【2026年6月迫る】 Windowsがセキュアブート証明書の期限切れで起動しなくなる可能性。原因と対処方法を解説
最近、「2026年6月にWindowsが起動しなくなる可能性がある」という情報を目にする方が増えています。これは、Windowsの起動を保護する仕組みであるセキュアブートに関連した“証明書の期限切れ”が原因で、古いPCの一部が起動できなくなる可能性があるためです。特に、Windows 7 時代のハードウェアを引き継いだまま Windows 10 や Windows 11 を利用しているPCでは、セキュアブートの仕組みが現在の仕様に対応できず、影響を受けるケースがあります。この記事では、2026年6月に何が起きるのか、どんなPCが影響を受けるのか、そして事前に確認しておくべきポイントについて、できるだけわかりやすく整理していきます。
今回の問題を調べる中で、私自身も手元のPC(自作機とメーカー製ノート)で、Secure Boot の状態と証明書の更新状況を実際に確認しました。結論として、いずれの環境でも最新の証明書が適用されており、2026年6月以降も問題なく起動できることを確認しています。
この記事では、同じように「自分のPCは大丈夫なのか?」と不安に感じている方が、確実に判断できるように、確認手順と注意点を整理しています。
目次
2026年6月に起きるセキュアブート証明書の期限切れ問題とは?
2026年6月に、Windows の起動時に使われている古い署名用証明書(Windows UEFI CA 2011)が無効化されます。これは、Windows 7 時代から続く古いセキュリティ基盤を切り捨て、現在の基準に合わせるための措置です。問題は、この古い証明書に依存したまま更新されていないPCでは、証明書が無効化された瞬間に「正しい署名がない」と判断され、Windows が起動しなくなる可能性がある点です。特に、古いブートローダーや更新されていない UEFI を使っているPCは影響を受けやすく、2026年6月以降に突然起動できなくなるリスクがあります。Microsoft は具体的な日付を公表していませんが、2026年6月中に確実に実施されるとされているため、それまでに自分のPCが現在のセキュアブート仕様に対応しているか確認しておく必要があります。
セキュアブートと証明書の仕組み
セキュアブートは、起動時に読み込まれるプログラムが改ざんされていないかを確認する仕組みで、UEFI 内部に登録された複数の証明書によって安全性を保っています。古い証明書が無効化されると、その証明書で署名されたブートローダーや起動関連ファイルは「信頼できない」と判断され、起動が止まる可能性があります。
期限切れ後に起きること
古い Secure Boot 証明書(Windows UEFI CA 2011)が無効化されると、その証明書で署名されたブートローダーは「正しい署名がない」と判断され、Secure Boot の検証に失敗します。Secure Boot は起動時に読み込まれるコードの署名を厳密にチェックするため、署名が無効と判断された時点で Windows の起動は停止します。つまり、古い証明書に依存したままのPCでは、証明書が無効化された瞬間に Windows が起動しなくなる可能性があります。
逆に、UEFI(BIOS)が更新されており、新しい証明書に対応しているPCでは、Secure Boot の検証が正常に通るため、2026年6月以降も影響を受けにくくなります。
Microsoft公式の一次情報
Microsoftは、Secure Bootに関する重要な3つの事実を公式ドキュメントで明確に示しています。古い証明書(Windows UEFI CA 2011)の廃止、DBXに登録された証明書で署名されたブートローダーのブロック、そしてOEMによる証明書更新(BIOSアップデート)の必要性です。
Windows UEFI CA 2011 will be deprecated and removed from the allowed list as part of ongoing Secure Boot certificate updates. Devices that rely on this certificate must update their firmware to maintain compatibility.
Microsoft Learn
The Secure Boot forbidden signature database (DBX) contains revoked or untrusted certificates. Any bootloader or UEFI component signed with a certificate listed in the DBX will be blocked from loading during the boot process.
OEMs are responsible for providing firmware updates that include the latest Secure Boot certificates. These updates must be applied to ensure continued boot compatibility.
