[マザーボード] Windows® セキュア ブート証明書の有効期限と証明書の更新について
Windows® がセキュア ブート(Secure Boot)のサポートを開始して以来、ほとんどの Windows デバイスは UEFI セキュア ブート データベース内の一連の Microsoft® 証明書を使用してきました。これらの古い証明書は、2026 年から順次有効期限が切れ始めます。そのため、ブート セキュリティと信頼チェーン(Trust Chain)の整合性を維持するために、システムを 2023 年版の Microsoft 証明書に更新する必要があります。
現在お使いのシステムでセキュア ブートが有効になっている場合は、2026 年半ばの期限が切れる前に証明書の更新を行ってください。
注記:
- 更新されたセキュア ブートの証明書は 2025 年 5 月 13 日以降に配布されている、累積更新プログラム(LCU)に含まれています。Windows Update を通じて自動的に配信されますので、特別な作業は基本的には不要です。
- セキュア ブート証明書の有効期限が切れた場合でも、システムは引き続き起動し、動作できます。証明書の有効期限が切れたシステムで発生する問題について、詳しくは よくあるご質問 - Q2 をご覧ください。
目次:
方法 1:Microsoft® 推奨 - Windows Update を通じてセキュア ブート証明書の更新を完了する
方法 2:手動で UEFI BIOS を更新する
方法 1:Microsoft® 推奨 - Windows Update を通じてセキュア ブート証明書の更新を完了する
ほとんどのユーザーにとって、必要な更新プログラムは Windows Update を通じて自動的に配信されるため、ユーザーによる操作は必要ありません。
更新が正常に行われたかどうかは、Windows セキュリティ アプリで確認できます。詳しくは セキュリティ アプリのセキュア ブート証明書の更新状態 - Microsoft サポート(外部リンク) をご参照ください。
「Windows Update」が有効で、システムでセキュア ブートが有効になっている場合は(詳しくは [マザーボード] セキュア ブートの有効/無効を設定する方法 を参照)、サポートされている Windows デバイスは、適切なタイミングで新しいセキュア ブート証明書と新しいブート マネージャーを自動的にダウンロードして適用します。
新しいセキュア ブート データベースの更新は、2024 年以降、セキュア ブートが有効なデバイスに対して段階的に展開されており、証明書の有効期限が切れる 2026 年 6 月までにデバイスの更新が自動的に完了します。
[Windows Update を有効にして新しい証明書を取得する] 
方法 2:手動で UEFI BIOS を更新する
注記:
- Microsoft の公式推奨に従って 上記の 方法 1 Windows Update を使用して更新することを強くお勧めします。
手動更新は Windows Update で更新が取得できない場合、または Windows Update が最新状態であるにもかかわらず証明書が更新されていない場合にのみ、以下の手順をよく読んだ上で行ってください。 - 更新前に、システムでセキュア ブートが有効に設定されていることを確認してください。詳しくは [マザーボード] セキュア ブートの有効/無効を設定する方法 をご参照ください。
- BIOS 更新後、オペレーティング システムのロックを解除してアクセスするために、BitLocker 回復キーの入力を求められる場合があります。詳細な手順については BitLocker 回復キーの検索 - Microsoft サポート(外部リンク) をご参照ください。
また、BIOS 更新後にデバイスの暗号化または標準の BitLocker 暗号化を無効にし、BIOS の更新後に暗号化を再度有効にすることで、データのセキュリティを保護しながら更新することも可能です。詳細な手順については Windows でのデバイス暗号化 - Microsoft サポート(外部リンク) をご参照ください。
当社ウェブサイト から最新の UEFI BIOS をダウンロードして更新することで、更新されたセキュア ブート証明書を取得できます。
1. お使いのマザーボードの最新の UEFI BIOS をダウンロードして更新します。詳しい手順については [マザーボード] マザーボードのBIOSを更新する方法(異なる世代のCPUを含む) をご参照ください。
2. セキュア ブート キーを消去します。
2-1 BIOS 更新後、システムを再起動して BIOS セットアップ プログラムを起動し、Advanced Mode > Boot > Secure Boot の順に移動します。
Secure Boot Mode が[Standard]に設定されている場合は、[Custom]に変更します。
2-2 Key Management を選択します。
2-3 Clear Secure Boot Keys を選択します。
[Yes]を選択するとセキュア ブート キーが消去されます。
2-4 すべての UEFI セキュア ブート キー(PK、KEK、DB、DBX)が正常に消去されたことを確認します。
3. デフォルトのセキュア ブート キーをインストールします。
3-1 すべての UEFI セキュア ブート キーを消去後、Install Default Secure Boot Keys を選択します。
[Yes]を選択するとデフォルト セキュア ブート キーがインストールされます。
3-2 PK/KEK/DB/DBX の Size / Keys (Number of Keys) が「0」以外になり、Key Source が「Default」になっていることを確認します。これで UEFI セキュア ブート キーの更新は完了です。
4. Windows ブート マネージャーに「Windows UEFI CA 2023」証明書を適用します。
4-1 タスクバーの検索ボックスまたはスタートメニューの検索ボックスに「PowerShell」と入力し検索します。
4-2 検索結果の「Windows PowerShell」を管理者として実行します。 
4-3 Windows PowerShell で、以下のコマンドを一つずつ入力し、Enter キーを押して実行し、「Windows UEFI CA 2023」証明書を更新します。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /fStart-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
よくあるご質問(FAQ)
Q1: UEFI セキュア ブート キーの状態を確認する方法は?
