Windows Secure Boot - 証明書の有効期限切れと証明書の更新 | サポート公式

ASUS サポートよくあるご質問

FAQ

Windows Secure Boot - 証明書の有効期限切れと証明書の更新

Windows で Secure Boot のサポートが開始されてから、一般的に Windows OS 搭載製品では UEFI Secure Boot データベース内で Microsoft の証明書を使用しています。

これらのうち、2026年から順次、証明書の有効期限が切れていきます。それらのPCでは、ブートのセキュリティとトラストチェーンの整合性を維持するために、Microsoft の証明書を2023年版に更新する必要があります。

現在お使いのPCで Secure Boot が有効になっている場合、2026年中ごろの証明書が期限切れになる前に必ず更新してください。

Microsoft は、Secure Boot 証明書の更新を Windows Update を通じて実施することを推奨しています

ほとんどのお客様にとって、必要な更新は Windows Update を通じて自動的に配信されるため、お客様側での操作は不要です。
更新が正常に適用されたかどうかは、Windows セキュリティアプリで確認できます。

詳細は以下をご参照ください。

Windows セキュリティアプリのセキュアブート証明書の更新状態 - Microsoft サポート

「Windows Update」が有効で、かつ、システムで Secure Boot が有効になっている場合（Secure Boot の有効/無効の設定方法 | サポート公式 | ASUS 日本）、対応している Windows デバイスは、適切なタイミングで新しい Secure Boot 証明書および新しいブートマネージャーを自動的にダウンロードおよび適用します。
新しい Secure Boot データベースの更新は、2024年以降、Secure Boot が有効なデバイスに段階的に展開されており、証明書の有効期限である 2026年6月までに自動的に更新が完了します。

新しい証明書を自動でダウンロード・適用するため、｢利用可能になったらすぐに最新の更新プログラムを入手する｣を有効に設定してください。

Q&A

Question 1: UEFI Secure Boot の状態を確認するには？

Answer 1: 以下の手順に従ってください。

Windows の検索バーに「Windows セキュリティ」と入力します。
左側メニューから「デバイスセキュリティ」を選択します。「Secure Boot」の項目で状態を確認できます。また、アイコンの色で状態が表示されます（緑・黄色・赤）。

Question 2: Secure Boot のアイコンが黄色または赤の場合は？

Answer 2: 以下の手順に従ってください。

Windows Update を実行し、OS ビルドが 26100.6725 以降であることを確認します。
Windows 11バージョン 25H2 更新履歴 - Microsoft サポート
Windows の検索バーに「Windows PowerShellと入力します。表示された項目から PowerShell を管理者として起動します。
以下のコマンドを実行します。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0X5944 /f
次に以下のコマンドを実行します。
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
PC を再起動します。
再度、PowerShell を管理者で開きます。
以下のコマンドを再実行します。
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
再度、PC を再起動します。
Secure Boot アイコンが緑に変わっていることを確認してください。緑に変わっている場合、正常です。

Question 3: 新しい証明書を取得できないまま旧証明書が期限切れになった場合は？

Answer 3: デバイスは引き続き通常通り起動・動作し、Windows Update も受信できます。
ただし、以下の点に注意が必要です。

・ブート初期段階の新しいセキュリティ保護を受けられない
・ブートマネージャーや Secure Boot データベースの更新ができない
・新たな脆弱性対策が適用されない

時間が経つにつれて、これらにより PC が新たな脅威からの保護機能が制限され、BitLocker によるセキュリティ強化やサードパーティ製のブートローダーなど、Secure Boot の信頼性に依存するシナリオに影響を及ぼす可能性があります。ほとんどの Windows OS 搭載 PC は自動的に更新された認証情報を取得し、多くの OEM メーカーも必要に応じてファームウェアの更新を提供します。PC を常に最新の状態に保つことで、安全な起動のために設計された完全なセキュリティ保護を引き続き受けられるようになります。

Question 4: Secure Boot をオフにするとどうなりますか？

Answer 4: Secure Boot を無効にすると、ファームウェアに新しい証明書が適用されません。その結果、ブートキットなどのマルウェアに対して脆弱になります。