危険なPCの特徴:どんなPCが影響を受けるのか?
今回の問題はすべてのPCに影響するわけではありませんが、特定の条件を満たすPCは起動不能になるリスクが高いと考えられます。ここでは、危険性の高いPCの特徴を整理します。
Windows 7 時代のハードウェアを使い続けているPC
Windows 7 時代のPCは、セキュアブートが登場する前の設計で作られているため、そもそもセキュアブートに対応していない、または仕様が古いケースが多く、今回の影響を強く受けます。
Windows 10 / 11 にアップグレードして使っている古いPC
ハードウェアが古いままOSだけ新しくしたPCは、内部のUEFIやブートローダーが古いまま残っていることが多く、証明書無効化の影響を受けやすい構成になっています。
BIOS(UEFI)更新が止まっているメーカー製PC
メーカー製PCは、セキュアブートの鍵がロックされている場合があり、BIOS更新が提供されないモデルは根本的に対応できない可能性があります。特に2010年代前半のモデルは注意が必要です。
古い証明書(Windows UEFI CA 2011)に依存したままのPC
古い証明書を使い続けているPCは、今回の無効化によって「署名が不正」と判断され、起動できなくなるリスクが最も高いグループです。これは一般ユーザーには直接確認しづらい部分ですが、UEFI更新の有無が判断材料になります。
自作PC・BTOでも油断できないケース
自作PCやBTOは比較的安全ですが、古いマザーボードではUEFI更新が終了している場合があり、同様に影響を受ける可能性があります。
UEFI関連の開発者もRedditで「古いブートローダーは今回の無効化で起動できなくなる可能性がある」と指摘しています。
Old bootloaders signed with the 2011 CA may fail to boot once the certificate is revoked.
Reddit / r/sysadmin
自分のパソコンがセキュアブートに対応しているか確認する方法
今回のセキュアブート証明書の期限切れ問題は、すべてのPCが影響を受けるわけではありません。自分のPCが該当するかどうかは、セキュアブートが現在の仕様に対応しているか、UEFIが最新の状態になっているか、そして古い証明書(Windows UEFI CA 2011)に依存したままになっていないかで判断できます。ここでは、一般ユーザーでも確認できるポイントを順番に整理します。
セキュアブートの状態を確認する
Windowsの「システム情報」を開き、「セキュアブートの状態」を確認します。ここが有効またはサポートされていますと表示されていれば基本要件は満たしていますが、無効やサポートされていませんと表示される場合は注意が必要です。特に「サポートされていません」は、ハードウェア側が古く対応できていない可能性があります。
手順:セキュアブートの状態を確認する
- Windowsキーを押して「msinfo32」と入力し、Enter
- 「システム情報」が開く
- 右側の一覧から「セキュアブートの状態」を探す
有効:Secure Boot が動作している
無効:BIOSで無効化されている
サポートされていません:ハードウェアが非対応
UEFI(BIOS)が最新かどうかを確認する
UEFIが古いまま更新されていないPCでは、今回の証明書無効化に対応できない可能性があります。メーカー製PCの場合は、BIOS更新が提供されているかどうかが重要で、更新が止まっているモデルは対応が難しいケースがあります。自作PCやBTOでも、古いマザーボードはUEFI更新が終了している場合があります。
手順:PowerShellでDBXの状態を確認する
- スタートメニューで「PowerShell」と入力
- 「Windows PowerShell」を右クリック → 管理者として実行
- 次のコマンドを入力して実行 Get-SecureBootUEFI -Name dbx | Format-List
- 「Attributes」に以下が表示されていれば、DBX更新に対応している
TIME BASED AUTHENTICATED WRITE ACCESS
Get-SecureBootUEFI -Name dbx | Format-ListPowerShell で DBX の状態を確認した正常な実行結果の例
