セキュアブート証明書の確認方法｜2026年期限切れ対策も解説

セキュアブート証明書は、Windowsパソコンを安全に起動するための重要な仕組みです。普段は意識する場面が少ないものの、セキュアブート証明書は2026年に期限切れが近づくため、確認方法や更新方法を知りたい人が増えています。

特にWindows10を使い続けている人や、Dell・hpなどメーカー製パソコンを利用している人は、自分の端末が更新済みなのか気になるところですよね。

そこで当記事では、セキュアブート証明書について以下のことを紹介していきます。

セキュアブート証明書は2026年の期限切れ前に確認が必要

セキュアブート証明書は、2026年の期限切れ前に状態を確認しておくことが大切です。Microsoftは2011年発行の証明書から、2023年版の新しい証明書へ移行を進めています。

家庭用パソコンではWindows Updateで自動更新されるケースが多いですが、古いWindows10端末や管理された業務用パソコンでは確認しておくと安心です。

2026年に何が起きるのか

2026年に問題になるのは、2011年に発行された古い証明書の有効期限です。Microsoft公式情報では、Microsoft UEFI CA 2011などの証明書が2026年6月以降に期限へ近づき、Windows Production PCA 2011は2026年10月に期限を迎えると案内されています。（出典：Microsoftサポート）

セキュアブートは、パソコンの電源投入後に読み込まれるプログラムが信頼できるかを確認する機能です。古い証明書のまま運用を続けると、将来的なブート関連の更新や保護に影響する可能性があります。

2026年になって突然慌てるより、Windows Updateを適用しながら状態を先に確認する流れが安全です。特に長期間更新していない端末では、セキュアブート証明書の確認を早めに済ませておきたいですね。

期限切れで起動や更新に影響する可能性

期限切れによって、すべてのパソコンがすぐに起動不能になるとは限りません。Microsoftは、新しい2023年版証明書をWindows Updateで配信し、移行を進めています。

ただし、更新されていない端末では、安全な起動を支える仕組みに影響が出る可能性があります。セキュアブートはOS起動前の段階を守る機能なので、問題が起きた場合は通常のアプリ不具合よりも復旧が難しくなるかもしれません。

注意したいのは、Windows Updateを長期間止めている端末や、企業で独自管理されている端末です。更新プログラムの適用だけでなく、再起動をしないと反映が完了しないケースもあります。

また、BitLockerを使っているパソコンでは、起動構成の変更により回復キーを求められる可能性があります。セキュアブート証明書の更新前には、48桁のBitLocker回復キーを確認しておくと安心です。

Windows10やWindows11で注意したい端末

Windows11を定期的に更新している家庭用パソコンでは、セキュアブート証明書が自動で更新される可能性が高いです。とはいえ、Windows10を使っている場合や、古いメーカー製パソコンを使っている場合は注意が必要です。

Windows10はサポート期限との関係もあるため、2026年のセキュアブート証明書問題とあわせて確認したいポイントになります。サポート外の状態で使い続けると、必要な更新を受け取れない可能性が高まります。

Dellやhpなどのメーカー製パソコンでは、Windows側の更新だけでなくBIOSやUEFIの更新が必要になる場合もあります。メーカーのサポートページで対象機種やBIOS更新情報を確認しておくと、トラブルを避けやすいですね。

セキュアブート証明書は目に見えにくい部分ですが、Windows10やWindows11の安全な起動に関わる重要な要素です。まずはWindows Updateを最新にして、次に状態確認へ進む流れがおすすめです。

セキュアブート証明書の確認方法はWindowsセキュリティが基本

セキュアブート証明書の確認方法として、まず見ておきたいのがWindowsセキュリティです。難しいコマンドを使わなくても、証明書の状態を視覚的に確認できるため、一般ユーザーには使いやすい方法ですね。

ただし、表示される内容やタイミングはWindows Updateの適用状況によって変わる場合があります。画面だけで判断しにくい場合は、PowerShellの確認方法とあわせて見ると安心です。

Windowsセキュリティで見る場所

セキュアブート証明書の状態は、Windowsセキュリティアプリから確認できます。スタートメニューで「Windows セキュリティ」と検索し、「デバイス セキュリティ」を開く流れです。

その中にある「セキュア ブート」や関連する項目で、端末の状態が表示されます。セキュアブート証明書の確認方法としては、画面上の案内に従うだけなので、専門知識がなくても扱いやすいですね。

ただし、Windowsセキュリティの表示は段階的に展開される機能のため、すべての端末で同じ画面が出るとは限りません。表示がない場合でも、すぐに異常と決めつける必要はありません。

