WindowsおよびWindows Serverでは、2026年6月以降セキュアブート証明書(DB、DBX、KEK)の有効期限が切れ始め、それまでに証明書を更新する必要があることを、2025年6月末以降繰り返しアナウンスしてきました。Microsoft主導による段階的な更新も進んでいるようです。
証明書の期限切れがもう2か月後となった2026年4月、Microsoftはこれに関連する新たな機能をWindowsやWindows Serverに追加しました。それは、「Windowsセキュリティ」アプリへの更新状態の表示です(機能のフェーズ1)。5月には、タスクトレイアイコンでの通知機能や通知抑制機能も追加される予定です(機能のフェーズ2)。
Windowsセキュリティアプリでわかる証明書の更新状態
Windows 11およびWindows Server 2025では2026年4月8日(米国時間)のWindowsセキュリティアプリの更新以降、Windowsセキュリティアプリの「デバイス セキュリティ > セキュア ブート」にセキュアブート証明書の更新の状態に関する追加情報と、緑または黄(注意)のバッジが表示されるようになりました(画面1)。Windows 10およびWindows Server 2019以降では2026年4月14日(米国時間)のセキュリティ更新プログラム(累積更新プログラム、セキュリティパッチ)でこの機能が追加される予定です。
Windows セキュリティ アプリのセキュア ブート証明書の更新状態|サポート(Microsoft)
画面1 画面左がアプリ更新前、画面右がアプリ更新後
Windows 11およびWindows Server 2025にはWindows Updateの手動/自動更新による「Windows Security platform の更新プログラム - KB 5007651 (バージョン 10.0.29554.1001)」によってアプリにこの機能が追加されました(画面2)。
画面2 Windowsセキュリティアプリの更新。更新の履歴にない場合は、信頼性モニター(perfmon /rel)で確認できるはず
Windows EnterpriseとServerは既定で表示なし、表示するには?
Windowsセキュリティアプリの新しいセキュア ブート証明書の更新状態の表示は、Windows 10/11 EnterpriseエディションおよびWindows Server(2019以降のデスクトップエクスペリエンス)では既定で無効になっています。管理されたWindows 10/11デバイスでは、企業や組織がセキュアブート証明書の更新を一元的に管理する可能性が高いと想定しての仕様です。Microsoft Intuneで管理されているWindows 10/11デバイスについては、Microsoft Intuneの機能で状態を確認できることは既報の通りです。Windows Serverでは、そもそもセキュアブートを無効にしているという場合もあるでしょう。
ITニュース. Intuneに新しいSecure Boot Statusレポート登場(2026年02月04日配信)
Windows 10/11 EnterpriseやWindows ServerのWindowsセキュリティアプリで、セキュアブートに証明書の更新状態と状態バッチを表示したい場合は、デバイスや次のコマンドラインを管理者として開いたコマンドプロンプトまたはPowerShellで実行します(画面3)。再び非表示にするには、HideSecureBootStatesに1を設定するか、HideSecureBootStatesを削除します。
| REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security" /v HideSecureBootStates /t REG_DWORD /d 0 /f |
IT 管理者ガイド: Windows セキュリティ アプリのセキュア ブート証明書の更新状態|サポート(Microsoft)
※IT 管理者ガイドの日本語ページでは、レジストリのサブキーが「Device」となっていますが、これは「Device security」の誤りです。英語ページ(ja-jpをen-usに変更)で確認することをお勧めします。
画面3 Windows 10/11 EnterpriseおよびWindows Server(デスクトップエクスペリエンス)では、更新状態の表示は既定で無効。レジストリの追加で有効化できる
いますぐ対応が必要なの?
