Windows Secure Boot 2026 最終警告：2026年6月の証明書期限切れで「起動はできるが危険」なPCが増える理由と今すぐできる対策

2026年6月下旬から、長年Windowsの起動を支えてきたSecure Boot（セキュアブート）の2011系証明書が順次期限切れになります。多くのPCはそのまま起動し続けますが、問題は「起動できる＝安全」ではない点です。移行に失敗すると、将来のブートローダー更新やSecure Boot関連の重要更新が適用しづらくなり、結果として“守りが薄い状態”に固定されるリスクがあります。Microsoft サポート

• Windows Secure Boot 2026 最終警告：2026年6月の証明書期限切れで「起動はできるが危険」なPCが増える理由と今すぐできる対策
  • そもそも何が切れるのか：Secure Bootの“信頼の根っこ”が更新世代に入る
  • 一番の落とし穴はWindowsではなくUEFI：更新できても保存できないPCがある
  • まず確認したい：あなたのPCは今どの状態か（家庭向けに安全な範囲）
    • 1) Secure Bootが有効か確認
    • 2) Windows Updateが十分新しいか確認
    • 3) メーカーのUEFI/BIOS更新が出ていないか確認
  • 「Active keys」と「Default keys」：初期化やリセットで事故る理由
  • 今すぐできる実務的チェックリスト（安全側）
  • 2026年6月以降に起きやすい“じわじわ型”トラブル
  • 結論：2026年の本番は“Windowsの更新”ではなく“ファームウェアの準備”

そもそも何が切れるのか：Secure Bootの“信頼の根っこ”が更新世代に入る

Secure Bootは、PC起動時に「署名された正規のブートローダーだけを実行する」ための仕組みです。ここで使われる“信頼の鎖”を構成する証明書（2011世代）が、2026年6月から段階的に期限を迎えます。期限切れの瞬間にPCが一斉に起動不能になる、という話ではありません。多くのケースでOSは普通に立ち上がります。Microsoft サポート

しかし、期限切れ後に重要になるのが「今後の更新が通るか」です。ブートローダーやSecure Bootの更新は、より新しい証明書で署名される方向に進むため、移行できていない機器は“更新の入り口”が狭くなります。

一番の落とし穴はWindowsではなくUEFI：更新できても保存できないPCがある

誤解されがちですが、今回の移行はWindows Updateだけで完結しません。Windows側は新しい証明書（2023世代）を段階的に配布・適用できる機能を持っていますが、最終的にそれを受け入れて保持するのはPCのUEFIファームウェアです。Microsoft サポート+1

つまり、ファームウェアが古かったり、鍵（キー）データベースの扱いに制限があると、更新プロセスは走っても「記録が残らない」「再起動や初期化で戻る」「一部だけ更新される」といった形で“中途半端な移行”になり得ます。結果として、Microsoftが表現する“degraded security state（劣化したセキュリティ状態）”に近い状況へ入りやすくなります。Microsoft サポート

まず確認したい：あなたのPCは今どの状態か（家庭向けに安全な範囲）

ここでは、壊しにくい確認を優先します。鍵の書き換えや初期化は、知識がないまま触ると起動不能やBitLocker回復キー要求の原因になります。

1) Secure Bootが有効か確認

• Win + R → msinfo32

• 「システム情報」→ セキュア ブートの状態 が 有効 になっているか確認

※無効でも即アウトではありませんが、移行作業の対象と優先度を判断する材料になります。

2) Windows Updateが十分新しいか確認

2024年2月以降の更新には、Secure Bootの許可署名DB（db）へ新しい証明書を適用する仕組みが含まれます。まずはWindows Updateを最新に保つことが前提です。Microsoft サポート+1

3) メーカーのUEFI/BIOS更新が出ていないか確認

今回の本丸はここです。特に以下に当てはまるPCは、メーカー提供のUEFI/BIOS更新が必要になる可能性が上がります。

• 2018年以前の機種や、法人向け端末を長期運用している

• OS再インストール、工場出荷状態へのリセットをよく行う

• 仮想化/多重起動（Linux併用など）や、独自の起動設定を使っている

• 企業のセキュリティポリシーで鍵管理をカスタムしている

「Active keys」と「Default keys」：初期化やリセットで事故る理由

Secure Bootの鍵は、UEFI内で「現在有効な鍵（Active）」と「工場出荷時の既定鍵（Default）」のように管理されることがあります。ここが曲者で、次のような事故が起きます。

• Windows側で移行が進んで“今は動いている”

• しかしUEFI側の既定鍵が古いまま

• ある日、UEFI設定のリセットやBIOS初期化、マザボ交換などで既定鍵に戻る

• 将来のブート関連更新が通らなくなる、あるいは起動時の検証が想定外になる

対策はシンプルで、「OS更新」と「UEFI更新」をセットで終わらせること、そして不用意にSecure Bootの鍵初期化（Key reset / Setup Mode関連）を触らないことです。

今すぐできる実務的チェックリスト（安全側）

以下を上から順に潰すだけで、家庭ユーザーの大半はリスクを大きく下げられます。

1. Windows Updateを最新化（再起動まで完了）Microsoft サポート+1

2. メーカーのサポートページでUEFI/BIOS更新を確認し適用

3. 更新後にmsinfo32でSecure Boot有効を再確認

4. BitLockerを使っている場合は回復キーを必ず控える（更新や設定変更で求められることがあります）

5. UEFI設定で「鍵の消去」「カスタムキー」「Setup Mode」などは触らない（目的が明確な場合のみ）

2026年6月以降に起きやすい“じわじわ型”トラブル

期限切れ直後に派手な不具合が出ないほど、対応が後回しになりがちです。ところが時間が経つほど、次のような問題が出やすくなります。

• 月例更新に含まれるブートローダー更新が適用されず、脆弱性対策が遅れる

• 署名更新が前提のドライバやセキュリティ機能と相性が出る

• OS再インストールや復旧時に、起動経路だけ古いまま残って詰む

要するに「普段は動くが、いざという時に困る」タイプです。だからこそ、余裕のある今のうちに“UEFIまで含めた世代更新”を終える価値があります。Microsoft サポート

結論：2026年の本番は“Windowsの更新”ではなく“ファームウェアの準備”

今回の警告の核心は、Windowsが証明書を配って終わりではなく、UEFIが新しい証明書チェーンを受け入れ、保持できる状態にあるかです。Windows Updateを回して安心するのではなく、メーカーのUEFI/BIOS更新まで含めて整えることで、2026年6月以降も「起動できるだけのPC」ではなく「更新され続ける安全なPC」を維持できます。Microsoft サポート+1