企業や学校で管理されている端末では、管理者側の設定で表示が制限されることもあります。個人で判断できない場合は、管理者にセキュアブート証明書の更新状況を確認してもらいましょう。

緑・黄・赤のバッジの意味

Windowsセキュリティでセキュアブート証明書の状態が表示される場合、緑・黄・赤のようなバッジで状況を確認できます。緑色なら、基本的には推奨される状態に近いと考えてよいでしょう。

黄色の表示は、注意点や推奨される対応が残っている可能性を示します。Windows Updateの適用待ち、再起動待ち、または端末メーカー側のBIOS更新待ちなどが考えられます。

赤色の表示が出ている場合は、セキュアブート証明書の不一致や更新未完了など、早めに確認したい状態です。慌てて設定を変更するより、まずWindows Updateとメーカーの更新情報を確認してください。

バッジ表示は便利ですが、原因までは細かく説明されない場合があります。黄色や赤色が出たときは、PowerShellコマンドで2023年版の証明書が入っているか確認すると、状況を切り分けやすくなります。

表示されない場合に確認したいこと

Windowsセキュリティにセキュアブート証明書の項目が表示されない場合は、Windows Updateが最新かを確認しましょう。古いビルドのままでは、確認機能そのものがまだ反映されていない可能性があります。

また、セキュアブート自体が無効になっている端末では、証明書の状態より先にUEFI設定を確認する必要があります。WindowsキーとRキーを押して「msinfo32」を実行し、「セキュアブートの状態」を見る方法もあります。

msinfo32で確認できるのは、主にセキュアブートがオンかオフかという状態です。2023年版のセキュアブート証明書が入っているかまでは、詳しく分からない点に注意してください。

画面表示がない、msinfo32でも判断できない、企業端末で設定が制限されているという場合は、PowerShellの確認コマンドが有効です。次の手順で、セキュアブート証明書をより具体的に確認できます。

セキュアブート証明書の確認コマンドはPowerShellが確実

セキュアブート証明書の確認コマンドを使うなら、PowerShellでUEFIのデータベースを直接確認する方法が有効です。特に管理者や中級者以上のユーザーは、画面表示より具体的な結果を得られます。

コマンドの結果はTrueまたはFalseで返るため、2023年版の証明書が入っているかを判断しやすいです。入力ミスを避けるため、管理者権限で慎重に実行しましょう。

管理者権限で実行する準備

PowerShellでセキュアブート証明書を確認する場合は、管理者権限でPowerShellを開きます。スタートボタンを右クリックし、「ターミナル 管理者」または「Windows PowerShell 管理者」を選びます。

通常権限のままだと、UEFI関連の情報を正しく読み取れない場合があります。セキュアブート証明書の確認方法 PowerShellとして調べている人は、最初に権限を確認しておくとつまずきにくいです。

作業前には、BitLockerを使っているかどうかも確認しておくと安心です。証明書の確認だけなら大きな変更は入りませんが、更新作業に進む場合は回復キーが必要になる場面があります。

会社のパソコンでは、管理者権限が制限されていることがあります。その場合は無理に実行せず、情報システム部門へセキュアブート証明書の確認コマンドを使った点検を依頼してください。

2023年版の有無を調べるコマンド

セキュアブート証明書の確認 コマンドとして、2023年版の証明書名がUEFI内に存在するかを確認します。代表的な確認対象は、Windows UEFI CA 2023やMicrosoft UEFI CA 2023です。

たとえば、管理者権限のPowerShellで次のようなコマンドを実行します。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Microsoft UEFI CA 2023を確認する場合は、証明書名の部分を変更します。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'

セキュアブート証明書の有効期限 確認方法としては、証明書名と更新状態をあわせて見ることが大切です。日付だけを探すより、2023年版へ移行できているかを確認するほうが実用的ですね。

TrueとFalseの見方

PowerShellの実行結果がTrueなら、指定した2023年版のセキュアブート証明書が確認できたという意味です。Windows UEFI CA 2023がTrueなら、Windowsの起動に関わる新しい証明書が入っている状態と考えられます。

一方でFalseが返る場合は、証明書がまだ入っていない、読み取り対象が違う、または更新が完了していない可能性があります。すぐに危険と判断するより、Windows Updateや再起動の有無を確認しましょう。

複数の証明書を確認する理由は、Windows用、サードパーティ用、オプションROM用など役割が分かれているためです。1つだけTrueでも、端末の構成によっては追加確認が必要になる場合があります。

