セキュアブート証明書が6月27日に期限切れ——今すぐ確認すべき3ステップと対処法
「セキュアブート証明書が6月27日に期限切れになる」というニュースを見て、自分のPCが起動しなくなるのではと不安になっていませんか。結論から言えば、多くの方は慌てる必要はありません。Windows Updateを最新にしているPCなら、証明書は自動で更新されているからです。この記事では、影響を受けるPCの見分け方と、今すぐできる確認・対処の手順をわかりやすく解説します。
セキュアブート証明書の期限切れで何が起こるか(6月27日問題の概要)
セキュアブートとは、PCの電源を入れた直後に、信頼できないプログラムが起動するのを防ぐMicrosoftのセキュリティ機能です。この仕組みは「証明書」によって正規のソフトウェアかどうかを判定しています。今回問題になっているのは、2011年に発行された証明書が有効期限を迎えることです。
具体的には、3種類の証明書が順次期限切れになります。下表のとおり、最初の期限は2026年6月24日(KEK CA 2011)、続いてUEFI CA 2011が2026年6月27日です。これらは2023年版の新しい証明書(有効期限2038年まで)に置き換えられます。
| 証明書名 | 有効期限 |
|---|---|
| Microsoft Corporation KEK CA 2011 | 2026年6月24日 |
| Microsoft Corporation UEFI CA 2011 | 2026年6月27日 |
| Microsoft Windows Production PCA 2011 | 2026年10月19日 |
ここで大切なのは、証明書が切れても即座にPCが起動不能になるわけではないという点です。Microsoftも「デバイスは引き続き起動・稼働し、通常のWindows更新はインストールされますが、新しいセキュリティ保護を受け取ることができなくなります」と説明しています(Microsoft公式サポート、2026-06-24時点)。つまり、放置すると将来のブート脆弱性に対応できなくなるリスクがある、というのが正確な理解です。
今すぐ対応すべきか?期限の時系列
「今日中に何かしないといけないのか」と焦っている方のために、期限と対処の時系列を整理します。
| 期限 | 対象証明書 | 状況 |
|---|---|---|
| 2026年6月24日(本日) | KEK CA 2011 | すでに期限切れ |
| 2026年6月27日(3日後) | UEFI CA 2011 | 今週末に期限切れ |
| 2026年10月19日 | Windows Production PCA 2011 | 約4か月後 |
重要なのは、6月27日を過ぎても即座にPCが起動不能になるわけではないという点です。前述のMicrosoftの説明にあるとおり、証明書が未更新でも通常のWindows更新は引き続き受け取れます。ただし新しいセキュアブート保護が適用されなくなるため、放置は推奨されません。
- 今すぐ(6月27日まで)に確認すること: Windowsセキュリティアプリで状態を確認し、緑チェックでなければWindows Updateを実行する。慌てて操作ミスをするより、落ち着いて手順を確認することのほうが大切です
- 10月19日までに対処すること: Windows 10 ESU未加入のPCや、BIOS更新が必要な機種は、最後の証明書(Windows Production PCA 2011)の期限である10月19日までに対応を完了させましょう
影響を受けるPCと受けないPCの見分け方
「自分のPCは大丈夫なのか」を判断するために、まずは対象範囲を整理しましょう。結論として、ほぼすべての現行Windowsが対象です。
対象となるWindowsバージョン
影響を受けるのは、Windows 10(全バージョン・LTSC 2019を含む)、Windows 11(全バージョン)、Windows Server 2025などです(Microsoft公式サポート、2026-06-24時点)。基本的に現在使われているWindows PCはすべて対象と考えてよいでしょう。
特に注意が必要なPC
注意したいのは、Windows 10をサポート終了後も使い続けているケースです。Windows 10は2025年10月にサポートが終了しており、延長セキュリティ更新プログラム(ESU)に未加入の場合、Windows Updateを受信できず証明書の更新が難しくなります(PC Watch、2026-06-24時点)。この層は特に早めの対応が必要です(詳しくは後述)。
対応済みとなるPC
一方、出荷時から新証明書を搭載した新しいPCは対象外です。たとえばDynabookでは、Windows 11 25H2プレインストールモデルや24H2の特定機種(BA/ZY、RA/ZY、XA/ZYなど)が対象外とされています(dynabook公式、2026-06-24時点)。dynabookは「OS環境を常に最新の状態にしておけば、特に考慮すべきことはありません」と案内しています。
今すぐできる3ステップの確認・対処手順
ここからは具体的な手順です。次の3ステップを順に進めれば、大半の方は対応を完了できます。
ステップ1——Windowsセキュリティアプリで状態を確認する
2026年4月の更新以降、「Windowsセキュリティ」アプリで証明書の更新状態を確認できるようになりました。スタートメニューから「Windowsセキュリティ」を開き、「デバイスセキュリティ」→「セキュアブート」の順に進みます。表示は次の3段階です。
- 緑のチェック:更新済み(対応不要)
- 黄色の注意:更新待ち(Windows Updateを実行)
- 赤の停止:追加対応が必要
緑チェックの場合は「Secure Boot is on and all required certificate updates have been applied(セキュアブートが有効で、必要なすべての証明書更新が適用済みです)」と表示されます(Microsoft公式サポート、2026-06-24時点)。この表示が出ていれば、あなたのPCはすでに安全です。
