セキュアブート証明書期限切れおよび証明書更新について(2026年)
2026年4月9日(2026年5月28日更新)
2026年6月以降パソコン起動時のセキュリティー機能「セキュアブート」で使用している証明書の有効期限が順次終了します。
詳しくは、下記マイクロソフト社のWebページをご覧ください。
Windows セキュア ブート証明書の有効期限と CA 更新プログラム
セキュアブートとは:
パソコン起動時に不正なプログラムが実行されることを防ぐための機能です。
セキュアブート証明書により、信頼のおけるソフトウェアのみ実行されます。
証明書の更新方法
将来的な新たな脅威に備えるために、新しい証明書に更新する方法は、お使いの製品により異なります。
更新方法①:Windows Updateの実施
Windows Updateを適用することで、証明書が更新されます。あわせてWindowsのブートマネージャーの証明書も更新されます。
※お使いの製品によっては、UEFIのバージョンアップにて対応をおこなう必要があります。
更新方法②:UEFIでのバージョンアップ
お使いの製品によっては、UEFIのバージョンアップで更新をおこなう必要があります。
なお、Windows ブートマネージャーの証明書は更新されません。UEFI更新後、Windows Updateを実行してください。
セキュアブート証明書について
証明書の種類を教えてください
★OS側:
Windowsブートマネージャー
Windowsのブートマネージャーに適用されている証明書です。
ブートマネージャーの証明書がパソコンのDB(UEFI側)に登録されている場合のみOSが起動できます。
★パソコン側(UEFI):
DBへの証明書の追加、リスクのある証明書をDBXに登録することで、
セキュリティーを維持することができます。
KEK:
DB/DBXを更新するためのキー
期限が切れるとDB/DBXの更新ができなくなります。
DB:
許可されたセキュアブート署名が登録されているデータベース
DBX:
失効されたセキュアブート署名が登録されているデータベース
証明書の有効期限が切れるとどんな影響がありますか
証明書の有効期限を過ぎても、Windowsはそのまま使用できます。また、Windows Updateで品質更新プログラムも適用されます。
ただし、証明書が更新されてない状態が続くと、将来的な新しいセキュリティーリスクに対応できなくなる可能性があります。
Windows上からセキュアブート証明書の状態を確認できますか
<Windows セキュリティで確認する>
セキュアブート証明書の更新状態は、「Windows セキュリティ」アプリの「セキュア ブート」項目で確認することができます。
詳しくは、下記マイクロソフト社のWebページをご覧ください。
Windows セキュリティ アプリのセキュア ブート証明書の更新状態
<「証明書チェックツール」で確認する>
証明書チェックツールは、お使いのパソコンのセキュリティー証明書の状態をチェックして、対処方法をアドバイスします。
ツールの使用方法は、こちら をご覧ください。
<PowerShellで確認する>
WindowsでPowerShellを管理者権限で実行して、証明書が更新されているか確認することができます。
- スタート画面で「PowerShell」で検索し、「Windows PowerShell」が表示されたら右クリックして[管理者として実行] を選択します。
- 「Windows PowerShell」画面が表示されたら、証明書を確認します。
- 「Microsoft Corporation KEK 2K CA 2023」が適用されているか確認します。以下をコピーして入力し「Enter」キーを押します。
- 引き続きDBに「Windows UEFI CA 2023」が適用されているか確認します。以下をコピーして入力し「Enter」キーを押します。
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name KEK).Bytes) -match 'Microsoft Corporation KEK 2K CA 2023')証明書が適用されている場合は「true」と表示されます。
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')証明書が適用されている場合は「true」と表示されます。
CVE-2023-24932の脆弱性との関連を教えてください(上級者向け)
BlackLotus UEFI ブートキットを使用したセキュア ブートセキュリティー機能のバイパスに対する脆弱性(CVE-2023-24932)への対策とは、セキュアブート証明書をCA2023証明書に変更するとともに、DBXにCA2011証明書を移動することです。
脆弱性の詳細や実施方法については、下記マイクロソフト社のWebページをご覧ください。
CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法
機種一覧
Windows Home/Proモデル
2026年5月19日更新(次回2026年6月中旬更新予定)
| 機種名 | 証明書更新方法 | UEFIアップデートプログラム |
|---|---|---|
| AT10 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| AT20 | Windows Updateで更新できますが、最新UEFIへのアップデートを推奨します。 | 公開ページ |
