変更履歴
- Rev. 0.7 : 2026年01月21日
- 新規作成
はじめに
2026年6月に一部のWindows PCで、
「起動しない」、
「セキュアブートエラーが発生する」
のではないかと世間で言われているようです。
セキュアブートの署名検証に使われる証明書(セキュアブート証明書)が更新されておらず、
有効期限切れになって何か不具合が発生してしまわないかと懸念してのことだと思われます。
結論から先に言ってしまうと、Windows Update経由で新しいものに更新されますので、
ほとんどの一般ユーザーは特別な操作は不要です。
もちろん、長い間Windows Updateを行ってこなかった、なら別ですが。
1 セキュアブートとは
セキュアブートは、PCの起動時に認証されたソフトウェアのみを実行することで、
マルウェアや不正なブートローダーの起動を防ぐ
UEFI(Unified Extensible Firmware Interface)機能の一つです。
システムの整合性を保ち、悪意あるコードがOS起動前に実行されるのを防止します。
Windows 11のシステム要件の一つとして「セキュアブート対応」が必須となっています。
Windows 11は、セキュアブートが有効な状態でインストール・起動されることが推奨されています。
2 セキュアブートの有効化
2.1 2026年6月問題
2026年6月に、Windowsデバイスで広く使用されている
既存の「セキュアブート証明書(2011年版)」が有効期限を迎えます。
期限が切れてもPCは起動し続けますが、
将来のセキュリティ更新プログラムが受け取れなくなる可能性があります。
Microsoftが提供する最新のWindows Updateを適用していれば、
新しい証明書へ自動的に更新されます。
ほとんどの一般ユーザーは、特別な操作は不要です
2.2 セキュアブート状態の確認
現在のセキュアブートの状態は、次のどちらかで確認することができます。
① コマンドプロンプトで“msinfo32”実行
② Powershellで“Confirm-SecureBootUEFI”実行
どちらも、管理者権限で実行します。
2.2.1 コマンドプロンプトで“msinfo32”実行
“msinfo32”は、図2.2-1に示すように、 管理者権限でオプションパラメータ無しで起動します。
図2.2-2に示す「システム情報」画面が開きます。
「システムの要約」で、「セキュアブートの状態」を確認します。
2.2.2 Powershellで“Confirm-SecureBootUEFI”実行
管理者権限で“Confirm-SecureBootUEFI”を実行することで、真偽値での確認が可能です。
結果が、“True”であればセキュアブートは有効、“False”であれば無効です。
2.3 無効な場合のセキュアブートを有効にする手順
セキュアブートが無効であった場合、次の手順で有効にします。
1. BIOS/UEFI設定画面に入る
BIOS/UEFI設定画面の開き方は、次のページをご覧ください。
【Windows】Windows画面からUEFI(BIOS)画面を開く
2. 設定項目を探す
「Boot」や「Security」などのタブから
「Secure Boot」または「CSM」の設定を探します。
3. 設定を変更する
① CSM(Compatibility Support Module)を無効にする。
② BIOSモードをUEFIにする(CSM無効化でUEFIモードが選択可能になることが多い)。
③ Secure Bootを有効にする。
4. 保存して終了する
変更を保存してBIOS/UEFI設定画面を終了します。
BIOSモードが「レガシー」の場合、セキュアブートは有効にできません。
ディスクがMBR形式の場合、
GPT形式に変換するか、
BIOS設定を変更する必要があります。
3 セキュアブート証明書
3.1 セキュアブート証明書
「セキュアブート証明書」とは、
PCの起動時にOSやドライバーが改竄されていないかを検証するために、
PCのファームウェア(UEFI)に保存されているデジタル証明書のことです。
3.1.1 主な役割
セキュアブート証明書の主な役割は、以下の通りです。
信頼性の確認
PCの電源投入後、UEFI(ファームウェア)がOSのローダーやドライバのデジタル署名を、
信頼された証明書(公開鍵暗号基盤 KEK、署名データベース DBなど)を使って
検証します。
マルウェア対策
署名が正しければ起動を許可し、
不正なコード(ブートキットなど)がOSより先に読み込まれるのを防ぎます。
3.1.2 代表的な証明書の種類
セキュアブート証明書には、PCの起動時に信頼できるブートローダーやOSを検証するための
プラットフォームキー((PK)、キーエクスチェンジキー(KEK)、署名データベース(DB)、
失効データベース(DBX)などがあり、これらが階層的に機能します。
PK (Platform Key)
PCメーカー(ハードウェアベンダー)の公開鍵。
セキュアブート全体の管理権限を持ちます。
KEK (Key Exchange Key)
OSベンダー(Microsoftなど)の証明書。
後述する「DB」や「DBX」を更新するために必要です。
DB (Signature Database)
許可リスト。
Microsoftの署名や、PCメーカー独自のデジタル署名が含まれ、
これに合致するOS(Windowsなど)が起動を許可されます。
DBX (Revoked Signatures Database)
拒否リスト。
脆弱性が見つかった古い証明書や、悪意のあるソフトウェアの署名が登録され、
起動をブロックします。
3.2 2026年6月に有効期限が切れるWindowsセキュアブート証明書
表3.2-1に、2026年6月で失効する「2011年チェーン」と、
新しい更新「2023年チェーン」の対応を示します
(
2026 年に有効期限が切れる Windows セキュア ブート証明書
から)。
3.3 新しい「2023」証明書に更新されているかの確認
Windowsでは、管理者権限のPowerShellから登録されている証明書の名前を確認することで、
新旧の判別が可能です。
下に示すコマンドで、新しい「2023」証明書に更新されているかを確認することできます。
|
1 |
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' |
“True”と表示されれば、新しいWindows UEFI CA 2023証明書が適用済みです。
以上
本記事の元となっているWordで作成したPDFを
ページ最後に貼り付けました。
少しでも役に立てていただければ、うれしく思います。
このPDFファイルは、自由に配布されてもかまいません。
ただし、再配布の際には、
入手元と著者名は明らかにしてください。
なお、上のPDFファイルの内容、また本文中の記述に、
誤字や脱字、誤った内容の記述など見つかりましたら、
下に示すフォームでご連絡いただければ幸いです。
