新しいセキュアブート証明書に更新されているか確認方法。すでにWindows UEFI CA 2023証明書がインストール済みか否か
お使いのWindows11 PCやWindows10 PCが、新しいセキュアブート証明書へと更新されている確認する方法をご紹介いたします。
はじめに: セキュアブートの証明書について
2026年6月に既存の古いセキュアブートの証明書が失効します。セキュリティを保つためには新しいセキュアブート証明書へと更新する必要があります。そのため、MicrosoftはWindowsを介して、新しいセキュアブート証明書を適用しても”問題のないPC”から順次自動的に新しいセキュアブート証明書のインストールを行います。
セキュアブートの証明書について、とりあえず要点のみを説明いたしましたが、より詳細な情報はMicrosoftがQ&Aを公開していますので、もっと詳しく知りたい方はリンク先ページをご覧ください。
一部のメディアや世間では「新しいセキュアブート証明書にしないとPCが起動しなくなるかも」など色々と騒がれており、気になっている方もいらっしゃるでしょうが、Microsoftの公式見解は、「古い証明書の有効期限が切れた後、デバイスに新しいセキュアブート証明書がなくても、デバイスは引き続き起動し、正常に動作します。ただし、Windowsブートマネージャーの更新プログラムまたはセキュアブートに関する今後のセキュリティ修正プログラムは受け取らなくなり、デバイスのセキュリティが損なわれます」です。
つまるところ、仮に新しいセキュアブート証明書がインストールされていなくてもPCは起動するとMicrosoftは述べています。(ただしセキュリティは低下します)
本題: 新しいセキュアブート証明書がインストールされているかどうか調べる方法
本題です。新しいセキュアブート証明書(Windows UEFI CA 2023証明書)がすでにMicrosoftにより自動的にインストール・適用されているかどうか調べる方法をご紹介いたします。
Windows11での手順を例に挙げますがWindows10でも基本的には同じ(PowerShellを管理者として実行してコマンドを入力・実行)です。
1.)
スタートメニューを開いて、検索ボックスに『PowerShell』と入力し、『管理者として実行』を選択してください。
PowerShellを管理者として実行
2.)
PowerShellに以下のコマンドを入力(またはコピー&ペースト)してエンターキーを押してください。
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023') |
すると、以下の画像のように、
コマンドを入力した結果
『False』または『True』と表示される
『False』または『True』という結果が返ってきます。『False』だとまだ新しいセキュアブート証明書へと更新されていません。『True』だとすでに新しいセキュアブート証明書へと更新されており、Windows UEFI CA 2023証明書がインストール済みであることを示しています。
なお、新しいセキュアブート証明書は、非常に慎重にロールアウトされています。2026年2月のセキュリティ更新プログラムには、”PCが十分な更新成功シグナルを示した後にのみ”、新しいセキュアブート証明書がインストールされるというアップデートが含まれています。そのため、多くの環境ではまだ新しいセキュアブート証明書へと更新されていないものと思われます。