いつも当スタッフブログをご覧いただきありがとうございます。

2026年6月、PCの起動を守る「Secure Boot証明書（2011年版）」が有効期限を迎えます。現在は、新しい Windows UEFI CA 2023 証明書への移行が Microsoft によって段階的に進められています。

この記事では、

• 自分のPCが更新済みか確認する方法
• False と表示されても慌てなくてよい理由
• ユーザー別の正しい対応方法

を、分かりやすく解説します。

---

◆ まず結論

• Falseでも故障ではありません
• 一般ユーザーは手動操作不要
• Windows Updateを継続することが最適解

---

◆ Secure Bootとは？（超要約）

Secure Bootとは、PC起動前に読み込まれるソフトウェア（ブート ローダーなど）の署名を検証し、改ざんされたプログラムをブロックする仕組みです。

2011年に発行された証明書の期限満了に伴い、現在は Windows UEFI CA 2023 への移行が進んでいます。

---

◆ 【5秒で確認】現在の状態チェック方法

① 管理者ターミナルを開く

• スタートを右クリック
• 「ターミナル（管理者）」または「Windows PowerShell（管理者）」を選択

② 次のコマンドを実行

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).Bytes) -match "Windows UEFI CA 2023"

結果の見方

• True → 新証明書が適用済み
• False → まだ段階適用中（異常ではありません）

---

◆ なぜ「最新なのに False」なのか？

① 強制ではなく段階適用

Secure Boot証明書更新は互換性を最優先し、Microsoft が段階的かつ慎重に展開しています。

② 書き込みタイミングが制御されている

更新プログラムを取得していても、UEFIの「db」へ書き込むタイミングは安全確認後に実行されます。

③ 機種によっては BIOS 更新が必要

一部メーカーでは、BIOS/UEFI更新後でないと新証明書が反映されません。

---

◆ ユーザー別の対応方法

🔹 一般ユーザー

• Windows Update を継続
• 必要に応じてメーカー提供の BIOS 更新を確認
• 手動設定は不要（最も安全）

🔹 企業・学校などの管理端末

• 代表機で検証
• 同一構成へ段階展開
• 必要に応じてグループポリシーや MDM で制御

🔹 オフライン環境

• 自動適用にならない場合あり
• 公式ドキュメントに基づき計画的に展開

---

◆ 期限を過ぎるとどうなる？

2026年6月の期限を過ぎても、すぐに起動不能になるわけではありません。

ただし、

• Boot Manager の更新
• 失効リスト（DBX）のアップデート

など、起動前のセキュリティ機能を受け取れなくなる可能性があります。

そのため、早めの移行が推奨されます。

---

◆ 重要な注意点

⚠ BIOS 更新と BitLocker 回復キー

BIOS 更新後は、BitLocker の回復キー入力が求められる場合があります。
更新前に 回復キーの保管場所を必ず確認してください。

⚠ 手動適用は一般ユーザー非推奨

レジストリ変更やタスク実行などの手動更新は 企業向けの手順 です。

⚠ Active DB と Default DB の違い

• Windows Update → Active DB（現在使用されているDB）を更新
• BIOS 更新 → Default DB（工場出荷時DB）を更新

この違いにより、一時的に判定が異なる場合があります。

---

◆ よくある質問（FAQ）

Q. False のまま使って大丈夫？
A. はい。現時点では問題ありません。

Q. 今すぐ True にする必要がある？
A. 一般ユーザーは不要です。
企業用途では、代表機で検証したうえで段階展開してください。

---

◆ まとめ

• Falseでも故障ではありません
• Windows Update 継続が最適
• 企業は計画的な段階展開が必要

2026年6月に向けて、慌てず正しく対応していきましょう。

---

※本記事は一般的な情報提供を目的としています。
Windows は Microsoft Corporation の登録商標です。