A1: 次の手順を実行してください。
1. タスクバーの検索ボックスまたはスタートメニューの検索ボックスに「PowerShell」と入力し検索します。
検索結果の「Windows PowerShell」を管理者として実行します。
2. KEK(Key Exchange Key:キー登録キー)に「Microsoft Corporation KEK 2K CA 2023」が含まれていることを確認するには、Windows PowerShell で以下のコマンドを入力し、Enter キーを押して実行します。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 「True」が表示された場合は、「Microsoft Corporation KEK 2K CA 2023」が含まれていることを意味します。 
3. DB(Signature Database:セキュア ブート署名データベース)に「Windows UEFI CA 2023」が含まれていることを確認するには、Windows PowerShell で以下のコマンドを入力し、Enter キーを押して実行します。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 「True」が表示された場合は、「Windows UEFI CA 2023」が含まれていることを意味します。 
4. DB(Signature Database:セキュア ブート署名データベース)に「Microsoft UEFI CA 2023」が含まれていることを確認するには、Windows PowerShell で以下のコマンドを入力し、Enter キーを押して実行します。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 「True」が表示された場合は、「Microsoft UEFI CA 2023」が含まれていることを意味します。 
Q2: 旧証明書の期限が切れる前に新しい証明書を取得しなかった場合はどうなりますか?
A2: デバイスは引き続き正常に起動・動作し、標準の Windows 更新プログラムは引き続きインストールされます。ただし、証明書の期限が切れたデバイスは、Windows ブート マネージャー、セキュア ブート署名データベース、失効リストの更新、新たに発見されたブート レベルの脆弱性に対する対策など、初期ブート プロセス中の新しいセキュリティ保護を受け取れなくなります。
時間が経つにつれて、新たな脅威に対するデバイスの保護が制限され、BitLocker の強化やサードパーティ製のブート ローダーなど、セキュア ブートの信頼性に依存するシナリオに影響する可能性があります。 ほとんどの Windows デバイスは、更新された証明書を自動的に受け取り、多くの OEM メーカーは必要に応じてファームウェアの更新プログラムを提供しています。これらの更新プログラムを適用してデバイスを常に最新の状態に保つことで、セキュア ブートによる完全なセキュリティ保護を継続的に受けることができます。
Q3: セキュア ブートを無効にするとどのような影響がありますか?
A3: ファームウェアで新しい証明書を受け取ることができず、ブートキット(Bootkit)などのマルウェアに対して脆弱になります。また、セキュア ブートを無効にすると、一部のゲーム(Call of Duty など)では、アンチ チート(不正防止システム)の要件としてセキュア ブートの有効化が必須となっている場合があり、その結果、ゲームをプレイできなくなる可能性があります。
Q4: ファームウェアをデフォルト設定にリセットした後、デバイスがブートしなくなりました。どうすればよいですか?
A4: Windows が既に 2023 年版の署名済みのブート マネージャーを使用している場合でも、ファームウェアが Windows UEFI CA 2023 証明書を含まないデフォルト値にリセットされると、セキュア ブートによってブート プロセスがブロックされます。
詳しくは トラブルシューティング - PC 起動時に ”Secure Boot Violation” が表示される をご参照ください。
Q5: デバイスのセキュア ブート証明書の期限が既に切れてしまっている場合でも、更新された証明書を受け取ることはできますか?
A5: はい、可能です。既存の資格情報(証明書)の期限が既に切れている場合でも、新しいセキュア ブート資格情報を含む累積更新プログラムを引き続き適用できます。デバイスで Windows を起動して更新プログラムをインストールできる場合は、公開されているデプロイ ガイドラインに従って、更新された資格情報をファームウェアに書き込むことができます。ほとんどのデバイスは累積更新プログラムを自動的に受信しますが、一部のシステムでは追加のファームウェア更新プログラムが必要になる場合があります。
Q6: イベント ビューワーで TPM WMI エラー(イベント ID:1801)が表示された場合は、どうすればよいですか?
A6: セキュア ブート資格情報は更新されていますが、ファームウェアにまだ適用されていない状態です。
ブート マネージャーの問題を解決するには、上記「方法 2」 の 手順 4 を実行して「Windows UEFI CA 2023」証明書を更新してください。
Q7: イベント ビューワーで TPM WMI エラー(イベント ID:1802)が表示された場合は、どうすればよいですか?
A7: デバイスが既知のファームウェアまたはハードウェアの条件に適合しているため、ブート更新が意図的にブロックされている状態です。
ASUS サービスセンターへお問い合わせください。
Q8: イベント ビューワーで TPM WMI エラー(イベント ID:1803)が表示された場合は、どうすればよいですか?
A8: デバイスがプラットフォーム キー(PK)によって署名されたキー登録キー(KEK)を見つけられない状態です。
ASUS サービスセンターへお問い合わせください。
Q9: セキュア ブートを有効にすると起動に時間がかかるのはなぜですか?
A9: セキュア ブートは起動時にデバイスのセキュリティ チェックを行うため、システムに複数のデバイスが接続されている場合は起動時間が長くなる可能性があります。