2026年6月にWindows セキュア ブート証明書の有効期限切れについて

無料ダウンロード 無料ダウンロード
今すぐ購入 今すぐ購入
森川 颯

5分で読める

カテゴリ:Windows更新|更新日:2026-03-13 14:44:15

Windowsユーザーにとって、システムの安全性と安定性を支える重要な仕組みの一つが「セキュアブート」です。しかし、2026年6月に一部の重要なセキュアブート証明書の期限切れが迫っており、適切な対応を行わないとシステムの起動に影響を及ぼす可能性があります。本記事では、最新の情報に基づき、セキュアブートの基本から証明書の更新方法、トラブル時の対処法までを網羅して解説します 。

セキュアブート証明書の期限切れ

セキュアブートとは

セキュアブート(Secure Boot)とは、PC起動時に読み込まれるソフトウェアのデジタル署名を検証し、改ざんや不正なプログラムの実行を防ぐセキュリティ機能です。Windows 8から導入され、UEFIファームウェアと連携して動作します。セキュアブート対応はWindows 11の必須要件でもあります。

  • 起動時にデジタル署名を検証し、未署名・改ざんされたソフトウェアをブロック
  • ブートキット・ルートキットなどのブートレベルマルウェアから保護
  • Windows 11の最小システム要件に含まれる

セキュアブート証明書の仕組み

セキュアブートはデジタルキーの階層構造によって機能しています。主な構成要素は以下のとおりです。

  • PK(プラットフォームキー):最上位のキー。PCメーカーが管理し、KEKの更新権限を持ちます。
  • KEK(キー登録キー):DBとDBXを更新できる権限を持つキー。UEFIファームウェアに格納されます。
  • DB(署名データベース):起動を許可された署名の一覧。
  • DBX(失効署名データベース):起動を拒否された署名の一覧。
  • ブートマネージャー:Windows側にあり、DBの証明書と照合して起動を制御します。
ノート

DBとDBXを更新できるのはKEKを持つMicrosoftやPCメーカーのみです。この仕組みがセキュアブートの信頼の根拠となっています。

2026年に有効期限切れになる証明書と新しい証明書

2011年発行のセキュアブート証明書が、2026年に順次失効します。対象は以下の2種類です。

1.KEKにある証明書

Microsoft Corporation KEK CA 2011」が2026年6月に失効します。この証明書が切れると、DBやDBXの更新ができなくなり、セキュアブートのセキュリティ更新を受け取れなくなります。後継の「Microsoft Corporation KEK 2K CA 2023」はWindows Update経由で配信中です。

2.DBにある証明書

  • Microsoft Corporation UEFI CA 2011:2026年6月に失効。サードパーティ製OSやドライバーの署名に使用。「Microsoft UEFI CA 2023」に置き換えられます。
  • Microsoft Windows Production PCA 2011:2026年10月に失効。Windowsブートローダーの署名に使用。「Windows UEFI CA 2023」が後継です。

セキュアブート証明書の有効期限の影響

質問

「” 2026年6月、Windowsの「セキュアブート証明書」が有効期限を迎えます。 ”ということで6月にパソコンが起動できなくなるという話が聞かれるのですが、どういうことでしょうか。」

ーYahoo知恵袋

Microsoftの公式見解では、証明書が失効してもPCは引き続き起動できます。日常的な使用には影響しませんが、以下のリスクが生じます。

  • セキュリティ更新が受け取れなくなる:セキュアブート関連の更新プログラムを適用できなくなります。
  • 新しいサードパーティソフトが信頼されなくなる:2026年6月以降の証明書で署名されたソフトウェアを正しく認識できなくなる恐れがあります。
  • ブートレベルの脅威に弱くなる:ブートキットなどのマルウェアに対する保護が段階的に低下します。
  • BitLockerなど関連機能にも影響:セキュアブートの信頼に依存する機能が影響を受ける可能性があります。

セキュアブート証明書の更新方法

セキュアブート証明書の更新方法は、主にWindows Updateを通じて自動的に行われます 。マイクロソフトは、期限切れに備えて段階的に新しい証明書を配布しており、ユーザーはOSを常に最新の状態に保つことが推奨されます 。

一般ユーザー向け(Windows Update経由)

一般ユーザーはWindows Updateを適用するだけで自動的に対応されます。

  • 「設定」→「更新とセキュリティ」(Win10)または「Windows Update」(Win11)を開きます。

  • 「更新プログラムのチェック」をクリックし、利用可能な更新プログラムをすべてインストールします。

  • PCを再起動して完了です。2025年5月13日以降のLCUが適用済みであることが目安です。

企業・IT管理者向け

組織内のデバイスには、以下の方法で証明書を一括展開できます。

  • グループポリシーオブジェクト(GPO):組織全体に一括で証明書を展開できます。
  • Microsoft Intune:証明書更新設定を一元管理できます。
  • Windows構成システム(WinCS)API:プログラムによる自動更新が可能です。

