2026年問題がいよいよ間近に...

ブログの中でも何度か取り上げたことがある「2026年問題」とも言われている Windows のセキュアブートの証明書の有効期限の問題。

2026年6月という期限がだんだん迫ってきて、そうした問題も改めてメディアでも取り上げられるようになったので再度取り上げてみました。

【セキュアブート証明書の更新と業界の連携】

来るべき日を控えて、Windows Update を通じてこうしたセキュアブート関連の更新が提供されつつある昨今、US時間2月10日に公開されたブログ絡まずはご紹介いたします。

・Refreshing the root of trust: industry collaboration on Secure Boot certificate updates

-- 背景と目的：

セキュアブートにより、PCの起動時に信頼できるソフトウェアのみを実行させることが可能になります。そうしたことで、マルウェアなどの脅威からシステムを守る重要なセキュリティ機能。2011年に導入されて以来、15年以上使われてきた証明書が2026年6月に有効期限を迎えるため、更新が必要になった... というのが、今回の趣旨になります。

-- 主な取り組み：

• 新しい証明書の配布は、Windowsの月例更新を通じて段階的に実施中
• 企業や教育機関は、独自の管理ツールで更新を制御可能
• OEMやファームウェアベンダーと連携し、UEFIレベルでの変更を安全かつスムーズに展開

2024年以降に製造された多くのPCには、すでに新しい証明書が組み込まれており、ユーザー側の対応は不要な場合も多いようです。

-- 意義：

今回の更新は、Windowsエコシステム全体にわたる最大規模のセキュリティ保守作業の一つ。信頼の根幹を次世代のセキュリティ基準に合わせて刷新する重要なステップとなるようです。

【セキュアブート証明書更新に向けて】

来るべき 2026年6月に向けて、ユーザー側としてはどう対応すべきなのか？

-- 一般ユーザー（個人利用者）:

• 基本的に特別な操作は不要
  Windows Update を有効にしていれば、証明書の更新は自動的に適用される
• PCが2024年以降に製造された場合
  多くの新しいPCには、すでに新しい証明書が含まれているため、追加の対応は不要なことが多い
• 古いPCを使っている場合
  更新が適用されているか確認するには、Windows Updateの履歴をチェック

-- 組織ユーザー（企業・教育機関など）:

• 更新の管理と制御は可能
  グループポリシーやIntuneなどの管理ツールを使って、証明書の配布タイミングも調整可能
• ファームウェア（UEFI）の更新が必要な場合あり
  一部のデバイスでは、OEMが提供するファームウェアアップデートを適用する必要がある。ベンダーのサポート情報を確認する必要があります
• カスタム証明書を使用している場合
  Microsoftが提供するガイダンスに従って、証明書の移行と検証を事前に行うことが推奨
• テスト環境での事前検証が重要
  予期せぬトラブルを防ぐためにも、本番環境に適用する前に、テスト環境での動作確認を行うこと

【「起動できない」なんてことになるのか？】

基本的には、「0」（ゼロ）ではないけど、ほとんどないとされています。但しそうしたことも踏まえてあえてトラブルが起こるケースも確認してみました。

-- 起動トラブルが起こる可能性のあるケース：

• 古いPCでファームウェア（UEFI）が更新されていない場合
  　→ 新しいセキュアブート証明書に対応していないと、OSが「信頼できない」と判断して起動できなくなる可能性もある
• カスタム証明書を使っている環境（企業や一部の上級ユーザー）
  　→ 古い証明書が無効化された後、正しく新しい証明書に切り替えていないと、OSやブートローダーがブロックされることがある
• Windows Updateやファームウェア更新を長期間適用していない場合
  　→ 証明書の更新が適用されず、期限切れの証明書で起動しようとして失敗する可能性がある

-- トラブルを防ぐためにできること：

• Windows Updateを定期的に適用する
• PCメーカー（OEM）のファームウェア更新情報を確認する
• 企業や教育機関では、テスト環境での事前検証を行う

BitLockerなどのセキュリティ機能を使っている場合は、回復キーの確認やバックアップを忘れずに行っておく必要があります。

【あなたのPCのセキュアブートの適応状況は？】

ではちょっと戻って、自分のPCがセキュアブートに対応しているのか？　その機能の有効・無効についての確認方法です。

一例ではありますが、まずは「システム情報」を開いて、その適用状況を確認してみましょう！

• Windows キー＋R　で、「ファイル名を指定して実行」のダイアログを表示
• 「msinfo32」と入力し、Enter

そうすると「システム情報」というダイアログが表示されますので、この中で、「セキュアブート」の部分を確認します。

上記の例だと「無効」と表示されてますね。

他にも、PowerShell を起動して、「Confirm-SecureBootUEFI」と入力してエンターしたときに、

• True：有効
• Falese：無効

ということでも確認ができます。

-- 有効にするには？

1. 直接PC起動時に、BIOS または UEFI 設定へのアクセスして設定を変更する
2. Windows の設定ダイアログから、設定 → システム → 回復 と進んで再起動しトラブルシューティングからはいって設定を変更する

といった方法があります。

もちろんこれを有効にできるかどうかは、システムディスクが GPT 形式か？ MBR 形式か？確認する必要もあります。GPT 形式じゃない場合には利用できません。

このあたりはご利用環境によってまちまちなので、ご使用のPCメーカーのWebサイトなどを確認するか？　操作に慣れている方や専門の業者の方にご相談いただいた方がよろしいかと思います。

【昨今の Windows Update 状況】

ここ最近の Windows Update にて提供されている更新プログラム。今年になってから提供されている更新プログラムについては、KB5074109 のように、ご利用環境によっては、トラブルにつながっているものもあります。

しかしそうした中にも、こうしたセキュアブートに関する機能修正などが入っていたりします。

　

・2026 年 2 月 10 日 − KB5077181 (OS ビルド 26200.7840 および 26100.7840)

　

・2026 年 1 月 13 日 − KB5074109 (OS ビルド 26200.7623 および 26100.7623)

なので適用しないという選択肢はないわけで、仮にトラブルが発生したらそのトラブルを修正するプログラムが提供されるまで待つか？あくまでも一時的に回避するにとどめて、対応したら改めて該当プログラムもインストールする必要があるわけです。

＜参照＞

・Refreshing the root of trust: industry collaboration on Secure Boot certificate updates

・Windows 11 とセキュア ブート

・Windows セキュアブート証明書の有効期限切れについて／Dynabook

・Windows セキュア ブート証明書の有効期限と CA 更新プログラム

・PC でセキュアブートを有効にする方法｜完全ガイド／EaseUS