Windowsの証明書期限切れで起動しなくなる? Secure Boot証明書問題の真相と確認・対処方法
- 2026.05.10
- Windows
- BitLocker, Secure Boot, Windows, Windows Update, Windows10, Windows11, セキュアブート, 証明書
Windowsの証明書が切れて、PCが起動しなくなるのではないか。
最近、この話題を見かけて不安になった人もいると思います。
結論から言うと、普通にWindows Updateを受け取っている家庭用PCなら、過度に心配する必要はありません。
問題になっているのは、Windowsのライセンス認証やブラウザのHTTPS証明書ではありません。
Windowsの起動時に使われる Secure Boot の証明書です。
Microsoftは、2011年に発行されたSecure Boot関連の証明書が2026年に期限を迎えるため、2023年版の新しい証明書へ更新を進めています。
一方で、「期限が来た瞬間に、すべてのWindows PCが一斉に起動不能になる」という話ではありません。
Microsoftの公式情報では、更新が済んでいないPCでも、通常のWindows起動や標準的なWindows Updateは続くと説明されています。
ただし、起動前のセキュリティ保護に関係する更新を受けられなくなる可能性があります。
古いPC、ファームウェア更新が止まっているPC、企業で管理されているPC、BitLockerを使っているPC、特殊なブート構成のPCでは、早めに確認しておく価値があります。
この記事では、Secure Boot証明書問題の正体と、一般ユーザーが何を確認すればよいのかを整理します。
最終確認日: 2026年5月10日
まず結論:普通の家庭用PCなら過度に心配しなくてよい
まず押さえておきたいのは、これは「Windowsが突然使えなくなる」という単純な話ではないという点です。
一般ユーザー向けには、次の理解で十分です。
- Windows Updateを普段どおり適用しているPCなら、多くの場合は自動で新しい証明書に更新される
- 期限切れの日に、すべてのPCが一斉に起動不能になるわけではない
- 更新されていない場合でも、通常のWindows起動や標準的なWindows Updateは続く可能性が高い
- ただし、起動前のセキュリティ更新や将来の脆弱性対策を受けられない可能性がある
- 古いPCや企業管理PCでは、追加のファームウェア更新や管理者側の対応が必要になることがある
つまり、今すぐ慌ててSecure Bootを切ったり、Windowsを入れ直したりする話ではありません。
まずやるべきことは、Windows Updateを最新にすることです。
そのうえで、WindowsセキュリティアプリにSecure Boot証明書の状態表示が出ている場合は、その表示を確認します。
問題の正体はWindowsの「Secure Boot証明書」
Secure Bootは、PCの電源を入れてからWindowsが起動するまでの間に、不正な起動プログラムを実行しにくくする仕組みです。
OSが完全に立ち上がる前の段階を守るための機能です。
ここでは、UEFIファームウェア、Windows Boot Manager、Secure Bootの許可リストや失効リストなどが関係します。
今回話題になっている証明書は、このSecure Bootの信頼関係を確認するためのものです。
Windowsのプロダクトキーやライセンス認証の証明書ではありません。
Microsoftアカウントの証明書でもありません。
WebサイトのHTTPS証明書でもありません。
そのため、「証明書が切れる」という言葉だけを見て、Windowsそのものの利用権が失われると考える必要はありません。
問題の中心は、2011年版のSecure Boot証明書から、2023年版の新しい証明書へ移行する必要があることです。
何がいつ期限切れになるのか
Microsoftの公式情報では、2011年に発行されたSecure Boot関連証明書が2026年に期限を迎えると説明されています。
主な対象は次のような証明書です。
Microsoft Corporation KEK CA 2011Microsoft Windows Production PCA 2011Microsoft UEFI CA 2011
これらはすべて同じ日に切れるわけではありません。
Microsoftの資料では、KEKやUEFI CAは2026年6月、Windows Production PCAは2026年10月が期限として示されています。
そのため、記事やSNSで「2026年6月にWindowsが起動しなくなる」と短く言われている場合でも、実際にはもう少し整理して見る必要があります。
2026年6月以降、古いSecure Boot証明書を残したままのPCでは、起動前の保護に関係する新しい更新を適用できない場面が出てくる可能性があります。
Microsoftはこの問題に対応するため、2023年版の新しい証明書をWindows Updateなどを通じて展開しています。
期限切れになると本当に起動しなくなるのか
ここが一番気になるところです。
Microsoftの公式説明では、新しい証明書を受け取っていないPCでも、期限到達後に通常の起動や通常のWindows Updateは続くとされています。
つまり、「証明書が切れた瞬間に必ず起動不能になる」という説明は正確ではありません。
ただし、影響がないという意味でもありません。
更新されていないPCでは、次のような問題が起きる可能性があります。
- Windows Boot Managerなど起動前コンポーネントの新しい保護更新を受けられない
- Secure Bootの許可リストや失効リストに関係する更新を受けられない
- 起動チェーンの脆弱性対策が適用できない
- BitLockerの強化や回避策に関係する更新で影響を受ける
- サードパーティ製ブートローダーやOption ROMを使う環境で互換性問題が出る
また、Microsoft Learnでは、古いファームウェアや更新が正しく適用されない環境では、Secure Bootの検証エラー、BitLocker回復キーの要求、起動停止、起動失敗が起きる可能性にも触れています。
一般的な家庭用PCでは「すぐに起動しなくなる」と考えるより、「将来の起動前セキュリティ更新を受け続けるために更新が必要」と考える方が実態に近いです。
一般ユーザーが確認する場所
一般ユーザーがまず確認する場所は、Windows Updateです。
次の順番で確認します。
