【最終案内】2026年6月にWindows 11が起動不能に？ 「セキュアブート証明書」の期限切れリスクと対策、起動しなくなった場合の対応策：Tech TIPS

[小林章彦，デジタルアドバンテージ]

連載目次

対象：Windows 11

Windows 11の「セキュアブート証明書」期限切れリスクと対策
2026年6月、Windows 11搭載PCの一部で起動不能に陥るリスクが浮上している。原因は、PCの安全性を担保する「セキュアブート」のデジタル証明書が15年の有効期限を迎えるためだ。本Tech TIPSでは、この問題の背景から、イベントビューアーでの警告確認、自身のPCが対応済みかどうかを判別するPowerShellのコマンドレット、手動で証明書を更新する手順、起動不能になった場合の対処方法までを詳しく解説する。

　2026年6月、一部のWindows 11搭載PCにおいて起動不能に陥る深刻なリスクが浮上している。原因は、PCの安全性を担保する「セキュアブート」のデジタル証明書（電子証明書）が、15年の有効期限を迎えるためだ。

　Microsoftは2026年に入り、月例更新プログラムを通じて段階的な対策や確認機能を導入してきた。本Tech TIPSでは、この問題の背景から、自身のPCの対応状況を確認する方法、そして万が一、起動不能に陥った際の具体的な復旧手順までを詳しく解説する。

2026年5月の月例更新プログラムに関する説明ページ
「2026 年 5 月 12 日 - KB5089549 (OS ビルド 26200.8457 および 26100.8457)」にも、「セキュアブート証明書の有効期限が2026年6月に設定されており、これを過ぎるとWindows 11が起動できなくなる可能性がある」というお知らせが記載されていた。

なぜセキュアブートの証明書に期限切れが発生するのか

　セキュアブートとは、PCの起動プロセスにおいて、OSやデバイスドライバといったソフトウェアが信頼できるものであるかどうかを検証し、悪意のあるプログラムの実行を阻止するセキュリティ機能である。

　この仕組みの根幹を支えるのが、PCのファームウェア（UEFI）に保存されている「デジタル証明書」である。UEFI内には「信頼できる署名（証明書）」を判別するためのデータベース（db）が用意されている。

　また、Windows OSの起動に必要なブートローダーやデバイスドライバには、あらかじめMicrosoftによるデジタル署名が施されている。PCを起動した際、UEFIはこの署名を自身のデータベース内にある「Microsoft Corporation UEFI CA 2011」などの証明書と照合し、一致した場合のみ実行を許可する。これにより、OSが立ち上がる前の段階でのマルウェア侵入を防いでいる。

有効期限が設定されている理由

　Windows 11搭載PCのファームウェアに採用されている2011年版の証明書は、発行から15年近くが経過しており、2026年には有効期限を迎える。証明書に期限があるのは、単なる形式的な問題ではない。暗号技術の進歩により、古い署名アルゴリズムは相対的に脆弱（ぜいじゃく）化していくからだ。

　そのため、現在の主流であるSHA-2（SHA-384）やRSA-4096といった、より強固な次世代の暗号技術を用いた新しい証明書（Microsoft UEFI CA 2023など）への全面的な移行が必要となったのである。

証明書を更新せずに期限を迎えた場合に想定されるリスク

　もし証明書を更新しないまま2026年6月の有効期限を過ぎてしまった場合、非常に深刻なトラブルに見舞われる可能性がある。

　最大の懸念は、Windows 11が起動しなくなることだ。Microsoft Japan Windows Technology Support Blog「2026年に有効期限を迎えるSecure Boot証明書の更新について」によれば、「更新が行われていない状態で Secure Boot 証明書の期限を迎えても、デバイスは引き続き正常に動作し、直ちに Windows OS の起動や機能に影響が生じるものではございません。」ということだ。しかし期限切れの証明書しか持たないPCは、新しい証明書で署名された最新のWindows起動ファイルを「未承認のソフトウェア」と誤認し、セキュリティ保護のために起動をブロックしてしまう可能性もある。