企業環境では、この確認コマンドをIntuneなどの管理ツールと組み合わせて、複数台の端末を一括点検することもあります。個人ユーザーは、Trueが確認できない場合に無理な手動更新へ進まず、まず通常の更新を試すのが安全です。

セキュアブート証明書の更新方法はWindows Updateが基本

セキュアブート証明書の更新方法は、基本的にWindows Updateを最新にすることです。Microsoftは2023年版証明書への移行を段階的に進めているため、一般ユーザーが特別な作業をする場面は多くありません。

ただし、更新プログラムを入れただけで終わらず、再起動によって反映される部分があります。更新後に再起動を先延ばしにしている端末は、状態確認まで行いましょう。

自動更新されるケース

家庭用のWindows11や、通常のWindows10端末では、セキュアブート証明書はWindows Update経由で自動更新されるケースが多いです。設定アプリのWindows Updateを開き、最新の更新プログラムを適用してください。

自動更新の対象であれば、ユーザーがレジストリを触ったり、UEFI設定を直接変更したりする必要はありません。セキュアブート証明書の更新方法として最も安全なのは、公式の更新ルートに任せることです。

特に初心者は、ネット上の手動更新手順を先に試すより、Windows Updateとメーカー提供のBIOS更新を優先するのがおすすめです。誤った操作は起動トラブルにつながる可能性があります。

ただし、長期間オフラインだった端末や、企業の更新管理下にある端末では自動更新が遅れる場合があります。2026年が近づくほど、セキュアブート証明書の確認と更新状況の把握が重要になります。

再起動が必要になる理由

セキュアブート証明書は、Windows上の通常ファイルだけでなく、UEFI側のデータベースにも関係します。そのため、更新プログラムを受信しただけでは完了せず、再起動時に反映される処理があります。

会社の端末でホットパッチや再起動抑制の運用をしている場合、更新ファイルは入っているのに、セキュアブート証明書の反映が途中で止まっていることがあります。見た目には更新済みに見えても、実際の状態が違うわけですね。

Windows Update後に再起動を何週間も先延ばしにすると、セキュアブート証明書の更新が完了しない可能性があります。個人ユーザーでも、更新後の再起動は早めに済ませてください。

再起動後は、WindowsセキュリティやPowerShellで状態を再確認すると確実です。特に2026年の期限切れ対策として確認するなら、更新、再起動、確認の3ステップで進めると分かりやすいです。

更新前にBitLocker回復キーを控える

セキュアブート証明書の更新前に、BitLocker回復キーを控えておくことも大切です。BitLockerは、起動時の構成が変わったと判断すると、回復キーの入力を求めることがあります。

セキュアブート証明書やBIOSを更新すると、TPMが監視している起動構成に変化が出る可能性があります。その結果、本人の操作でもBitLockerが安全確認として回復キーを要求するケースがあります。

回復キーが分からない状態で更新を進めると、最悪の場合はWindowsに入れなくなる可能性があります。個人用パソコンならMicrosoftアカウント、会社端末なら管理者側の管理画面に保存されていることが多いです。

セキュアブート証明書の2026年問題では、証明書そのものだけでなく、BitLockerやBIOS更新との組み合わせにも注意が必要です。更新作業の前に、回復キーの場所を確認しておくと安心ですね。

セキュアブート証明書を手動更新する方法

セキュアブート証明書の手動更新は、Windows Updateで進まない端末や検証用端末で使われる方法です。レジストリやPowerShellを扱うため、初心者がいきなり試す手順ではありません。

誤操作を避けるため、作業前にバックアップ、BitLocker回復キー、メーカーのBIOS更新状況を確認してください。会社の端末では、必ず管理者の方針に従いましょう。

レジストリで更新フラグを設定する

手動更新では、まずレジストリに更新用のフラグを設定します。対象は「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot」配下のAvailableUpdatesというDWORD値です。

リサーチ資料では、値のデータに16進数で「5944」を設定する手順が紹介されています。これは、セキュアブート証明書の更新準備をWindows側へ知らせるための操作です。

レジストリ操作は入力ミスによる影響が大きいため、作業前に復元ポイントやバックアップを取ることが重要です。値の場所や名前を間違えたまま進めると、意図した更新が実行されません。

一般ユーザーの場合、セキュアブート証明書の手動更新を自力で進めるより、Windows Updateやメーカーサポートの案内を優先してください。手動更新は、管理者や検証担当者向けの選択肢と考えるのが安全です。