このように TIME BASED AUTHENTICATED WRITE ACCESS が表示されていれば問題ありません。
手順:UEFI(BIOS)の更新状況を確認する
- メーカー名と型番を確認する
- メーカー公式サイトの「サポート」「ダウンロード」ページを開く
- 自分のPCの型番を入力
- 公開されている最新BIOSのバージョンと、PCに入っているバージョンを比較する
Windowsキー → 「msinfo32」 → 「BIOSバージョン/日付」で確認可能
※ この属性が表示されるPCは、DBX更新(証明書更新)に対応しています。
※ 表示されない場合、古いUEFIの可能性があり、BIOS更新が必要です。
古い証明書に依存していないか確認する
セキュアブートの内部には複数の証明書が登録されていますが、古い「Windows UEFI CA 2011」に依存したままの環境は今回の影響を受けやすくなります。これは一般ユーザーには直接確認しづらい部分ですが、UEFI更新が提供されているかどうかがひとつの判断材料になります。
メーカー製PCの場合は特に注意
メーカー製PCは、セキュアブートの鍵がロックされている場合があり、ユーザー側で鍵を更新できないモデルも存在します。この場合、メーカーがBIOS更新を提供しない限り、根本的な対応ができません。特に2010年代前半のモデルは注意が必要です。
Windows セキュリティでの確認
2026年4月以降のWindows Updateで、Windowsセキュリティアプリに「Secure Boot 証明書の更新状態(緑・黄・赤)」を表示する機能が順次追加されています。これにより、Secure Boot が有効かどうかだけでなく、証明書が最新かどうかも確認できるようになりました。
Windows セキュリティで Secure Boot 証明書の状態を確認する手順
- 設定アプリを開く
スタートメニュー → 設定(歯車アイコン) - [プライバシーとセキュリティ]を開く
左側のメニューから選択 - [Windows セキュリティ]をクリック
- [デバイス セキュリティ]を開く
“デバイスのセキュリティ機能を確認する” という項目 - セキュアブートの証明書の更新状態(バッジ)を確認する
緑(問題なし):最新の証明書が適用済み
黄(要確認):追加の確認が必要
赤(要対応):証明書が古い/更新が必要
セキュアブートが「無効」でも安心できない理由(よくある誤解)
セキュアブートを無効にしているから今回の問題は関係ない、という声をよく見かけます。しかし、これは大きな誤解で、セキュアブートが無効でも内部の証明書(DBX)は更新されるため、将来的に有効化した瞬間に起動不能になるリスクがあります。特に、普段は無効にしていても、Windowsの機能やトラブルシューティングの過程で有効化する場面は意外と多く、知らないうちに影響を受ける可能性があります。
セキュアブート無効でも証明書は更新される
セキュアブートの設定が無効でも、UEFI内部の証明書リスト(DBX)はWindows Updateによって更新される仕組みになっています。つまり、無効にしていても「古い証明書が削除される」という点では同じ状況になります。
将来セキュアブートを有効にした瞬間に起動不能になる可能性
普段は無効で使っていても、何らかの理由でセキュアブートを有効にした瞬間、古い証明書に依存した環境は起動できなくなる可能性があります。特に、トラブル時の修復操作や、Windows 11 の要件確認などで有効化するケースは珍しくありません。
「無効だから関係ない」は危険な思い込み
セキュアブートを無効にしているユーザーは、今回の問題を軽視しがちですが、内部の証明書が更新される以上、影響を受ける可能性は十分にあると考えるべきです。むしろ、普段無効にしているユーザーほど、突然の有効化でトラブルを招きやすい傾向があります。
古いPCほど影響を受けやすい
セキュアブートを無効にしているPCの多くは、そもそも古いハードウェアであることが多く、証明書更新に対応できない構成になっている場合があります。結果として、今回の問題の影響を受けるリスクが高くなります。
(重要)BIOS設定を行う前に必ず BitLocker を無効化する