　また、「新しいSecure Bootの保護機能や脆弱性の修正の一部が適用できなくなるなど、セキュリティ面での保護が不十分な状態となる」とされていることから、やはり早急な対応が必要といえるだろう。

現在の準備状況・更新状態を確認する3つの方法

　Microsoftは、2026年2月の「KB5077181」や4月の「KB5083769」といった更新プログラムを通じて、段階的に対策を進めている。自身のPCが対応済みかどうかは、以下の3つの方法で確認できる。

方法1：「Windowsセキュリティ」アプリで確認する（推奨）

　2026年4月の更新プログラム（KB5083769）以降を適用済みの場合、「Windowsセキュリティ」アプリで簡単に確認できるようになった。

■操作手順

1. 「Windowsセキュリティ」アプリを開く
2. 「デバイスセキュリティ」画面を表示する
3. 新設された「セキュアブート」欄 から、現在の更新状況を確認する

「Windowsセキュリティ」アプリで確認する
「Windowsセキュリティ」アプリを起動し、［デバイスセキュリティ］タブを開く。「デバイスセキュリティ」画面に「セキュアブート」欄が設けられたので、ここでセキュアブート証明書の状態が確認できる。

方法2：PowerShellで確認する

　新しい証明書がUEFIに適用されているかを確実に判別するには、PowerShellのコマンドレットを使う方法もある。管理者権限でPowerShell（またはWindowsターミナル）を起動し、以下のコマンドを実行して、アクティブDBにWindows UEFI CA 2023証明書が存在することを確認する。

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

セキュアブート証明書が更新済みかどうかを確認するコマンドレット

　「True」と返ってきた場合は、既に新しい証明書が追加されており、2026年6月以降も問題なく起動できる。一方、「False」であった場合は、まだ古い証明書のみの状態である。Windows Updateによる自動適用を待つか、手動での対応を検討する必要がある（後述）。

PowerShellで確認する
管理者権限でWindowsターミナルのPowerShellを開き、上記のコマンドレットを実行する。「True」と返ってきた場合は、既に新しい証明書が追加されており、2026年6月以降も問題なく起動できる。一方、「False」であった場合は、まだ古い証明書のみの状態である。

方法3：イベントビューアーの警告を確認する

　証明書の更新が必要な状態、あるいは更新プロセスの過程にあるPCでは、Windows 11の「イベントログ」にイベントID「1801」などの警告メッセージが記録されることがある。これは、更新プログラムによって新しい証明書が適用できるかどうかの確認が済んだものの、ファームウェアには適用されていない（将来の期限切れに備えて、証明書データベースを更新しようとしている）という状態を示すものだ。

　イベントログの確認方法は、以下の通りだ。

■操作手順

1. スタート］ボタンを右クリックしてクイックアクセスメニューを開き、［イベントビューアー］を選択する
2. イベントビューアーが起動したら、左ペインの［Windowsログ］−［システム］を選択する
3. 右ペインの「操作」欄で［検索］をクリックし、検索文字列に「TPM-WMI」と入力して検索を実行する

イベントビューアーの警告を確認する（1）
イベントビューアーが起動し、左ペインの［Windowsログ］−［システム］を選択、右ペインの「操作」欄で［検索］をクリックし、検索文字列に「TPM-WMI」と入力して検索を実行する。

▼

イベントビューアーの警告を確認する（2）
エラーとしてイベントID「1801」が記録されている場合、更新されたセキュアブート証明書が使用可能だが、ファームウェアには適用されていない状態である。

イベントビューアーの警告を確認する（2'）
イベントID「1801」の前にイベント「1043」が検索にヒットし、「セキュアブートKEK更新プログラムが正常に適用されました」と書かれていた場合、既にセキュアブート証明書は更新済みだ。

　警告の内容を読めば分かる通り、イベントID「1801」は準備段階であることを示す通知であり、この時点では過度に心配する必要はない。2026年6月に入ってもイベントID「1801」が記録されるようならば、PCベンダーのサポートページをチェックするなどした方がよいだろう。

