WindowsのSecure Boot証明書について、Microsoftは2011年に発行された証明書が2026年6月から期限切れを迎えるため、2023年版の新しい証明書への更新を進めています。
この記事では、Secure Boot証明書の期限切れとは何か、個人PCでは何を確認すればよいのか、会社や学校の管理PCでは何が違うのかを整理します。
結論から言うと、通常の個人PCでは、多くの場合Windows Updateを有効にしておけば新しい証明書が配信されます。ただし、Windows Updateを止めている場合、サポート対象外のWindowsを使っている場合、Secure Bootが無効になっている場合、BitLocker回復キーを確認していない場合は注意が必要です。
Secure Boot証明書の期限切れとは
Secure Bootは、PCの起動時に信頼されたソフトウェアだけを実行するための仕組みです。Windowsが起動する前の段階で、UEFIファームウェア、ブートローダー、起動関連のソフトウェアが正しく署名されているかを確認します。
この確認に使われる証明書のうち、Windows環境で長く使われてきた2011年発行の証明書が、2026年6月から期限切れを迎えます。そのため、Microsoftは2023年版の新しいSecure Boot証明書への更新を案内しています。
これは、Windows Updateや通常の月例更新とは少し性質が違います。Windowsそのものの機能追加ではなく、PCの起動時の信頼性やセキュリティを維持するための更新です。
期限切れになるとすぐPCが起動しなくなるのか
Microsoftの説明では、新しい2023年版証明書を受け取っていないデバイスでも、すぐに起動しなくなるわけではありません。通常のWindows起動や標準的なWindows Updateは継続するとされています。
ただし、Secure Bootに関する新しい保護、Windows Boot Manager、Secure Bootデータベース、失効リスト、起動前段階の脆弱性対策などを受け取れなくなる可能性があります。
つまり、「2026年6月になったら全PCが突然起動不能になる」という話ではありません。一方で、起動前のセキュリティ保護を維持するためには、2023年版証明書への更新を進めておく必要があります。
個人PCでは何をすればよいか
個人で使っているWindows 10 / Windows 11のHome、Pro、Education環境で、Windows Updateを通常通り受け取っている場合、多くのPCでは大きな手動対応は不要です。
ただし、次の点は確認しておくのがおすすめです。
| 確認項目 | 理由 |
|---|---|
| Windows Updateを一時停止していないか | 証明書更新が通常更新経由で配信されるため |
| サポート対象のWindowsを使っているか | サポート外OSでは更新を受け取れない可能性があるため |
| Secure Bootが有効か | Secure Boot証明書更新の対象確認に関係するため |
| BitLocker回復キーを確認できるか | 更新後に回復キーを求められる場合に備えるため |
| メーカーのBIOS/UEFI更新がないか | 一部環境ではファームウェア更新が必要になる可能性があるため |
特に、長期間Windows Updateを停止しているPCや、古いメーカー製PC、業務にも使っているメインPCでは、事前に状態を確認しておく方が安全です。
Secure Bootが有効か確認する方法
Secure Bootが有効かどうかは、Windowsの「システム情報」から確認できます。
- キーボードで Windowsキー + R を押す
- msinfo32 と入力してEnterを押す
- 「システム情報」が開いたら、右側の一覧を確認する
- 「セキュア ブートの状態」を確認する
ここが「有効」または「オン」になっていれば、Secure Bootは有効です。
もし無効になっている場合でも、すぐにBIOS/UEFI設定を変更するのはおすすめしません。環境によっては起動できなくなったり、BitLocker回復キーを求められたりする可能性があります。メーカーの案内やMicrosoft公式情報を確認してから対応してください。
BitLocker回復キーは先に確認しておく
Secure Boot関連の更新では、まれにBitLocker回復キーを求められることがあります。
BitLockerを自分で有効にした覚えがなくても、メーカー製PCやMicrosoftアカウントでセットアップしたPCでは、デバイス暗号化が有効になっていることがあります。
更新作業前には、Microsoftアカウントや職場・学校アカウントで回復キーを確認できるか見ておくと安全です。
特に、仕事用PC、メインPC、出先で使うノートPCでは、起動時に回復キーを求められても対応できるようにしておくことをおすすめします。
会社や学校のPCは個人判断で触らない
会社、学校、組織で管理されているPCでは、個人PCとは扱いが違います。
Microsoftは、IT管理者向けにSecure Boot証明書更新のためのプレイブックや管理手順を案内しています。組織管理PCでは、Intune、グループポリシー、レジストリ、Windows Configuration Systemなどを使った展開や確認が必要になる場合があります。
そのため、管理されているPCでSecure BootやBIOS/UEFI設定を個人判断で変更するのは避けてください。起動不能、BitLocker回復、管理ポリシーとの不整合につながる可能性があります。
Windows Serverや仮想環境は別扱い
Windows Server、仮想マシン、Azure Virtual Desktop、Windows 365、Azure Localなどは、個人PC向けの説明とは別に考える必要があります。
Microsoftは、Windows Serverや組織管理環境向けにも別の案内を用意しています。企業やサーバー管理者は、対象OS、仮想化基盤、ファームウェア、Secure Bootの状態、証明書の適用状況を個別に確認する必要があります。
この記事では個人PC向けの確認ポイントを中心にしています。サーバーや組織管理環境では、Microsoft公式の管理者向け資料に沿って検証環境で確認してから進めてください。
やってはいけないこと
Secure Boot証明書の更新に関連して、次のような対応はおすすめしません。
- よく分からないままSecure Bootを無効化する
- BIOS/UEFI設定を手探りで変更する
- BitLocker回復キーを確認せずにファームウェア更新を行う
- 会社や学校のPCを個人判断で変更する
- 非公式ツールや出所不明の手順で証明書を操作する
Secure Bootは、PCの起動に関わる重要な仕組みです。通常のアプリ設定とは違い、誤った変更をすると起動トラブルにつながる可能性があります。
Windows 11 25H2更新前にも確認しておきたい
Windows 11 25H2などの機能更新を行う前にも、Secure Boot、BitLocker回復キー、Windows Updateの状態を確認しておくと安全です。
Windows 11 25H2の入手方法や更新前チェックについては、以下の記事でも整理しています。
Windows 11 25H2の入手方法と更新前に確認したいポイント
まとめ
Secure Boot証明書は、Windowsの起動時に信頼されたソフトウェアだけを実行するために使われる重要な仕組みです。
2011年発行の証明書は2026年6月から期限切れを迎えるため、Microsoftは2023年版の新しい証明書への更新を進めています。
個人PCでは、多くの場合Windows Updateを有効にしておけば大きな手動対応は不要です。ただし、Windows Updateの停止、サポート対象外OS、Secure Boot無効、BitLocker回復キー未確認、古いファームウェアには注意が必要です。
会社や学校のPC、Windows Server、仮想環境では、個人判断でBIOS/UEFI設定を変更せず、IT管理者向けのMicrosoft公式資料に沿って確認することをおすすめします。
直近のWindows Update不具合情報は、以下の記事でも整理しています。
Windows Update 2026年4月の不具合情報まとめ|Windows10・Windows11の確認ポイント
