Windowsセキュアブート証明書が2026年6月27日に期限切れ——PCが起動不能になる3つのケースと今すぐできる対策
「2026年6月27日にWindowsのセキュアブート証明書が期限切れになり、PCが起動しなくなる」——こんな話を見聞きして不安になっていませんか。結論から言うと、その日を迎えても、あなたのPCがいきなり起動不能になることはほとんどありません。ただし「条件によってはリスクがある」のも事実です。
この記事では、セキュアブート証明書の期限切れ(2026年6月)について、必要以上に怖がらず、かつ油断もしないために知っておきたいことを整理します。
この記事で分かること:
- 2026年6月27日に何が起きるのか、本当に起動不能になるのか
- 起動不能のリスクがある「3つのケース」
- 自分のPCが安全かどうかを確認する2つの方法
- 「未対応」だった場合の具体的な対処手順
- Windows 10ユーザーが特に注意すべきこと
突然「PCが起動しない」は本当に起きる?まず状況を整理しよう
2026年6月27日、Microsoftが2011年に発行したセキュアブート用の証明書「Microsoft Corporation UEFI CA 2011」が有効期限を迎えます。これは多くのWindows PCの起動時のセキュリティに関わる証明書です。さらに、関連するKEK(Key Exchange Key:起動セキュリティ用の鍵)と呼ばれる鍵は2026年10月に期限切れとなります。
ここで安心してほしいのは、証明書の期限が切れても、PCがその瞬間に動かなくなるわけではないということです。新しい証明書がまだ適用されていないPCでも、これまで通り起動し続けられます。期限切れによって直ちに「電源が入らない」状態になるわけではないのです。
ただし、放置にはデメリットがあります。証明書が古いままだと、Windowsを脅威から守る「失効リスト(DBX)」の更新を受け取れなくなり、セキュリティが徐々に低下します。だからこそ、慌てる必要はないものの、対応はしておくべきなのです。
セキュアブート証明書とは?15年で何が変わるのか
セキュアブートとは、PCの電源を入れた瞬間から、信頼できる正規のソフトウェアだけが起動するように守る仕組みです。悪意のあるプログラムがWindowsより先に動き出すのを防ぐ、いわば「玄関の鍵」のような役割を果たしています。この鍵の正当性を保証しているのが、Microsoftが発行する証明書です。
その鍵が、2011年に発行されてから約15年が経ち、ついに2026年6月27日に有効期限を迎えます。証明書には寿命があり、安全性を保つために定期的な更新が必要です。今回はその大きな世代交代のタイミングというわけです。
そこで登場するのが、新しい証明書「Windows UEFI CA 2023」をはじめとする2023年版の証明書群です。これらに更新することで、これからもセキュリティ更新を受け取り続けられます。Microsoftは2026年1月の累積アップデートから、この新証明書を段階的に自動配布し始めています。
起動不能になるのはどんなPCか——3つのリスク条件
では、実際に起動トラブルが起きうるのはどんなPCなのでしょうか。リスクが生じるのは、おもに次の3つのケースです。
リスク1 — Windows Updateを長期間適用していないPC
新証明書はWindows Update経由で配布されます。そのため、長期間アップデートを当てていないPCには、新証明書がまだ届いていません。Windows Updateをオフにしていたり、ずっと更新を保留にしている場合は、まずここを疑いましょう。
リスク2 — Windows 10でESU未契約のPC
Windows 10は2025年10月にサポートが終了しています。ESU(延長セキュリティ更新)を契約していない端末は、自動更新そのものを受け取れないため、新証明書も適用されません。KEK(起動セキュリティ用の鍵)の期限(2026年10月)までに対応しないと、更新が完全に困難になります。
リスク3 — ファームウェア更新が必要な旧型機
一部の旧型機では、Windows Updateだけでは証明書が反映されず、PCメーカーが配布するBIOS/UEFIの更新(ファームウェア更新)を別途当てる必要があります。型番が古いPCを使っている方は、メーカーの案内を確認しておくと安心です。
今すぐ確認!自分のPCが安全かチェックする2つの方法
不安を解消する一番の近道は、自分のPCの現状を確認することです。確認方法は2つあり、初心者の方は方法1、より確実に知りたい方は方法2がおすすめです。
方法1 — Windowsセキュリティアプリで確認(初心者向け)
2026年4月の更新プログラム(KB5083769)を適用したPCでは、画面上の操作だけで状態を確認できます。「Windowsセキュリティ」アプリを開き、「デバイスセキュリティ」→「セキュアブート」と進んでください。