BitLockerの「回復キー」を事前に確認しておく

　セキュアブート証明書の更新（自動・手動問わず）において、最も注意すべきなのが「BitLocker」の動作である。

　UEFIファームウェア内の証明書データベースが書き換わる（＝起動構成が変化する）ことにより、BitLockerが「不審な変更」と検知し、PC起動時に暗号化を解除するための「回復キー」（48桁の数字）の入力を求めてくるケースがある。

　2026年4月の更新プログラム（KB5083769）において、「セキュアブート証明書の更新後にBitLockerの回復モードに入ってしまう不具合」に対する修正が行われた。しかし、これは全ての環境で回復キーの要求が発生しないことを保証するものではない。マザーボードの仕様やセキュアブートの手動更新時など、条件によっては依然として回復キーが必要になるケースが確認されている。

　セキュアブート証明書が更新された結果、ブート時に回復キーが要求される事態が生じる前に回復キーを確認（メモ）しておくとよい。

回復キーの確認方法

　回復キーは、以下の方法で確認可能だ（BitLockerの回復キーの確認方法の詳細は、Tech TIPS「BitLockerの回復キーが分からない場合の確認方法【Windows 10／11】」を参照してほしい）。

　WebブラウザでMicrosoftアカウントの「BitLocker回復キー」の「管理ページ」にアクセスする。このページには、必ずPCにサインインしているMicrosoftアカウントでサインインすること。

　このページに8桁の「キーID」と48桁の「回復キー」が表示されたら、それらを控えておく。複数のデバイスが登録されている場合は、「デバイス名」と「キーのアップロード日」で該当するものを見つける。

　組織（会社や学校）の端末の場合は、管理者がActive Directoryなどでキーを管理している場合があるため、IT部門に確認するとよい。

BitLockerの回復キーをメモする
WebブラウザでMicrosoftアカウントの「BitLocker回復キー」の「管理ページ」を開き、更新対象となっているPCの「キーID」と「回復キー」をメモする。画面のように複数のデバイスが登録されている場合は、「デバイス名」と「キーのアップロード日」で該当するものを見つける。同じ「デバイス名」で複数登録されている場合は、「キーのアップロード日」が新しい回復キーをメモしておくこと。

UEFIの更新が必要になる場合も

　セキュアブート証明書を更新するには、UEFIの更新が必要になる場合がある。例えば、エプソンダイレクトの「セキュアブート証明書期限切れおよび証明書更新について（2026年）」や日本HPの「HPビジネスPC - 新しいWindowsセキュアブート証明書に向けて準備する」によれば、一部の機種においてセキュアブート証明書の更新に「UEFIのアップデートが必要」とされている。

　ベンダーのサポートページを確認し、UEFIのアップデートが必要かどうかを事前に確認しておくとよい。UEFIをアップデートすることで、セキュアブート証明書が更新されることもある。

セキュアブート証明書を更新する手順

　前述の通り、セキュアブートの証明書を更新しないと、PCが起動しなくなってしまう恐れがある。では、どうすればいいのだろうか。証明書を更新する方法について解説しよう。

基本的な対策：Windows Updateで更新プログラムを適用する

　Windows Updateで更新プログラムを適用すると、証明書の更新が可能かどうかをチェックする確認プログラムが実行され、更新の準備が整えられる。Microsoftは、証明書の更新を段階的に進めており、順次、Windows Updateを介して更新されるとしている。つまり通常はWindows Updateを適用するだけでよい。

【上級者向け】レジストリによる手動更新

　Windows Updateによる証明書の更新が待てない場合、レジストリの操作によって明示的に更新を指示することも可能だ。

　ただし、証明書の更新は、Windows 11だけではなく、デバイスのUEFIファームウェア上にある証明書のデータベースを更新する。その影響で、環境によっては更新後にWindows 11が起動しなくなる例が報告されている。よほどの理由がない限り、手動更新は避けるべきだろう。

　どうしても手動で更新したい場合は、レジストリエディターを起動し、下表のようにレジストリを設定すればよい。

項目	内容
キー	HKEY_LOCAL_MACHINEの\SYSTEM\CurrentControlSet\Control\SecureBoot
値の名前	AvailableUpdates
型	DWORD（32ビット）値（REG_DWORD）
値のデータ	0x5944（16進）
セキュアブートの証明書を手動で更新するためのレジストリ