| AT994E | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| AT997/AT997E | UEFIのアップデートが必要です。 | 公開ページ |
| AT997-2/AT997E-2 | UEFIのアップデートが必要です。 | 公開ページ |
| AT998/AT998E | UEFIのバージョンによって対応が異なります。 AP5U-0029-JL2以前:UEFIのアップデートが必要です。 AP5U-0030-JL3以降:Windows Updateで更新できます。 |
公開ページ |
| MR4800E | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| MR4900 | UEFIのアップデートが必要です。 | 公開ページ |
| MR5000 | UEFIのバージョンによって対応が異なります。 AP5U-0025-JG2以前:UEFIのアップデートが必要です。 AP5U-0028-JG4以降:Windows Updateで更新できます。 |
公開ページ |
| MR8100/MR8100E | UEFIのアップデートが必要です。 | 公開ページ |
| MR8200 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| MR8300 | UEFIのアップデートが必要です。 | 公開ページ |
| MR8300-R | UEFIのアップデートが必要です。 | 公開ページ |
| MR8400 | UEFIのバージョンによって対応が異なります。 AP5U-0025-JF4以前:UEFIのアップデートが必要です。 AP5U-0026-JF5以降:Windows Updateで更新できます。 |
公開ページ |
| MR8500 | リリース初回より対応済 | - |
| NA520E | UEFIのアップデートが必要です。 | 公開ページ |
| NA521E | UEFIのアップデートが必要です。 | 公開ページ |
| NA521E-2 | UEFIのアップデートが必要です。 | 公開ページ |
| NA610E | リリース初回より対応済 | - |
| NA710E | Control Centerを更新後にWindows Updateを実行すると更新できます。 (対策版Control Centerは2026年6月頃公開予定) |
- |
| NA711E | UEFIのアップデートが必要です。 | 公開ページ |
| NJ4300/NJ4300E | UEFIのアップデートが必要です。 | 公開ページ |
| NJ4400E | Windows Updateで更新できますが、最新UEFIへのアップデートを推奨します。 | 公開ページ |
| NJ4400E-2 | Windows Updateで更新できますが、最新UEFIへのアップデートを推奨します。 | 公開ページ |
| NJ7000E | Control Centerを更新後にWindows Updateを実行すると更新できます。 (対策版Control Centerは2026年6月頃公開予定) |
- |
| NJ7500E | Control Centerを更新後にWindows Updateを実行すると更新できます。 (対策版Control Centerは2026年6月頃公開予定) |
- |
| NJ8000E | Windows Updateで更新できます。 | - |
| NL1000E | Windows Updateで更新できます。 | - |
| NL2000E | Windows Updateで更新できます。 | - |
| NL2100E | Windows Updateで更新できます。 | - |
| NL3000E | リリース初回より対応済 | - |
| Pro5900 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| Pro9000 | UEFIのアップデートが必要です。 | 公開ページ |
| Pro9050a | Windows Updateで更新できます。 | - |
| Pro9100 | UEFIのアップデートが必要です。 | 公開ページ |
| Pro9200 | UEFIのアップデートが必要です。 | 公開ページ |
| Pro9300 | リリース初回より対応済 | - |
| SG100E | UEFIのアップデートが必要です。 | 公開ページ |
| SG150/SG150E | Windows Updateで更新できます。 | - |
| ST190/ST190E | UEFIのアップデートが必要です。 | 公開ページ |
| ST200E | Windows Updateで更新できますが、最新UEFIへのアップデートを推奨します。 | 公開ページ |
| ST20E | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| ST210/ST210E | Windows Updateで更新できます。 | - |
| ST40E | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| ST50/ST50E | Windows Updateで更新できますが、最新UEFIへのアップデートを推奨します。 | 公開ページ |
| ST55E | UEFIのアップデートが必要です。 | 公開ページ |
| ST60E | Windows Updateで更新できます。 | - |
| TN21E | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| TN22 | UEFIのアップデートが必要です。 | 公開ページ |
