前のページに戻る

【トラブルシューティング】Windows Secure Boot証明書の更新について

May 28,2026

回答

Secure Bootは、システム起動時に不正なソフトウェアの実行を防ぐための重要なセキュリティ機能です。



Microsoftが2011年に発行した既存のSecure Boot証明書は2026年6月に期限切れとなる予定のため、Windowsブート関連コンポーネントのセキュリティ更新を引き続き受けるためには、新しい2023年証明書へ置き換える必要があります。



参考リンク: Act now: Secure Boot certificates expire in June 2026



________________________________________________________________________________



証明書が期限切れになるとどうなりますか?



元の証明書が期限切れ後も、システムは通常どおりWindowsを起動できます。ただし、以下の影響が発生する可能性があります:



1. セキュリティ更新の停止:Windowsブートローダーに対するセキュリティ更新を受け取れなくなります。



2. 起動時セキュリティの低下:ブートキットなど低レベルの脅威や、OS起動前のマルウェアに対する脆弱性が高まる可能性があります。



3. リカバリ制限:将来的に起動関連ファイルが破損した場合、Secure Boot証明書の不一致により新しいリカバリメディアが起動できない可能性があります。



________________________________________________________________________________



MSIノートPCでSecure Boot証明書を更新する方法



多くのユーザーの場合、必要な更新はWindows Updateを通じて自動的に配信され、特別な操作は不要です。プロセッサー世代ごとの対応方法は以下をご確認ください:



1. Intel 第7~11世代 / AMD Ryzen 3000H~5000U 搭載モデル



    これらのモデルは主にOS側のセキュリティ更新で証明書の移行が行われます。



    a. Windows Updateによる自動配信を待つことを推奨します。Microsoftは2026年より月例累積更新プログラムを通じて自動更新を完了する予定です。



       *この方法はWindows 11、またはWindows 10 Consumer Extended Security Updates (ESU) programへの加入が必要です。



    b. 早期更新が必要な場合は、Microsoft公式ガイドを参照し手動更新を行うことも可能です(後述「3」参照)。



2. Intel 第12世代以降 / AMD Ryzen 5000H以降 搭載モデル



    MSIはこれらの世代以降のモデル向けに、新証明書を含むBIOSを順次提供しています。



    a. MSI公式サポートページより「Update Secure Boot Key: Windows UEFI CA 2023 & Microsoft UEFI CA 2023」と記載された最新BIOSをダウンロードして更新してください。



       *注意:BIOS更新前にBitLocker回復キーを必ず保存してください。



    b. 証明書の有効化:BIOS更新後は、Windows Updateによる自動有効化を待つことを推奨します。早期対応が必要な場合はMicrosoftの手動適用手順(後述「3」参照)をご確認ください。





3. 手動レジストリ更新(上級ユーザー / IT管理者向け)



    早期検証や統合管理を目的とする場合は、以下のMicrosoft手順をご参照ください:





________________________________________________________________________________



FAQ



Q:更新が成功しているか確認する方法は?



A:Windowsセキュリティセンターで確認できます。詳細は Secure Startup Credential Update Status をご参照ください。



    



    また、以下の方法でも現在の状態を確認可能です:




  • 更新完了している場合、イベントビューアー(Windowsログ → システム)に「TPM-WMI」「イベントID 1808」が表示され、「This device has updated Secure Boot CA/keys」と記録されます。



       




  • BIOSは更新済みだが証明書未適用の場合、「TPM-WMI」「イベントID 1801」が表示され、「証明書は更新可能だが未適用」と表示されます。



       この場合はWindows Updateで自動適用されます。



       すぐに適用したい場合は方法3を参照してください。



       




  • BIOSに新証明書が含まれていない場合、「TPM-WMI」「イベントID 1801」とともに「Need to update Secure Boot CA/keys」と表示されます。



       この場合もWindows Updateでの自動更新を待ってください。



       


お役に立ちましたか?

Survey