私が確認した範囲では、画面4の3種類の表示を確認しました。一番上の状態は既に更新が完了したデバイスですが、他の2つも緑のバッジであり問題はありません。「更新する必要がある古いブート信頼構成がデバイスで使用されています」の表示は、Microsoftによる段階的な更新を待っている状態であり、セキュアブート証明書の更新は今後のWindows Updateを通じて自動的に適用される予定です。なお、追加のアクションが必要な場合は、5月以降に黄(注意)バッジに切り替わり、追加情報が表示されるそうです。例えば、ファームウェアの設定による制限や、古いファームウェアのために更新がブロックされた場合などです。
画面4 上2つはWindows 11デバイス、一番下はWindows Server 2025
つまり、今緑のバッジ表示されているなら何もする必要はありません。5月以降、黄(注意)や赤(重大)のバッジが表示されたら、その指示に従って追加の対応を行うか(ファームウェアの更新など)、リスクを受け入れるかを選択することになります。
そもそも、セキュアブートの証明書の有効期限が2026年6月以降切れてしまっても、すぐに何か影響があるわけではありません。例えば、Windowsが起動できなくなることはありません。一言でいえば、セキュアブートが提供するブートレベル機能の低下という影響があります。具体的には、新しいブートレベルの攻撃をブロックできなくなる、新しい証明書で署名されたOSやドライバーが読み込めなくなるなどです。これらのリスクを受け入れることができるのなら、古い証明書のままにすることができます。Windowsが起動したあとの動作に、証明書の期限は何も影響しませんし、そもそもセキュアブートが無効になっていれば更新の必要はありませんし、自動更新もされません。また、Windowsセキュリティアプリにはセキュアブートの項目自体が表示されません。
Microsoftによる段階的な自動更新を待てないという場合は、次の企業向けガイダンスに従ってください。少なくともAvailableUpdatesキーに0x5944を設定すれば、12時間ごとに自動実行されるSecure-Boot-Updateタスクにより更新が進みます(次のコマンドラインでは即座に開始しています)。すべて処理されると、最終的にAvailableUpdatesは0x4000を示します(0x4100の場合は再起動と、Secure-Boot-Updateタスクの再実行が必要です)。更新状態は、Windowsセキュリティアプリの状態表示の他、AvailableUpdatesキーの値の変化で、進行状態や更新できない理由などを追跡できます。画面4の一番下の状態であれば、この方法で更新が完了するはずです。画面4の2番目の状態の場合は、この方法でも更新は進まないかもしれません。
| REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot" /v AvailableUpdates /t REG_DWORD /d 0x5944 /f Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" REG QUERY "HKLM\SYSTEM\CurrentControlSet\Control\Secureboot" /v AvailableUpdates |
セキュア ブートのレジストリ キー更新プログラム: IT で管理された更新プログラムを含む Windows デバイス|サポート(Microsoft)
セキュア ブート証明書の更新: IT プロフェッショナルと組織向けのガイダンス|サポート(Microsoft)
本当に対応が必要なのは企業や組織のごく一部(特殊な環境)
セキュアブート証明書の期限切れ迫る中、セキュアブート証明書の更新に関する新しいリソースも続々登場しています。しかし、これらの難解で過多な情報が、かえって話をややこしくしている感が否めません。
Updates and announcements|サポート(Microsoft)
Sample Secure Boot E2E Automation Guide|サポート(Microsoft)
A Closer Look at the High Confidence Database|サポート(Microsoft)
基本的にコンシューマーデバイスは、Windows Updateを通じて、段階的に、自動的に更新されるので何もする必要はありません。企業や組織の場合も、Windows UpdateやWindows Server Update Services(WSUS)、Microsoft Intuneなどで管理されていれば自動更新されます。いずれの場合も、ファームウェアの制限などで更新できない場合はあります。問題なのは、Microsoftからの証明書の更新を受け取れない環境、ファームウェアを更新できない古いハードウェア、そして、IoT機器や医療機器などの特殊な環境に置かれたデバイスがMicrosoftの自動更新から外れることです。そのような環境はごく限られるはずです。繰り返しますが、期限切れになってもPCやサーバーが起動できなくなるということはありませんし、万が一問題が発生しても一時的にセキュアブートを無効にすれば何とかなる話です。
上記のSample Secure Boot E2E Automation Guideは、そういった環境にActive Directoryのグループポリシーを使用して証明書の更新を段階的にデプロイする手順とサンプルスクリプトが提供されています。このサンプルを使用した対応が必要な企業や組織は、かなり限られると思います。その一方で、これらのドキュメントやサンプルコードには、ちょっと見ただけでもミスが散見されるため、ガイド通りに展開するのは極めて困難でしょう。日本語に翻訳されたページは話にもなりませんが、オリジナルの英語ページにもミスがあります。例えば、Detect-SecureBootCertUpdateStatus.ps1には明らかにミスがあって、-OutputPathに:を含むパスは弾かれます(-OutputPath"C:\Temp\SecureBootTest"など、画面5)。
画面5: サンプルスクリプトにはミスが含まれている可能性がある(注意、サンプルスクリプトが必要な企業や組織は極めて限定されます)
関連:
ITニュース. 2026年6月にセキュアブート証明書の有効期限切れ、企業は対策が必要な場合も(2025年07月08日配信)