アプリで判断できない場合は、PowerShellでも確認できます。管理者として起動したPowerShellで次のコマンドを実行し、結果が「True」なら適用済み、「False」なら未適用です(Snow System、2026-06-24時点)。
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')ステップ2——Windows Updateを最新にする
黄色や赤の表示が出た場合、まずはWindows Updateを最新にします。証明書の更新は2025年5月13日以降に配布された累積更新プログラム(LCU)に含まれており、更新を当てているPCは自動的に対応されます(マイナビ、2026-06-24時点)。「設定」→「Windows Update」→「更新プログラムのチェック」を実行してください。なお、更新の反映には複数回の再起動が必要になる場合があります。
ステップ3——PCメーカーのBIOS/ファームウェア更新を確認する
機種によっては、Windows Updateに加えてBIOS(ファームウェア)の更新が必要な場合があります。まず「設定」→「Windows Update」→「詳細オプション」→「オプションの更新プログラム」を確認してください。ここにBIOS・ファームウェアの更新が表示される機種もあります。それでも見つからない場合は、次のセクションで説明するメーカー別の確認手順を参照してください。
PCメーカー別BIOS・ファームウェア更新の確認方法
「サポートページのどこを見ればよいかわからない」という方のために、メーカーごとの確認手順を補足します。基本的な手順は「PCのモデル名(型番)+セキュアブート」で検索するか、各メーカーの公式サポートページを直接確認することです。
dynabook(東芝)
dynabook公式サポートページ(https://dynabook.com/assistpc/info/2026/20260217_secureboot.htm)に専用の案内ページが設けられています。機種ごとの対応状況(対象外機種一覧を含む)が確認できます(dynabook公式、2026-06-24時点)。
富士通(FMV)
富士通法人向けサポートページ(https://www.fmworld.net/biz/fmv/support/information/sbcert2026/)に、セキュアブート証明書の有効期限切れに関する専用案内があります(富士通法人向けサポート、2026-06-24時点)。一般向けPCについては「あなたのサポートページ」から機種を検索してください。
DELL、HP、Lenovo、その他のメーカー
各メーカー公式サポートページで「セキュアブート」「Secure Boot 2026」などのキーワードで検索するか、PC本体のモデル名(Windowsキー+「msinfo32」を実行するとシステム情報で確認できます)を使って検索すると該当案内が見つかります。Windows Updateの「オプションの更新プログラム」にBIOS更新が含まれている場合は、そちらから適用するのが最も簡単な方法です。
Windows 10 ESU未加入の方への対処法
Windows 10のサポートは2025年10月14日に終了しています。その後もPCを使い続けている場合、「延長セキュリティ更新プログラム(ESU)」に加入していなければWindows Updateを受信できず、セキュアブート証明書の自動更新が行われません(PC Watch、2026-06-24時点)。
この状況に該当する方の選択肢は主に2つです。
- Windows 11へ移行する: 対象PCがWindows 11の動作要件(TPM 2.0など)を満たしている場合は移行が最善の解決策です。Windows 11への無償アップグレードが引き続き可能か、Microsoftの公式ページで確認してください
- ESUに加入する: 法人利用など移行が難しい場合は、ESUへの加入を検討してください。ESUに加入すると2026年10月まで更新を受け取れます
どちらも難しい場合は、インターネット接続や重要なファイルの管理について、セキュリティリスクを十分に理解した上でご判断ください。
証明書が更新されない・PCが起動しない場合の対処法
ステップどおりに進めても解決しない場合や、すでにトラブルが起きている場合の対処法です。
万が一、証明書の不整合でWindowsが起動しなくなった場合の応急処置として、UEFIのセキュアブートを一時的に無効化してWindowsを起動する方法が報告されています(@IT、2026-06-24時点)。具体的にはPC起動時にUEFI(BIOS)メニューに入り、セキュアブートを「無効」に設定してWindowsを起動し、Windows Updateで証明書を更新した後にセキュアブートを「有効」に戻します。ただし、UEFIの設定変更は操作を誤るとPCが起動しなくなる可能性があります。UEFI操作に慣れていない場合は自己判断で進めず、最初からPCメーカーのサポート窓口に相談することを強くお勧めします。本手順を実施する場合は自己責任で行ってください。
なお、一部で「メーカー製PCの多くがBIOSを提供しない」といった情報も見られますが、状況は機種ごとに異なります。必ず各メーカーの公式サポートページで最新情報を確認してください。
まとめ——今日からできること
セキュアブート証明書の期限切れは、多くの方にとってWindows Updateを当てるだけで解決する問題です。6月27日を過ぎてもすぐにPCが使えなくなるわけではありませんが、最終期限の10月19日(Windows Production PCA 2011)に向けて、早めに対応を完了させるのが安心です。
特に注意してほしいのが、サポートが終了したWindows 10をESU未加入で使い続けている方です。この場合は更新を受け取れないため、Windows 11への移行を検討するのが最善の対策になります。
今日やることを3点にまとめます。
- Windowsセキュリティアプリで証明書の状態を確認する(緑チェックなら対応済み)
- 緑チェックでなければWindows Updateを実行して最新にする
- 必要に応じてメーカーの公式サポートページでBIOS更新を確認する
まずはステップ1の状態確認から始めてみてください。緑のチェックが出ていれば、あなたの対応はすでに完了しています。