| TN40 | 最新版のUEFIへのアップデート、およびセキュアブート証明書のアップデートが必要です。 | UEFIアップデートプログラム 証明書のアップデート方法 |
| TN52E | リリース初回より対応済 | - |
Windows IoT モデル
2026年4月27日更新(次回2026年6月中旬更新予定)
| 機種名 | 証明書更新方法 | UEFIアップデートプログラム |
|---|---|---|
| JA994 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| JA997 | UEFIのアップデートが必要です。 | 公開ページ |
| JA998 | UEFIのバージョンによって対応が異なります。 AP5U-0029-JL2以前:UEFIのアップデートが必要です。 AP5U-0030-JL3以降:Windows Updateで更新できます。 |
公開ページ |
| JE20 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| JE94 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| JG100 | UEFIのアップデートが必要です。 | 公開ページ |
| JG150 | Windows Updateで更新できます。 | - |
| JL1000 | Windows Updateで更新できます。 | - |
| JL2000 | Windows Updateで更新できます。 | - |
| JL2100 | Windows Updateで更新できます。 | - |
| JM4800 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| JM4900 | UEFIのアップデートが必要です。 | 公開ページ |
| JM5000 | UEFIのバージョンによって対応が異なります。 AP5U-0025-JG2以前:UEFIのアップデートが必要です。 AP5U-0028-JG4以降:Windows Updateで更新できます。 |
公開ページ |
| JM8200 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| JM8300 | UEFIのアップデートが必要です。 | 公開ページ |
| JM8400 | UEFIのバージョンによって対応が異なります。 AP5U-0025-JF4以前:UEFIのアップデートが必要です。 AP5U-0026-JF5以降:Windows Updateで更新できます。 |
公開ページ |
| JM8500 | リリース初回より対応済 | - |
| JN4300 | UEFIのアップデートが必要です。 | 公開ページ |
| JN4300-2 | UEFIのアップデートが必要です。 | 公開ページ |
| JN520 | UEFIのアップデートが必要です。 | 公開ページ |
| JN521 | UEFIのアップデートが必要です。 | 公開ページ |
| JN521-2 | UEFIのアップデートが必要です。 | 公開ページ |
| JN610 | リリース初回より対応済 | - |
| JN7000 | Control Centerを更新後にWindows Updateを実行すると更新できます。 (対策版Control Centerは2026年6月頃公開予定) |
- |
| JN711 | UEFIのアップデートが必要です。 | 公開ページ |
| JN7500 | Control Centerを更新後にWindows Updateを実行すると更新できます。 (対策版Control Centerは2026年6月頃公開予定) |
- |
| JN8000 | Windows Updateで更新できます。 | - |
| JP9300 | リリース初回より対応済 | - |
| JS190 | UEFIのアップデートが必要です。 | 公開ページ |
| JS200 | Windows Updateで更新できますが、最新UEFIへのアップデートを推奨します。 | 公開ページ |
| JS210 | Windows Updateで更新できます。 | - |
| JS40 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| JS50 | Windows Updateで更新できますが、最新UEFIへのアップデートを推奨します。 | 公開ページ |
| JS55 | UEFIのアップデートが必要です。 | 公開ページ |
| JS60 | Windows Updateで更新できます。 | - |
| JT22 | UEFIのアップデートが必要です。 | 公開ページ |
| JT40 | 最新版のUEFIへのアップデート、およびセキュアブート証明書のアップデートが必要です。 | UEFIアップデートプログラム 証明書のアップデート方法 |
| JT40-2 | セキュアブート証明書をダウンロードしてアップデートしてください。 | 証明書のアップデート方法 |
| JT50 | UEFIのアップデートが必要です。 | 公開ページ |
| JT51 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
| JT52 | リリース初回より対応済 | - |
| JT70 | UEFIのアップデートが必要です。 | 2026年6月中旬公開予定 |
