Tutorials

セキュアブート証明書が期限切れ?起動できない・バッジが赤い時の対処法5選【Windows 11/10】

「セキュアブート証明書が期限切れ」という言葉を見て、不安になっていませんか。2026年6月、Microsoftの古い証明書が順次期限切れを迎えます。ただ、正しく対処すれば怖がる必要はありません。この記事を読めば、自分のPCが今どの状況にあるかを判断し、落ち着いて解決できます。

この記事で解決できること:

  • 自分のPCが安全か危険かを5分で確認する方法
  • Windowsセキュリティの「赤・黄・緑」バッジ別の正しい対処法
  • セキュアブート証明書が期限切れになっても起動できるようにする対処法5選
  • 更新後にBitLocker回復画面が繰り返し表示されるループの直し方
  • Windows 10ユーザーが今すぐ知っておくべき注意点

あなたのPCは大丈夫?セキュアブート証明書の状況をまず確認する

まず結論からお伝えします。証明書が期限切れになっても、すぐにPCが起動しなくなるわけではありません。Microsoftも「PCはそのまま起動・操作できる」と公式に説明しています。ただし、何もしないと「恒久的に低下したセキュリティ状態」に置かれます。

具体的な期限は次の通りです。Microsoft Corporation KEK CA 2011が2026年6月24日、DBに含まれるMicrosoft Windows Production PCA 2011が6月27日に期限切れとなります。同時期にMicrosoft UEFI CA 2011も失効し、さらに10月にも別の証明書が失効する予定です。

問題は、ブートマネージャーが新しい「Windows UEFI CA 2023」証明書に切り替わったあとです。UEFI側のデータベースが古い2011証明書のままだと整合性が取れず、起動が拒否されるケースがあります。ちょうど「新しい鍵で締めたドアを、古い鍵で開けようとしても開かない」状態です。だからこそ、今のうちに状況を確認しておくことが大切です。

まずは「Windows セキュリティ」アプリで確認しましょう。手順は次の5ステップです。

  1. スタートメニューから「Windows セキュリティ」を開く
  2. 「デバイス セキュリティ」を選ぶ
  3. 「セキュア ブート」の項目を探す
  4. 表示されているバッジ(緑・黄・赤)の色を確認する
  5. 色に応じて、下の解説で自分の状況を判断する

このバッジ機能は2026年4月以降に追加された新しい目印です。色を見るだけで、自分が今どの状況にいるかがひと目でわかります。それぞれの意味を見ていきましょう。

緑バッジ:対応済み(このまま何もしなくてOK)

緑のバッジは「すでに新しいWindows UEFI CA 2023証明書が適用済み」という意味です。Windows Updateを自動適用にしている多くのPCは、この状態になっています。このまま使い続けて問題ありません。

念のため確認したい場合は、PowerShellを管理者として開き、次のコマンドを実行してください(この確認は任意です。コマンド操作が不安な方は、バッジが緑であれば対処法1を実行するだけでOKです)。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

結果が「True」なら対応済みです。「False」なら未対応なので、後述の対処法に進みましょう。

黄バッジ:要確認(ファームウェア更新が必要)

黄色のバッジは「Windows側の準備はできているが、ファームウェア(BIOS/UEFI)側に制限がある」サインです。多くの場合、メーカーが配布するBIOS/UEFIの更新が必要になります。このあとの「対処法4」を中心に進めてください。

赤バッジ:要対処(今すぐ手順を実行)

赤いバッジは「証明書が更新されておらず、今すぐ対処が必要」な状態です。放置すると、将来のWindowsアップグレードが失敗したり、状況によっては起動トラブルにつながる可能性があります。慌てる必要はありませんが、後述の対処法1から順に試してください。

セキュアブート証明書の期限切れはなぜ起きるのか

セキュアブートとは、PCの起動時に「信頼された署名のあるソフトだけを動かす」仕組みです。UEFI(旧BIOSにあたる起動用ソフト)の中に、KEK・DB・DBXという3つの証明書データベースを持っています。簡単に言えば、許可リストと拒否リストのようなものです。

今回の問題の根本原因は、2011年に発行された証明書が15年の有効期限を迎えることです。Microsoftは後継として「Windows UEFI CA 2023」署名の新しいブートマネージャーを配布し始めました。ところが、UEFI側のDBが古い2011証明書のままだと、新しい署名を「許可されていない署名」とみなして起動を拒否してしまうのです。

特にリスクが高いのは、次の3パターンです。

  • 古いPCでBIOSが長く更新されていないケース
  • HP製PCでBIOSアップデート適用後にトラブルが起きたケース
  • Windows 10でサポートが終了し更新が届かないケース

心当たりがあれば、次の対処法をしっかり実行しましょう。

セキュアブート証明書を今すぐ更新する対処法5選

ここからは具体的な解決手順です。基本は「上から順番に試す」だけで大丈夫です。多くの方は対処法1か2で解決します。

対処法1(最優先):Windows Updateを今すぐ実行する

最も簡単で効果的なのが、Windows Updateの適用です。2025年5月13日以降に配布されている累積更新プログラムには証明書更新が含まれており、適用済みのPCは自動的に更新されます。2026年6月9日のKB5094126(Windows 11)でも引き続き配布が拡大しています。

スタート→「設定」→「Windows Update」→「今すぐ更新」の順に進めてください。更新が終わったら、必ずPCを再起動します。再起動後、先ほどのPowerShellコマンドで「True」になれば成功です。

対処法2:Windowsセキュリティアプリから手動で更新する

Windows Updateだけで切り替わらない場合は、Windowsセキュリティアプリから手動でトリガーをかけます。「Windows セキュリティ」→「デバイス セキュリティ」→「セキュア ブート」と進み、表示される推奨アクションを実行してください。