PowerShellで更新タスクを実行する

レジストリで更新フラグを設定した後は、PowerShellで更新タスクを実行します。管理者権限でPowerShellを開き、セキュアブート証明書の更新に関係するスケジュールタスクを開始する流れです。

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

このコマンドは、Windowsに用意されているSecure-Boot-Updateタスクを実行するものです。入力後にすぐ完了したように見えても、実際の反映には再起動が必要になる場合があります。

PowerShellでタスクを実行しただけで、セキュアブート証明書の更新が完全に終わるとは限りません。UEFI側への反映は再起動時に処理されるため、必ず再起動まで含めて手順を考えてください。

会社のパソコンでは、セキュリティポリシーによりタスク実行が制限されることがあります。エラーが出た場合は、無理に回避せず、端末管理者へ相談するほうが安全です。

再起動後に状態を再確認する

手動更新を実行した後は、再起動してからセキュアブート証明書の状態を再確認します。更新処理は再起動中に反映されることがあるため、作業直後の画面だけで判断しないようにしましょう。

再起動後は、Windowsセキュリティでバッジ表示を確認し、必要に応じてPowerShellコマンドで2023年版の証明書が入っているかを確認します。Trueが返れば、対象の証明書を確認できた状態です。

もしFalseのままの場合は、Windows Update未適用、BIOS未更新、メーカー側の対応待ちなど複数の原因が考えられます。再度同じ操作を繰り返す前に、端末メーカーの情報を確認してください。

セキュアブート証明書の手動更新は、確認、実行、再起動、再確認までが一連の作業です。途中で止めると状態が分かりにくくなるため、作業記録を残しながら進めるとトラブル時に対応しやすいです。

セキュアブート証明書はDellやhpで対応が違う

セキュアブート証明書はWindows側だけでなく、各メーカーのBIOSやUEFIとも関係します。そのため、Dellやhpのパソコンでは、メーカーごとのサポート情報を確認することが重要です。

特に業務用端末、サーバー、Thin Clientでは、一般的な家庭用Windowsパソコンと対応が違う場合があります。Windows Updateだけで判断せず、機種別の案内も確認しましょう。

DellはTPM-WMIのイベントIDに注意

Dell環境では、セキュアブート証明書の更新後にイベントビューアーへTPM-WMI関連のログが出る事象が案内されています。特にWindows Server環境では、イベントID:1801が気になる人もいるかもしれません。

Dell公式では、セキュアブート証明書の更新に関するWindows Server向け情報が公開されています。対象機種やBIOS、イベントログの扱いは、端末ごとに確認したほうが安全です。（出典：Dell 日本）

イベントログが出ているからといって、すぐに起動不能や故障と判断するのは早いです。既知の事象として扱われている場合もあるため、まず公式情報とWindows Updateの状況を見ましょう。

セキュア ブート証明書 Dellで調べている人は、Windows側の証明書だけでなく、BIOSバージョン、TPM、BitLockerの状態もあわせて確認すると原因を切り分けやすいです。

hpはBIOSやService Packの確認が重要

hpのパソコンやThin Clientでは、セキュアブート証明書の対応にBIOS更新やService Packが関係する場合があります。特に業務用のThin Clientでは、通常のWindows Updateだけでは完了しないケースもあります。

hp環境では、機種の製造年やOSの種類によって対応が変わる可能性があります。古い端末では、新しいセキュアブート証明書に必要なBIOS更新が提供されない場合もあるため注意が必要です。

セキュアブート証明書 hpで情報を探す場合は、必ず自分の正確な機種名とBIOSバージョンを確認してください。同じhp製品でも、個人向けノートパソコンと業務用端末では対応が違います。

BIOS設定画面でMicrosoft UEFI CA 2023関連の項目を確認する手順が必要になる場合もあります。ただし、BIOS設定を不用意に変更すると起動トラブルにつながるため、公式手順を見ながら慎重に進めましょう。

古い機種はメーカーサポートの有無を見る

セキュアブート証明書の2026年問題では、古い機種ほどメーカーサポートの有無が重要になります。Windowsが動いていても、BIOSやUEFIが新しい証明書に対応していない場合があるためです。

特にWindows10を長く使っている端末では、OSのサポート期限、BIOS更新の提供状況、BitLockerの有無をセットで確認する必要があります。セキュアブート証明書 Windows10で調べる人が多いのも、この不安があるからですね。

メーカーのサポートページでBIOS更新が止まっている古い端末は、2026年に向けて買い替えやWindows11対応機への移行も検討したいところです。無理に使い続けるほど、更新面の不安が大きくなります。