今回の問題で最も注意すべきなのは、Secure Boot の設定変更や BIOS 更新を行う前に、必ず BitLocker を無効化(または一時停止)しておく必要があるという点です。BitLocker が有効のまま Secure Boot を変更すると、TPM の状態が変わったと判断され、回復キーの入力を求められ、最悪の場合 Windows が起動できなくなることがあります。Secure Boot の問題より先に「BitLocker による起動不能」が発生するケースが非常に多いため、作業前の確認は必須です。
BitLocker の無効化(または一時停止)は必ず先に行う
Secure Boot の有効化・無効化、BIOS 更新、UEFI 設定の変更などを行う前に、BitLocker を一時停止しておくことで、回復キーを求められるリスクを大幅に減らせます。特にメーカー製PCは初期状態で BitLocker が自動有効化されていることが多く、ユーザーが気づかないまま保護が働いているケースが非常に多いです。
BitLocker の止め方については、以前の記事で詳しく解説していますので、以下を参考にしてください。
作業前に BitLocker を止めておくだけで、Secure Boot 設定変更時のトラブルをほぼ回避できます。
Windows Update だけでは解決しない理由
今回のセキュアブート証明書の期限切れ問題は、Windows Update を適用していれば自動的に解決する、という単純な話ではありません。実際には、Windows Update で更新されるのは「証明書の無効化(DBX更新)」だけであり、古いPCが必要とする「UEFI側の更新」は自動では行われないためです。つまり、Windows Update を適用するほど、古い証明書が削除されていき、逆に起動できなくなるリスクが高まるPCも存在するという点が重要です。
Windows Update は「古い証明書を削除するだけ」
Windows Update が行うのは、古い証明書(Windows UEFI CA 2011)を信頼リストから外す処理です。これはセキュリティ上必要な対応ですが、古いPCではこの証明書に依存して起動しているケースがあり、削除されることで起動不能になる可能性があります。
UEFI(BIOS)の更新は自動では行われない
今回の問題を根本的に解決するには、PCメーカーが提供する UEFI(BIOS)更新が必要です。しかし、Windows Update は UEFI を更新しません。特に古いメーカー製PCでは、すでに BIOS 更新が提供されていないモデルも多く、ユーザー側では対応できない場合があります。
Windows Update を適用するほど危険になるPCもある
古いPCでは、Windows Update によって古い証明書が削除されることで、起動に必要な署名が失われ、逆に起動できなくなるケースがあります。つまり、「Windows Update を当てていれば安心」という一般的な認識が、今回の問題に限っては当てはまりません。
結論:Windows Update だけでは不十分
今回の問題は、Windows Update(証明書の削除)+ UEFI 更新(新しい証明書への対応)の両方が揃って初めて解決します。どちらか一方だけでは不十分で、特に古いPCでは UEFI 更新が提供されていない場合もあるため、事前の確認が不可欠です。
メーカー別(BTO)の対応状況早見表
今回の問題は、メーカーが UEFI(BIOS)更新を提供しているかどうかで対応可能かが大きく変わります。Windows Update だけでは解決できないため、まずは自分のPCが「更新対象かどうか」を早見表で確認するのが最も効率的です。
メーカー別・対応状況の早見表(2026年4月時点)
| メーカー | 傾向 / 対応状況 | 注意点 |
|---|---|---|
| NEC | 古いモデルは更新終了が早い | 2014年以前はほぼ期待できない |
| 富士通 | NECと同様、古い機種は厳しい | Windows 7 時代はほぼ非対応 |
| 東芝 | 古い機種は更新終了 | 2013〜2014年以前は要注意 |
| Lenovo | ビジネス向けは強い、家庭向けは弱い | ThinkPad は期待できるが IdeaPad は厳しい |
| HP | ビジネス向けは長期サポート | Pavilion など家庭向けは更新終了が多い |
| Dell | ビジネス向けは安定して更新あり | Inspiron は古い世代が厳しい |
| ASUS | 自作系は比較的対応あり | LGA1155 以前はほぼ終了 |