ここでは状態が3つの色で表示されます。緑は「完了(対応済み)」、黄は「要対応」、赤は「脆弱」のサインです。緑が出ていれば、基本的に心配は要りません。
方法2 — PowerShellコマンドで確認(より確実)
確実に調べたい場合は、PowerShellを管理者として実行して確認します。スタートメニューで「PowerShell」と検索し、「管理者として実行」を選んでください。以下の2行は、PCのセキュアブートデータベース(db)とKEK(起動セキュリティ用の鍵)の中に、新しい証明書が含まれているかどうかを直接検索するコマンドです。そこに以下の2行を入力します。
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023')それぞれの結果が「True」と表示されれば、新証明書が適用済みで対応完了です。「False」が出た場合は、まだ更新が届いていないので、次の章の手順で対処しましょう。
確認してFalseだった場合の対処手順
「False」や黄色・赤色が表示されても、落ち着いて対処すれば大丈夫です。これは「新証明書がまだPCに届いていない・書き込まれていない」という状態が原因です。基本は次のステップ1とステップ2で解決します。万が一PCが起動しなくなった場合のステップ3も用意したので、安心して読み進めてください。
ステップ1 — Windows Updateを最新状態にする
まずはWindows Updateを手動で実行します。「設定」→「Windows Update」→「更新プログラムの確認」をクリックし、表示された更新をすべて適用してください。多くのPCは、この段階で新証明書が自動的に適用されます。更新後は再起動を忘れずに行いましょう。
ステップ2 — PCメーカーのBIOS/UEFI更新を確認する
ステップ1を実施してもまだFalseの場合に限り、ステップ2へ進んでください。PCメーカーのファームウェア更新が必要かもしれません。お使いのメーカーのサポートページで、セキュアブート証明書に関する案内を探してみてください。主要メーカーは専用の案内ページを公開しています(Dell / Dynabook / 富士通 など)。
ステップ3 — 万が一PCが起動しなくなったら
もしアップデート後にPCが起動しなくなった場合は、セキュアブートを一時的にオフにして復旧します。手順は次の通りです。
- PCの電源を入れた直後に、F2・DEL・ESCなどのキーを連打してUEFIメニュー(BIOS設定画面)を開く(キーはメーカーによって異なります)
- 「Security」設定で「Secure Boot」を一時的に「Disabled」にして保存・再起動する
- Windowsが起動したら、ステップ1のWindows Updateを実行して証明書を更新する
- 更新が完了したら、再びUEFIメニューで「Secure Boot」を「Enabled」に戻す
セキュアブートを無効のままにするとセキュリティが下がるため、更新後は必ず「Enabled」に戻すのがポイントです。
Windows 10ユーザーへの特別注意事項
Windows 10を使っている方は、もう一段の注意が必要です。Windows 10は2025年10月にサポートが終了しており、ESU(延長セキュリティ更新)を契約していないと、そもそも自動更新を受け取れません。つまり「証明書の期限切れ」と「OSのサポート終了」という二重のリスクを抱えている状態です。
このまま放置すると、KEK(起動セキュリティ用の鍵)の期限(2026年10月)以降は更新が完全に困難になります。最も安全で根本的な解決策は、Windows 11への移行です。お使いのPCがWindows 11の要件を満たしているか、この機会に確認してみましょう。
すぐに移行できない事情がある場合は、ESUを契約して当面の更新を受け取り続ける選択肢もあります。いずれにせよ、Windows 10ユーザーは「いつ・どう移行するか」を早めに考えておくことをおすすめします。
まとめ——再発防止と今後の注意点
ここまで読んでいただいたあなたは、もう過剰に不安を感じる必要はありません。セキュアブート証明書の期限切れ(2026年6月27日)は、Windows Updateを自動更新に設定しておくだけで、99%のケースは自動的に対応されます。
念のため再発防止のためにできることは、たった1つ。「設定」→「Windows Update」で更新が自動で適用される状態になっているかを確認しておくことです。これだけで、今後の証明書更新も自動で受け取れます。
最後に、自分のPCの状態が気になったら、この記事の「確認方法」で一度チェックしてみてください。より詳しい最新情報や法人向けの案内は、Microsoft公式のガイド(aka.ms/getsecureboot)にまとまっています。落ち着いて1つずつ対応すれば、何も怖がる必要はありません。
おすすめ商品
記事に関連するおすすめ商品をご紹介します。