セキュアブート証明書は普段見えない部分ですが、PCの安全な起動を支える土台です。Dellやhpに限らず、富士通、NEC、dynabook、ASUSなどのメーカー製端末でも、公式サポート情報を確認しておきましょう。

セキュアブート証明書とWindows10の2026年問題

セキュアブート証明書の2026年問題は、Windows10を使い続けている人ほど注意したいテーマです。Windows10はすでに通常サポートが終了しているため、証明書更新とOS更新の両方を確認する必要があります。

セキュアブート証明書だけを見ても不十分で、Windows10の更新状態、ESUの登録状況、Windows11へ移行できる端末かどうかまで見ておくと安心です。

Windows10のサポート終了との関係

Windows10は、2025年10月14日に通常サポートが終了しています。パソコン自体は起動できますが、通常のセキュリティ更新や機能更新を受け取れない状態になるため、セキュアブート証明書の2026年問題とも関係してきます。

セキュアブート証明書は、Windowsの起動前に読み込まれるブート関連の安全性を確認する仕組みです。Windows10の更新が止まった端末では、2026年に向けた証明書更新やブート関連の保護が十分に反映されない可能性があります。

Windows10を使い続ける場合は、セキュアブート証明書の確認方法だけでなく、Windows Updateの受信状態もセットで確認することが重要です。古いWindows10端末ほど、BIOSやUEFIの更新提供が終了している場合もあるため、メーカーサポート情報も見ておきたいですね。

ESUを使わない場合の注意点

ESUは、Windows10のサポート終了後も一定期間セキュリティ更新を受け取るための選択肢です。ESUを使わない場合、Windows10は動作を続けても、新しい脆弱性への対策が遅れるリスクがあります。

セキュアブート証明書の2026年問題では、証明書そのものの更新だけでなく、関連するWindowsの更新プログラムを受け取れるかが大切です。ESU未登録のWindows10端末では、必要な更新が届かない可能性を考えておく必要があります。

ESUを使わずにWindows10を使い続ける場合は、ネット接続を前提にした普段使いには向きにくくなります。特にネットバンキング、仕事用データ、個人情報を扱う端末では、セキュアブート証明書以前にOS全体の安全性が大きな課題です。

どうしてもWindows10を残す必要がある場合は、重要データのバックアップ、BitLocker回復キーの確認、メーカーBIOS更新の有無を整理しておきましょう。セキュアブート証明書の更新状況だけで安全と判断しないことが大切です。

Windows11移行も検討したいケース

Windows10端末を2026年以降も使う予定があるなら、Windows11へ移行できるか確認しておくのがおすすめです。Windows11はセキュアブートやTPM 2.0などの要件が重視されているため、起動時の保護を前提にした設計になっています。

Windows UpdateでWindows11へのアップグレード対象と表示される端末なら、セキュアブート証明書の2026年問題とあわせて移行を検討しやすいです。逆に、Windows11の要件を満たさない古い端末は、今後のBIOS更新や証明書対応にも不安が残ります。

Windows10のままESUに登録して延命する方法はありますが、長期的にはWindows11対応端末への移行が安全です。業務用パソコンでは、アプリ互換性や周辺機器の動作確認も必要になるため、早めに移行計画を立てたいですね。

セキュアブート証明書の2026年対策は、単なる証明書更新だけではありません。Windows10を使い続ける理由、ESUの必要性、Windows11へ移行する時期をまとめて考えることで、起動トラブルやセキュリティリスクを減らせます。

セキュアブート証明書の確認と更新方法まとめ

当記事では、セキュアブート証明書の確認方法や更新方法、2026年の期限切れ対策について紹介しました。

セキュアブート証明書は、Windowsを安全に起動するための重要な仕組みで、2026年に古い2011年版証明書の期限が近づきます。まずはWindows Updateを最新にし、WindowsセキュリティやPowerShellで2023年版の状態を確認する流れが基本です。

セキュアブート証明書の確認コマンドを使えば、Windows UEFI CA 2023などの有無をTrueまたはFalseで確認できます。更新方法はWindows Updateが基本ですが、手動更新ではレジストリやPowerShellを扱うため、BitLocker回復キーの確認も忘れないようにしましょう。

Dellやhpなどのメーカー製パソコンでは、BIOSやUEFI、Service Packの対応状況も重要です。2026年直前に慌てないためにも、セキュアブート証明書の確認を今のうちに済ませておくと安心ですね。