　レジストリの設定後、PCを再起動するとUEFI変数が書き換えられ、新しい証明書が適用される。

もし適用されずに6月を過ぎ、起動しなくなった場合の対処法

　万が一、新しい証明書が適用されないまま2026年6月の期限を迎え、Windows 11が起動しなくなった（未承認エラーなどでブロックされた）場合であっても、PCを再び起動させて新しい証明書を適用する手段は存在する。

　以下にその具体的な復旧手順を記述する。ただし、現時点においてセキュアブート証明書の問題によりWindows 11が起動不能になった状態が存在しないため、編集部で動作などを確認しているわけではないことに留意してほしい。

ステップ1：一時的に「セキュアブート」を無効化する

　期限切れの証明書によるブロックを解除するため、一時的にセキュアブート機能を「オフ」にする。

　PCの電源を入れて、即座に指定のキー（［F2］キーや［Del］キーなどPCメーカーによって異なる）を連打し、UEFI設定画面（UEFIセットアップ）を起動する。

　［Security（セキュリティ）］タブまたは［Boot（起動）］タブを開き、「Secure Boot（セキュアブート）」の項目を探す。設定を「Enabled（有効）」から「Disabled（無効）」に変更する。設定を保存し、UEFIセットアップを終了してPCを再起動する。

セキュアブートを無効化する
UEFI設定画面を開き、［Security］タブ（機種によって異なる場合がある）を開き、「Secure Boot」欄の設定を［Disabled］に変更する。画面はLenovo YogaのUEFI設定画面。

　前述の通り、セキュアブート証明書は、セキュアブート機能においてブートローダーなどが改ざんされていないかどうかなどを確認するために使われている。そのため、セキュアブート機能を「オフ」にすることで、このチェック機能を停止させると、セキュアブート証明書が使われなくなり、通常通りの起動が可能になる。ただし、セキュアブートによる保護機能が働くなくなるので、セキュリティ上のリスクが高まることになる。速やかにセキュアブート証明書を更新し、セキュアブート機能を「オン」にした方がよい。

ステップ2：Windows 11を起動してセキュアブート証明書を更新する

　セキュアブートを無効化した状態でWindows 11を通常起動させる。Windows Updateもしくはレジストリキーの編集によってセキュアブート証明書を更新する（場合によっては、先にUEFIをアップデートしてから更新する）。

　画面の指示に従い、PCを再起動して更新を完全に適用させる。これにより、Windows 11側からファームウェアへ新しい証明書の書き換えが実行される。

　Windows 11を起動したら、「Windowsセキュリティ」アプリなどでセキュアブート証明書が更新されていることを確認する。

ステップ3：UEFI（BIOS）でセキュアブートを有効に戻す

　新しい証明書の適用が完了したら、安全のためにセキュアブートを元の状態に戻す。セキュアブートを「オフ」にしたのと同じ要領でUEFI設定画面を開き、「Secure Boot（セキュアブート）」 の項目を「Enabled（有効）」に戻す。設定を保存し、UEFI設定画面を終了してPCを再起動する。

ユーザーが取るべき対応策

　セキュアブート証明書の更新は、PCを長期間安全に使い続けるための「鍵の交換作業」である。証明書の更新がまだの場合は、Windows Updateを欠かさず実行し、上記のコマンドレットで更新状態を確認しよう。

　また、証明書の書き換えによってBitLockerの保護が働き起動時に回復キーを求められる場合がある。Microsoftアカウントなどで回復キーを確認してメモしておくとよい。特に手動で証明書を更新する際には、BitLockerの回復キーの入力が必要になる場合があるので事前に準備しておこう。

　2026年6月の証明書の期限を迎えたいま、システムの状況を確認して必要な対策をしておくとよい。

　なお、セキュアブート証明書の更新プロセスについてのQ&Aが、Microsoftのサポートページ「セキュア ブート更新プロセスに関してよく寄せられる質問」で公開されている。合わせて事前に読んでおくとよいだろう。