Question 5: ファームウェアを初期化後に起動しなくなった場合は？

Answer 5: 2023 年の署名付きブートマネージャーが使用されている状態で、その証明書を含まない初期状態に戻すと、Secure Boot によって起動がブロックされます。

対処方法として以下をご参照ください。

[ノートPC]トラブルシューティング - 起動時にSecure Boot Violationが表示される場合 | サポート公式 | ASUS 日本

Question 6: Secure Boot 証明書が期限切れでも更新は可能か？

Answer 6: 可能です。Windows が起動できる状態であれば更新が適用できます。更新された証明書はガイドラインに従ってファームウェアに書き込まれます。また、多くの PC は自動更新されますが、場合によってはファームウェア更新が必要です。

Question 7: UEFI Secure Boot のキー状態を確認する方法は？

Answer 7: PowerShell を管理者として実行し、以下で確認いただけます。

Windows の検索バーに「Windows PowerShellと入力します。
表示された項目から PowerShell を管理者として起動します。
以下のコマンドを実行して、KEK (Key Exchange Key) に「Microsoft Corporation KEK 2K CA 2023」が含まれているか確認してください。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
※True と表示されれば含まれています。
以下のコマンドを実行して、Signature Databases (DB) に「Windows UEFI CA 2023」が含まれているか確認してください。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
※True と表示されれば含まれています。
以下のコマンドを実行して、Signature Databases (DB) に「Microsoft UEFI CA 2023」が含まれているか確認してください。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
※True と表示されれば含まれています。

Question 8: イベントビューアーでイベント ID 1801 の TPM WMI エラーが出る場合は？

Answer 8: Secure Boot 証明書は更新済みですが、まだファームウェアに適用されていない可能性があります。

Windows Update を実行して OS ビルドを 26100.6725、もしくは以降へ更新してください。その後、Question 2 の手順を実施してください。

Windows 11バージョン 25H2 更新履歴 - Microsoft サポート

Question 9: イベントビューアーでイベント ID 1802 の TPM WMI エラーが出る場合は？

Answer 9: 特定のファームウェアまたはハードウェア条件により、安全に更新できないためブロックされている可能性があります。

ASUS カスタマーサービスセンターへお問い合わせください。

Question 10: イベントビューアーでイベント ID 1803 の TPM WMI エラーが出る場合は？

Answer 10: PK によって署名された KEK を検出できていない可能性があります。

ASUS カスタマーサービスセンターへお問い合わせください。

参考

Windows セキュアブート証明書の有効期限と CA 更新プログラム - Microsoft サポート
 Windows セキュリティアプリのセキュアブート証明書の更新状態 - Microsoft サポート
 セキュアブート更新プロセスに関してよく寄せられる質問 - Microsoft サポート
 セキュアブート DB と DBX 変数の更新イベント - Microsoft サポート
 Windows 11バージョン 25H2 更新履歴 - Microsoft サポート

※掲載されている表示画面が英語表記の場合があり、日本語環境でご利用いただいている場合、実際の表示画面と異なる場合があります。

※プリインストールされている OS 以外はサポート対象外となりますので、ご注意ください。

※日本でお取り扱いの無い製品/機能に関する情報の場合があります。

※本情報の内容 (リンク先がある場合はそちらを含む) は、予告なく変更される場合があります。

※修理で端末などをご送付いただく際は、ASUS カスタマーサービスセンターなどから特定の物などを依頼されない限り、本体を含め、AC アダプター、電源コードなど同梱されていた通電機器も合せてご送付ください。

※お使いのモデルやバージョンなどにより、操作・表示が異なる場合があります。

※記載されている機能の開発およびサポートを終了している場合があります。

この情報は役に立ちましたか？

Yes No

サポートにお問い合わせ

上記の情報で問題が解決しない場合は、お問い合わせください。

Above information might be partly or entirely quoted from exterior websites or sources. please refer to the information based on the source that we noted. Please directly contact or inquire the sources if there is any further question and note that ASUS is neither relevant nor responsible for its content/service
This information may not suitable for all the products from the same category/series. Some of the screen shots and operations could be different from the software versions.
ASUS provides the above information for reference only. If you have any questions about the content, please contact the above product vendor directly. Please note that ASUS is not responsible for the content or service provided by the above product vendor.

ASUS サポートよくあるご質問

トップに戻る