| MSI | 自作系は対応が期待できる | 古い AM3 / FM2 は厳しい |
| GIGABYTE | 自作系は比較的更新が続く | 古い世代は終了している場合あり |
| Acer | 廉価帯は更新が止まりがち | 2010年代前半はほぼ非対応 |
| BTO(自作系PC) | 市販マザーボードなら最も安全 | OEMマザー採用モデルはメーカー製PCと同じリスク |
BTO が「最も安全」になりやすい理由
BTO パソコンは、ASUS / MSI / GIGABYTE などの市販マザーボードを採用している場合が多く、BIOS 更新が長期間提供されるため、今回の問題に対して最も対応しやすいカテゴリです。
一方で、廉価モデルで OEM マザーを使っている場合はメーカー製PCと同じリスクがあるため、型番の確認が必須です。
結論:BIOS更新が提供されているかが最重要
今回の問題は、BIOS更新が提供されているかどうかで“対応できるPC”と“対応できないPC”が明確に分かれる問題です。まずはメーカーサイトで、自分のモデルに最新の UEFI(BIOS)更新が提供されているか確認することが重要です。
安全に作業するための手順(まとめ)
ここまでの内容を踏まえると、今回のセキュアブート証明書の期限切れ問題に対してユーザーが取るべき行動は、実はそれほど複雑ではありません。重要なのは、順番を間違えずに作業することです。特に BitLocker と BIOS 更新の扱いを誤ると、Secure Boot の問題より先に Windows が起動できなくなるケースが多いため、以下の手順に沿って進めるのが最も安全です。
1. BitLocker を必ず無効化(または一時停止)する
Secure Boot の設定変更や BIOS 更新を行う前に、BitLocker を止めておくことが最優先です。これを怠ると、TPM の状態変化によって回復キーを求められ、最悪の場合 Windows が起動できなくなります。
👉 BitLocker の止め方は以下の記事をご覧ください。
【BitLocker対策完全版】Windows11で自動暗号化される危険な仕組みと安全な無効化手順
2. 自分のPCの BIOS 更新が提供されているか確認する
次に、メーカーが最新の UEFI(BIOS)更新を提供しているかを確認します。今回の問題は Windows Update だけでは解決できず、BIOS 更新が提供されていないPCは根本的に対応できません。メーカー別の早見表を参考に、自分のモデルが更新対象かどうかを確認します。
3. BIOS 更新を適用する(提供されている場合)
BIOS 更新が提供されている場合は、BitLocker を止めた状態で BIOS 更新を適用します。更新後は、Secure Boot の内部証明書が新しい仕様に対応し、2026年6月以降も安全に起動できる可能性が高まります。
4. Secure Boot の状態を確認する
BIOS 更新後、Windows の「システム情報」で セキュアブートの状態が「有効」または「サポートされています」になっているかを確認します。もし「サポートされていません」と表示される場合は、ハードウェア側が古く、今回の問題に対応できない可能性があります。
5. 古いPCの場合は「何もしない」という選択肢もある
BIOS 更新が提供されていない古いPCは、今回の問題に対応できない可能性があります。この場合、Secure Boot を無効のまま使い続けるという選択肢もあります。ただし、将来的に Secure Boot を有効にすると起動できなくなる可能性があるため、注意が必要です。
まとめ(ウィドックの見解)
今回のセキュアブート証明書の期限切れ問題は、古いPCが抱えてきた“構造的な限界”が表面化しただけで、突然降って湧いたトラブルではありません。特に Windows 7 時代の設計を引きずったまま使われているPCは、BIOS更新が提供されない限り、2026年6月以降に起動できなくなる可能性があります。
私自身も複数台のPCでSecure Bootの状態と証明書の更新状況を確認しましたが、いずれも最新の証明書に対応しており、2026年6月以降も問題なく起動できることを確認しています。読者の皆さんも、この記事の手順に沿って一度チェックしておくことで、同じように安心できるはずです。
今回の問題を“焦って買い替える理由”ではなく、“自分のPC環境を一度立ち止まって見直すきっかけ”として捉えてもらえたらと思います。