設定を開くWindows Updateを開く- 利用可能な更新プログラムを確認する
- 更新がある場合は適用する
- 再起動を求められた場合は再起動する
これが一番重要です。
Secure Boot証明書の更新は、基本的にWindows Update経由で配信されます。
次に、Windowsセキュリティアプリを確認します。
手順は以下です。
- スタートメニューで
Windows セキュリティを開く デバイス セキュリティを開くセキュア ブートまたはSecure Bootの項目を確認する
Microsoftは、WindowsセキュリティアプリでSecure Boot証明書の更新状態を表示する仕組みを案内しています。
表示は段階的に展開されるため、すべてのPCで同じ文言がすぐに出るとは限りません。
緑のチェックが出ていて、必要な証明書更新が適用済みという内容が表示されていれば、基本的に追加作業は不要です。
黄色の注意表示や赤の停止表示が出る場合は、次の対処を確認します。
黄色や赤の警告が出た場合の対処
黄色の表示は、安全上の推奨事項がある状態です。
赤の表示は、すぐに確認すべき状態です。
ただし、表示だけを見てSecure Bootを切る必要はありません。
まずは次の順番で対応します。
- Windows Updateを最新にする
- 再起動を保留していないか確認する
- PCメーカーのサポートページでBIOSまたはUEFIファームウェア更新を確認する
- ノートPCの場合は電源に接続してからファームウェア更新を行う
- BitLockerを使っている場合は、回復キーを確認できる状態にしてから更新する
ファームウェア更新は、Windows Updateだけで配信される場合もあります。
一方で、PCメーカーの専用ツールやサポートページから配信される場合もあります。
古いPCでは、メーカー側のサポートが終了していて、更新が提供されないこともあります。
その場合は、メーカー情報やMicrosoftの既知の問題情報を確認しながら判断する必要があります。
不安な場合は、PCメーカーのサポートに機種名を伝えて確認するのが安全です。
法人PC・IT管理者が注意すべき点
企業や学校で管理されているPCでは、個人PCよりも慎重に見る必要があります。
理由は、Secure Boot証明書の更新が、BitLocker、ファームウェア、管理ポリシー、端末の世代差と関係するためです。
IT管理者は、少なくとも次の点を確認した方がよいです。
- 2011年版Secure Boot証明書を使っている端末の棚卸し
- Windowsセキュリティアプリ、イベントログ、レジストリ値などによる更新状態の確認
- 古い機種やファームウェア更新が止まっている機種の洗い出し
- BitLocker有効端末でのパイロット検証
- 複数OEM、複数ファームウェアバージョンでの検証
- Intune、グループポリシー、レジストリ、CSPなど、組織に合う展開方法の選定
Microsoft Learnでは、影響を受ける端末の確認方法として、Secure Boot証明書状態、イベントログ、UEFICA2023Status などの状態確認が案内されています。
また、展開前に代表的な端末群でパイロット検証し、BitLocker回復キーの予期しない要求が出ないか確認することも重要です。
家庭用PCではWindows Update任せで問題ないことが多い一方、法人PCでは「全端末でいつ適用されるか」「失敗した端末をどう検出するか」が重要になります。
やってはいけない対処
一番避けたいのは、よく分からないままSecure Bootを無効にすることです。
Secure Bootを切れば警告が消えるように見える場合があります。
しかし、それは根本的な解決ではありません。
Secure Bootを無効にすると、起動時の保護が弱くなります。
BitLockerの回復キーを求められる可能性もあります。
企業PCでは、セキュリティポリシーやコンプライアンス違反になることもあります。
次の対応は避けてください。
- Secure Bootを安易に無効化する
- 出所不明のBIOS更新ツールを使う
- SNSの手順だけを見てUEFI設定を変更する
- BitLocker回復キーを確認せずにファームウェア更新を行う
- 会社や学校のPCを管理者に確認せず変更する
正しい対処は、Windows Updateを最新にし、必要に応じてメーカー提供のファームウェア更新を適用することです。
まとめ
Windowsの証明書期限切れ問題は、Windowsのライセンスが切れる話ではありません。
Secure Bootで使われる2011年版のMicrosoft証明書が、2026年6月以降に期限を迎える問題です。
普通の家庭用PCでは、Windows Updateを適用していれば、多くの場合は自動で2023年版証明書へ更新されます。
そのため、「2026年6月になったらWindows PCが一斉に起動しなくなる」と考える必要はありません。
ただし、更新されないままだと、将来の起動前セキュリティ更新を受けられない可能性があります。
古いPC、企業管理PC、BitLockerを使うPC、特殊な起動構成のPCでは、早めに状態を確認しておくべきです。
一般ユーザーがやるべきことはシンプルです。
- Windows Updateを最新にする
- Windowsセキュリティのデバイスセキュリティを確認する
- 警告が出たらPCメーカーのファームウェア更新も確認する
- Secure Bootを安易に無効化しない
怖い話として受け止めるより、Windows Updateとファームウェア更新をきちんと確認する話として捉えるのが現実的です。
参考・公式情報
- Microsoft Support: When Secure Boot certificates expire on Windows devices
- Microsoft Support: Windows Secure Boot certificate expiration and CA updates
- Microsoft Learn: Update Secure Boot Certificates for Windows Devices
- Microsoft Support: Secure Boot certificate update status in the Windows Security app
-
前の記事
Windows11アップデート早見表:バージョン/リリース日/ビルド/要件(2026年5月版) 2026.05.09
-
次の記事
Windows11で回復オプションに入る方法|クリーンインストールまでの流れ 2026.05.10