを確認するには、以下の手順に従ってください。

  1. スタートを開く。

  2. 「Windowsセキュリティ」を検索し、一番上の検索結果をクリックしてアプリを開きます。

  3. 左側のペインから「デバイスセキュリティ」をクリックします。

  4. セキュアブートバッジの色とメッセージを確認してください。

  5. (オプション1)緑色は、システムが最新の証明書とブートコンポーネントで完全に更新されていることを意味します。

    Windows 11、10でPCに最新のセキュアブート証明書がインストールされているかどうかを確認する方法

  6. (オプション2)黄色は、アップデートが保留中であるか、互換性の制約により制限されていることを示します。

    Windows 11、10でPCに最新のセキュアブート証明書がインストールされているかどうかを確認する方法

  7. (オプション3)赤色は、システムが必要なアップデートを適用できず、介入が必要であることを意味します。

    Windows 11、10でPCに最新のセキュアブート証明書がインストールされているかどうかを確認する方法

これらの手順を完了すると、何も操作する必要がないのか、それともセキュアブート証明書の新しいバージョンを使用してシステムのファームウェアを手動で更新する必要があるのか​​がより明確になります。

Windows セキュリティ アプリに表示されるメッセージは、Windows Update を通じて配信される証明書の更新に関連しています。システムはファームウェアの互換性を評価し、証明書の展開を検証し、その結果をリアルタイムで報告します。

マイクロソフトは、このアップデートをWindows Updateアプリに段階的に展開しています。証明書の状態を確認できない場合は、PowerShellオプションを使用してください。

また、2026年5月からは、システムレベルの通知にもこれらの状態が反映されるようになり、対応が必要な場合の可視性が向上します。

コメントを残す

Windows 11 24H2 ISOファイルのダウンロード方法

Windows 11 24H2 ISOファイルのダウンロード方法

Windows 11 24H2 ISOファイルをダウンロードするには、Microsoftのページを開き、イメージオプションを選択し、言語を選択して、「64ビット版のダウンロード」をクリックします。

2025年のWindows 10サポート終了後、アップデート料金を支払わずに済む方法

2025年のWindows 10サポート終了後、アップデート料金を支払わずに済む方法

Windows 10を使い続けるためにセキュリティアップデートに30ドル余分に支払う費用を避けるには、サポート対象PCとサポート対象外PCの両方でWindows 11にアップグレードするのが最善です。

マイクロソフトは、Windows 11に「何か大きなこと」がやってくると述べている。

マイクロソフトは、Windows 11に「何か大きなこと」がやってくると述べている。

マイクロソフトは木曜日にWindows 11に関する大きな発表を行う予定で、AIを活用した音声優先のユーザーエクスペリエンスがOSに搭載されることを示唆している。

サポートされていないハードウェア向けにWindows 11起動可能なUSBを作成する方法

サポートされていないハードウェア向けにWindows 11起動可能なUSBを作成する方法

サポートされていないハードウェアにWindows 11をインストールしますか? RufusまたはVentoyを使用して起動可能なUSBを作成し、TPM、セキュアブート、その他の制限を回避する手順を学びましょう。

Windows 11 バージョン 24H2 から Windows 11 バージョン 25H2 へ強制的にアップグレードする方法

Windows 11 バージョン 24H2 から Windows 11 バージョン 25H2 へ強制的にアップグレードする方法

Windows 10 24H2 から 25H2 にアップグレードするには、Windows Update の [ダウンロードしてインストール] オプションを使用するか、KB5054156 更新プログラムを手動でインストールしてください。

Windows 11 用ビルド 26300.7674 (KB5074170) は、新機能ではなくバグ修正に重点を置いています (開発者向け)

Windows 11 用ビルド 26300.7674 (KB5074170) は、新機能ではなくバグ修正に重点を置いています (開発者向け)

(KB5074170) Windows 11 ビルド 26300.7674 が Insider 向けに展開され、ファイル エクスプローラー、スタート、検索、グラフィックの問題、既知のバグが修正されました。

Windows 11でBitLockerを有効にする方法

Windows 11でBitLockerを有効にする方法

Windows 11でBitLockerを有効にするには、ストレージ設定を開き、BitLocker設定を選択して、この機能を有効にします。リムーバブルドライブはBitLocker To Goを使用します。

Windows 11でBitLocker回復キーを見つける方法

Windows 11でBitLocker回復キーを見つける方法

Windows 11(または10)でPCのBitLocker回復キーを見つけるには、Microsoftアカウントにオンラインでログインし、「デバイス」ページで回復を確認してください。

macOSからWindows 11(または10)の起動可能なUSBを作成する方法

macOSからWindows 11(または10)の起動可能なUSBを作成する方法

macOSからWindows 11(または10)用のUSBインストーラーを作成するのは意外と複雑ですが、不可能ではありません。その方法をご紹介します。

Windows 10におけるMicrosoft Edgeのサポートは2028年10月に終了します。

Windows 10におけるMicrosoft Edgeのサポートは2028年10月に終了します。

Windows 10 上の Microsoft Edge は、OS の公式サポート終了である 2025 年を過ぎても、少なくとも 2028 年 10 月まではアップデートが継続される予定です。