詳細はMicrosoftサポートページのWindowsセキュアブート証明書の有効期限とCA更新プログラムをご参照ください。

Windowsブートローダーの更新方法

証明書の更新に加え、Windowsブートローダー(ブートマネージャー)の更新も必要です。2026年10月に「Microsoft Windows Production PCA 2011」が失効するため、最新の証明書で署名されたブートローダーへの更新が推奨されます。

  • Windows Updateを開き、最新の累積更新プログラム(2025年5月13日以降のLCU)を適用します。

  • 管理者権限のPowerShellで以下のコマンドを実行し、状態を確認します。

    Confirm-SecureBootUEFI

  • PCメーカー(Dell・HP・Lenovoなど)の公式サイトからBIOS/UEFIファームウェアの最新版を確認し、更新します。

  • BitLockerを使用中の場合は、BIOS更新後に回復キーの入力を求められることがあります。事前に回復キーを控えておいてください。

起動できなくなったパソコンのデータ救出

万が一、セキュアブートの問題や更新の失敗により、Windowsの起動ができなくなってしまった場合、重要なデータの救出が最優先事項となります 。

システムが起動しない場合でも、強力なデータ復元ソフト「Tenorshare 4DDiG」を使用すれば、クラッシュしたPCからデータを救出することが可能です 。

無料ダウンロード

安全なダウンロード

無料ダウンロード

安全なダウンロード

今すぐ購入 今すぐ購入

  • 動作可能なPCと、1.5GB以上のストレージスペースを持つUSBドライブ/CD/DVDを用意します。動作可能なPCに4DDiGをインストールします。Tenorshare 4DDiGを起動し、USBドライブを接続します。4DDiGの画面で「クラッシュしたPCの復元」クリックして続行します。

    クラッシュしたPCの復元

  • 次に、起動可能なUSBドライブを選択できます。ドライブが接続されている場合は、起動可能なドライブに表示されます。「今すぐ作成」ボタンをクリックして開始します。 USB / DVDは、ブータブルドライブを作成するためにフォーマットされることに注意してください。また、作成中はドライブを操作しないでください。

    起動可能なUSBドライブを選択

  • 次は、USBフラッシュドライブをフォーマットしますかというメッセージが表示されます。USBメモリをフォーマットすると、ファームウェアがダウンロードされます。起動可能なドライブの作成プロセスが完了するまで数分かかります。この間に、USBフラッシュドライブを取り出しないでください。

    起動可能なドライブの作成

  • しばらくすると、起動可能なドライブが正常に作成され、起動しないPCに起動可能なドライブを挿入してから、PCを再起動します。BIOSに入ったら、矢印キーを使用してブートタブに切り替え、ブートデバイスを選択します。その後、クラッシュしたシステムがファイルのロードを開始し、構成が完了するまでしばらくお待ちください。これでTenorshare 4DDiGが自動的に起動し、場所を選択してデータの復元を開始できます。

    起動可能なドライブが作成された

セキュアブート証明書の有効期限に関するよくあるご質問

1.Windowsのセキュアブート証明書はいつ切れますか?

2026年6月に「Microsoft Corporation KEK CA 2011」と「Microsoft Corporation UEFI CA 2011」が失効し、続いて2026年10月に「Microsoft Windows Production PCA 2011」が失効します。

2.セキュアブートを無効にしたらどうなる?

セキュアブートを無効にすると、期限切れの証明書チェックが行われなくなるため、一時的に起動できる可能性はあります 。しかし、ルートキットなどのウイルス感染リスクが飛躍的に高まるほか、Windows 11などの一部のOSやアプリ(特定のゲームやセキュリティソフト)が正常に動作しなくなるデメリットがあります 。

3.セキュアブート証明書の有効期限が切れたらどうなる?

UEFIがOSのブートローダーを「信頼できない」と判断し、「Secure Boot Violation」などのエラーメッセージが表示されてWindowsが起動しなくなります 。

まとめ

2026年に向けたセキュアブート証明書の期限切れ問題は、適切な更新を行っていれば過度に恐れる必要はありません 。日頃からWindows Updateを欠かさず行い、最新のセキュリティパッチを適用しておくことが最大の防御策です 。

しかし、予期せぬトラブルでPCが起動しなくなった際は、無理に修復を試みてデータを消失させる前に、プロ仕様の復元ツールを頼るのが賢明です。Tenorshare 4DDiGは、起動不可に陥ったPCからの迅速なデータ救出をサポートします 。万が一の備えとして、ぜひ活用を検討してみてください。

無料ダウンロード

安全なダウンロード

無料ダウンロード

安全なダウンロード

今すぐ購入 今すぐ購入

💡 AIで記事の要点をまとめる

ChatGPT ChatGPT Google Google AI モード Perplexity Perplexity Grok Grok

森川 颯 (編集者)

4DDiGの編集長として、データ復元、ファイル修復、重複ファイルの削除、パーティション管理、あらゆる種類のパソコンの問題に対するエラー修復など、Windows および Mac 関連の問題に対する最適な解決策を提供することに専念しています。

(この記事を評価する)

平均点4.5人が評価しました)

以下も気に入るかもしれません

  • ホーム >>
  • Windows更新 >>
  • 2026年6月にWindows セキュア ブート証明書の有効期限切れについて