迫るセキュアブート証明書の期限切れ、今使っているPCは起動できなくなる？

　2020年にはWindows 7の、2025年にはWindows 10とMicrosoft Office 2019のサポートが終了し、それまで利用していたユーザーは対応に追われたことを覚えているだろう。そして2026年6月～10月にかけて、今度は「セキュアブート証明書」の期限が切れるという。

　このセキュアブート証明書とは一体何か。セキュアブート証明書の期限が切れると一体何が起きるのか。これまでにサポートが終了したWindows 7やWindows 10のように、今まで使えてきたPCが使えなくなってしまうのか。気になるポイントを分かりやすく解説していこう。

Windows Updateとメーカーのアップデート適用が重要

　まず結論からいうと、「セキュアブート証明書の期限切れ」の日程が過ぎたとしても、ユーザーが利用しているPCが起動できなくなる、といった直接的な影響がすぐに起きることはない。今まで通りPCは起動するし、Windows Updateの適用も行なわれる。

　Windows 7やWindows 10のサポートが終了したときは、その時点でセキュリティ対策の更新も終了してしまった。そのため、サポートが終了していない最新OSのPCへと移行する必要があったが、そういった心配はいらないということだ。

　こうしたことを踏まえて、まずは「セキュアブート」について簡単に解説しよう。大雑把にいうと、ハードウェアの状態とOSのブートシステム側で照合を行ない、どちらの状態も正しいと判断した場合にのみPCを起動する機能である。

　もしハードウェアやブートシステムに何らかのマルウェアに感染した場合は、セキュアブートの仕組みの中で正しい組み合わせとして認識されないようになっている。その場合はWindowsが起動せず、Windows上からアクセスできるファイルにも影響を与えない。こうした仕組みから、マルウェアによる被害を防いでいるわけだ。

MSinfo32コマンドを利用して、今使っているWindows 11でセキュアブートが有効になっているかどうかを確認できる

　セキュアブート証明書とは、簡単にいえばこうしたハードウェアとブートシステムの「正しい状態」を保証する電子証明書のことだ。そして2011年以降に配信された「古いセキュアブート証明書」は、2026年6月から10月にかけて期限切れを迎えて失効していく。大まかにいえば、これが現在話題になっている「セキュアブート証明書の期限切れ」である。

　セキュアブート証明書の期限が切れるとどうなるかというと、冒頭でも述べた通りPCは普通に起動するし、利用できなくなるということはない。しかし、新しいセキュアブート証明書に基づくセキュリティ更新プログラムがWindows Update経由で受信できなくなるため、徐々にセキュリティが低下していく。そのため、「将来的には」大きな問題になっていく可能性はある。

　とはいえ、普通にPCを利用しているユーザーであればなにも心配は要らない。Microsoftは2025年5月13日以降に配布されたWindows Updateの累積更新プログラムで、「新しいセキュアブート証明書」を配信している。基本的に毎月正しくWindows Updateを適用しているPCであれば、新しいセキュアブート証明書が自動で導入されている、ないしは導入されていくということだ。

Windows Updateを正しく適用しているなら、新しいセキュアブート証明書が自動でインストールされる

　世代が古い一部のPCの場合は、Windows UpdateだけではなくUEFIのアップデートが必要になることもあるようだ。しかしほとんどのメーカー製PCでは、デバイスドライバや初期インストールされているソフトウェアをアップデートするための専用ツールを通じて、簡単に作業できる仕組みを整えている。Windows Updateと合わせてこうしたアップデートツールの適用をこまめに行なっているユーザーであれば、今回の件で慌てる必要は何もない。

たとえばLenovoのThinkPadシリーズでは、「Lenovo Vantage」アプリの［システム アップデート］から、UEFIも含めた各種アップデートを取得してインストールできる

　今回の件についていくつかの大手PCメーカーに状況を確認したところ、一般ユーザーからの問い合わせを受けることも多いようだ。そのため、PCメーカー各社はこの問題に関する問い合わせ先やFAQを用意している。

たとえばデルでは、BIOS(UEFI)の更新が必要なモデルについて詳しく解説したFAQサイトを用意している

　また、メーカーからの回答のおおよそは「原則的にWindows Updateのみで対応可能」という回答であり、2024年以降に発売されたPCに関してはすでにセキュアブート証明書の更新が行なわれた状態で出荷されているモデルも多いようだ。

　こうしたセキュアブート証明書の更新は、拡張セキュリティ更新プログラム(ESU: Extended Security Updates)を適用したWindows 10も対象となる。Windows 11に移行できない古いWindows 10 PCを延命して利用している場合も、Windows Updateの適用を忘れないようにしたい。

Windows 10でもESUを適用していれば、問題なく新しいセキュアブート証明書をインストールできる

Windowsセキュリティからセキュアブート証明書を確認可能

　セキュアブート証明書の更新は、システムの根幹に関わる重要な作業だ。そのためMicrosoftは、PCメーカーと協力して慎重に配布と更新を行なっている。とはいえ、まれに新しいセキュアブート証明書に更新されていないこともあるようだ。UEFIが古いままなので、新しいセキュアブート証明書の受け入れ体制が整っていないという状況もあり得る。

　自分のPCの状況が気になるところだが、自分で確かめる方法もある。一番簡単なのは、Windows 11の「Windowsセキュリティ」を利用する方法だ。スタートメニューやタスクトレイからWindowsセキュリティを起動し、ホーム画面の［デバイスセキュリティ］を開く。すると［セキュアブート］という項目がある。

　この項目で［セキュアブートがオンになっており、必要なすべての証明書の更新が適用されました。］と表示されている場合は、最新のセキュアブート証明書がすでにインストールされている。

　ちなみにCPUの換装も視野に入れた自作PCなど、事情があってセキュアブートを有効にしていないPCの場合、この項目自体が表示されないこともある。

Windowsセキュリティを起動し、［デバイスセキュリティ］をクリックする

［セキュアブート］の欄にこうした表示があればOK

筆者のメインPCではセキュアブートが無効であり、こういった表示になる。自分ではセキュアブート有効でインストールしたつもりだったので、確認してびっくりした

　とはいえ、今まで解説してきたようにセキュアブート証明書の更新はWindows UpdateやPCメーカーから提供されるUEFIの更新を通じて順次行なわれていく。最初に紹介した通りだが、今普通に使えているなら、2026年6月を過ぎてもいきなりPCが起動しなくなることはない。

　だからといって「まったく気にする必要がない」かというとそういうわけでもない。たとえばごくまれなケースだが、UEFIのアップデートが必要なのに、メーカーがサポートを終了したり、解散してしまったことなどで、そうしたアップデートが提供されない場合もあり得る。さきほど紹介した方法でセキュアブート証明書の状況を確認し、改善が期待できないなら最終的にはPCの買い替えなども検討したい。