新しいセキュアブート証明書が適用済みかWindowsセキュリティからわかるように
Microsoftは、Windows11 / Windows10 / Windows Serverにおいて、新しいセキュアブート証明書への更新が完了しているかどうかを、Windowsセキュリティ上から確認できる新機能を発表しました。
2026年6月に既存の古いセキュアブート証明書(Microsoft UEFI CA 2011やMicrosoft Corporation KEK CA 2011など)が失効するため、MicrosoftはWindows Updateを介して、新しいセキュアブート証明書(Microsoft UEFI CA 2023やMicrosoft Corporation KEK 2K CA 2023など)を適用しても問題のないPCから順次、自動的に新しいセキュアブート証明書のインストールを行っています。
この新しいセキュアブート証明書が適用されたかどうか、2026年4月以降、Windowsセキュリティの『デバイス セキュリティ』 → 『セキュア ブート』から確認できるようになります。
Microsoftは以下のように述べています。
2026年4月以降、Windowsセキュリティ上に、セキュアブート証明書の更新状況に関する追加情報が表示されるようになります。この情報は、Windowsセキュリティの『デバイス セキュリティ』 → 『セキュア ブート』の項目に表示されます。 この機能は2026年4月から自動的に展開されます。また、2026年5月以降、さらに改善が追加される予定です。Windowsセキュリティ上ではセキュアブートの警告に対応するためのガイダンスとコントロールが追加され、Windowsセキュリティ外でもシステムアラートなどで通知されるようになります。 ― Microsoft |
『デバイス セキュリティ』 → 『セキュア ブート』を開くと、新しいセキュアブート証明書への更新状況に応じて、緑色、黄色、赤色のバッジとともにセキュアブートに関するメッセージが表示がされるようになります。
新しいセキュアブート証明書への更新状況
緑色のバッジとともに「セキュアブートは有効になっており、必要な証明書の更新はすべて適用済みです。これ以上の証明書の変更は必要ありません」といったようなメッセージが表示されていれば新しいセキュアブート証明書がインストールされています。
その一方で、黄色と赤色のバッジの場合はまだ古いセキュアブート証明書のままであることを表しています。また、メッセージ内容によってはユーザー側での対応が必要になります。各メッセージと必要な対応は以下。(英語から日本語に翻訳しているため、実際のWindows上に表示されるメッセージとは若干ニュアンスが異なる場合があります)
| メッセージ | 必要な対応 |
セキュアブートは有効になっており、必要な証明書の更新はすべて適用済みです。これ以上の証明書の変更は必要ありません。 | 対応は必要ありません。新しいセキュアブート証明書がインストールされています。 |
セキュアブートは有効ですが、このデバイスは更新が必要な古いブート信頼構成を使用しています。 | お使いのPCに最新のWindows Update / 更新プログラムがインストールされているかご確認ください。Windows Updateを実行後、再起動を求められた場合は再起動してください。 |
セキュアブートは有効になっていますが、お使いのデバイスには既知の問題があります。リスクを軽減するため、Microsoftとパートナーが解決に取り組んでいる間、セキュアブート証明書の更新は一時的に停止されています。問題が解決され次第、更新は自動的に再開されます。 | 対応は必要ありません。問題が解決次第、自動的に新しいセキュアブート証明書が配信・インストールされます。 |
セキュアブートは有効ですが、このデバイスは更新が必要な古いブート信頼構成を使用しています。自動更新の対象となるデバイスとして分類するためのデータが不足しています。詳細については、以下のリンクをご覧ください。 | お使いのPCは、自動更新を実行する前に追加の検証が必要になる場合があります。詳細はaka.ms/getsecurebootをご覧ください。 |
セキュアブートは有効になっていますが、ハードウェアまたはファームウェアの制限により、お使いのデバイスはセキュアブート証明書の自動更新をサポートしていません。デバイスの製造元にお問い合わせください。 | PCやマザーボードの製造元へお問い合わせください。 |
セキュアブートは有効ですが、このデバイスはWindowsブートエクスペリエンスに必要な更新を受け取ることができません。 | 有効期限が切れた古いセキュアブート証明書を使用しています。詳細はaka.ms/getsecurebootをご覧ください。 |
この機能は、Windows11 (23H2 / 24H2 / 25H2 / 26H1)とWindows Server 2025へは2026年4月8日(米国時間。日本時間ではおそらく4月9日)にWindowsセキュリティに展開されます。Windows10 (1809 / 21H2 / 22H2)とWindows Server 2019 / 2022へは日本時間で2026年4月15日にリリース予定のセキュリティ更新プログラムに含まれます。
2026年5月の追加の改善は、Windows11 (23H2 / 24H2 / 25H2 / 26H1)とWindows Server 2025へは2026年5月16日(米国時間。日本時間ではおそらく5月17日)にWindowsセキュリティに展開、Windows10 (1809 / 21H2 / 22H2)とWindows Server 2019 / 2022へは日本時間で2026年5月13日にリリース予定のセキュリティ更新プログラムに含まれます。
IT管理者によって管理されているPCやWindows Serverでは本機能はデフォルトで無効になっています。有効にする方法は『IT admin guide: Secure Boot certificate update status in the Windows Security app』のページをご覧ください。
なお、本機能のロールアウトを待たずに、とりあえずすぐにでも新しいセキュアブート証明書が適用されたかどうか知りたい場合は、別記事の『新しいセキュアブート証明書に更新されているか確認方法。すでにWindows UEFI CA 2023証明書がインストール済みか否か』をご覧ください。