最新の公式ガイドは Microsoft公式サポート(aka.ms/GetSecureBoot) で確認できます。手順に迷ったら、こちらを参照すると安心です。

対処法3:レジストリから更新を強制する

それでも更新されない場合は、レジストリから直接更新を促せます。

初心者の方へ:「レジストリ」とはWindowsの設定を一元管理するデータベースのことです。誤った操作をするとシステムに影響するため、操作に不安がある方はこのステップを飛ばして対処法4へ進んでもOKです。

レジストリの操作はPCの重要な設定を変更するため、慎重に進めてください。

  1. 「regedit」と検索してレジストリエディターを管理者権限で起動する
  2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot に移動する
  3. AvailableUpdates の値を 0x5944(DWORD)に設定する
  4. PCを再起動し、その後もう一度再起動する

ポイントは、再起動を2回行うことです。1回だけだと証明書が適用されないことがあります。

対処法4:BIOS/UEFIファームウェアを最新版に更新する

黄バッジの場合や古いPCでは、メーカーのBIOS/UEFI更新が必要です。更新する前に、必ずBitLocker回復キーを Microsoftアカウント(aka.ms/recoverykey) で確認し、メモしておきましょう。これを忘れると、更新後にロックされて困ることがあります。

お使いのメーカーのサポートページから最新のBIOS更新版を確認してください。

更新が終わったら、再度PowerShellで「True」になるか確認してください。

対処法5(古いPC向け):PowerShellスクリプトで強制更新する

上記で解決しない古いPCでは、Microsoftが提供する更新スクリプトを順番に実行する方法があります。スクリプトは Microsoftサポート「KB5042562」ページ からダウンロードできます。

  1. check-securebootdb.ps1 で現在の状態を確認する
  2. allowautoupdate-securebootdb.ps1 で自動更新を許可する
  3. updatenow-securebootdb.ps1 で即時更新を実行する

実行後は2回再起動し、PowerShellで「True」が返ることを確認してください。手順の詳細はメーカーや@ITの解説記事も参考になります。

更新後にBitLocker回復画面が繰り返し表示される場合の対処法

ここでは、証明書更新後に発生しやすい「回復画面ループ」の原因と解消手順を説明します。

証明書更新やBIOSアップデートの後、BitLocker回復画面が何度も表示されるループに陥るケースがあります。特にHP製PCで報告が多く、HP法人向けのノート・デスクトップ・ワークステーション全機種(Windows 11 23H2/24H2/25H2)が影響を受けました。正しい回復キーを入れても再起動後にまた回復画面が出る、という厄介な症状です。

原因は、起動経路によって「2つの異なる署名機関が測定される」状態にあります。たとえばPXEブートパスが旧CA、ディスク上のブートマネージャーが新CA、というズレが起きると、BitLockerが「環境が変わった」と判断してロックしてしまうのです。

HP製PCでこのループに入った場合は、BIOSメニュー(起動時にF10)→Security→Secure Boot Configuration を開き、次の4項目にチェックを入れると解消する事例が報告されています。

  • Windows UEFI CA 2023
  • Microsoft Option ROM UEFI CA 2023
  • Microsoft UEFI CA 2023
  • Enable MS UEFI CA Key

それでも起動できないときは、一時的にセキュアブートを無効化してWindowsを起動し、証明書更新を完了させてから再びセキュアブートを有効化する手順が有効です。UEFIに入るには、再起動時に F2キーまたはDeleteキー(機種によってはF10やEscキー)を連打してください。具体的な手順は HP公式サポート も参考にしてください。

なお、ここで注意したい「効果がなかった方法」も挙げておきます。セキュアブートを単純に無効化したままにするのは根本解決になりません。セキュリティが低下するうえ、APEXなどのFPSゲームが起動できなくなる副作用も報告されています。あくまで一時的な手段にとどめ、最後は再有効化しましょう。

Windows 10ユーザーへの特別な注意事項

Windows 10を使っている方は、特に注意が必要です。Windows 10は2025年10月14日にサポートが終了しました。そのため、ESU(延長セキュリティ更新)を契約していない限り、Windows Update経由の証明書更新が届かない可能性があります。

実際、Yahoo知恵袋でも「Windows 10を最新までアップデートしているのにWindows UEFI CA 2023が検出されない」という報告が上がっています。これに対する回答は「ESUプログラムが有効なら問題ない」というものでした。つまり、更新を受け取れる状態かどうかが分かれ目です。

おすすめの対応は、可能ならWindows 11へアップグレードすることです。難しい場合はESUの契約を検討しましょう。どうしてもWindows 10を使い続けるなら、セキュアブートを無効化するリスクを理解したうえで判断する必要があります。

まとめ:今やるべきことと再発防止策

セキュアブート証明書の期限切れは、正しく確認して対処すれば怖いものではありません。まずは「Windows セキュリティ」アプリでバッジの色を確認し、赤や黄なら対処法1から順に試してください。多くの場合、Windows Updateと再起動だけで解決します。

今後同じ不安を抱えないために、次の習慣をおすすめします。

  • Windows Updateは自動適用に設定しておく
  • BIOSはメーカーサポートで年1回ほど確認する
  • BitLocker回復キーはMicrosoftアカウントに紐づけて保管しておく
  • Windowsセキュリティのバッジが「緑」であることを時々確認する

まずは今すぐ、お使いのPCで「Windows セキュリティ」を開いてバッジの色を確かめてみましょう。それが、安心への確実な第一歩になります。

おすすめ商品

記事に関連するおすすめ商品をご紹介します。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です