Windows セキュアブート証明書(2011年版)有効期限に関するご案内
2026年5月21日
NECパーソナルコンピュータ株式会社
平素より弊社製パソコンをご愛顧賜り、誠にありがとうございます。
一部のPCでは、Windowsの起動時に使用されるWindowsセキュアブート証明書が、2026年6月以降に順次有効期限を迎えます。Windowsを安全に継続利用いただくためには、古い証明書(CA2011)から新しい証明書(CA2023)への更新が必要となります。
ポイント(まずはこちらをご確認ください)
- 一部のパソコンでは、起動時の安全確認(セキュアブート)に使われる証明書(2011年版)が、2026年6月以降、順次期限を迎えます。
- 主に、2025年以前に発売されたWindows 10/Windows 11(24H2以前)搭載のパソコン、またはWindows IoT Enterprise LTSC搭載モデルが対象となる可能性があります。
- 期限を迎えてもWindowsがすぐに起動しなくなることはありません。ただし、このままだと将来提供されるセキュアブート関連のセキュリティ更新を受け取れなくなる可能性があります。
- 対応方法は、Windows Updateで新しい証明書(CA2023)を適用することです。通常は自動で適用されます。
- 会社・団体のパソコンなど、IT管理者が設定や更新を管理している場合は、適用方法や時期についてIT管理者の案内に従ってください。
1. セキュアブートとは
パソコンを起動する際に、OS起動時に信頼できるソフトウェアだけを読み込むようにチェックする仕組みです。
OS起動前に読み込みが必要なソフトウェアがデジタル署名で認証されていることを確認することで、マルウェアなどの悪意のあるソフトウェアの実行を防止し、安全に起動できるようにする機能です。
詳細については、下記のマイクロソフト社のサポートページをご確認ください。
2. セキュアブートに関わる証明書の種類
新しい証明書(CA2023)でセキュアブート機能を実行するためにアップデートが必要なのは下記の4つです。
新しい証明書(CA2023)については、マイクロソフト社よりWindows Updateによる配布が順次開始されています。
| 名称 | 保管場所 | 役割 |
|---|---|---|
| KEK | UEFIのファームウェア | DB/DBXを更新する権限を持つキーです |
| DB | UEFIのファームウェア | 起動を許可された署名が登録されているデータベースです |
| DBX | UEFIのファームウェア | 起動を拒否された署名が登録されているデータベースです |
| ブートマネージャー | OS(Windows) | Windowsの起動を制御する仕組みです。 ブートマネージャーにある証明書がDB上のものと合致すると、Windowsが起動します。 |
3. 対象となるPCと証明書
- Microsoft Corporation KEK CA 2011 (有効期限:2026年6月)
- Microsoft Windows Production PCA 2011(有効期限:2026年10月)
- Microsoft UEFI CA 2011(有効期限:2026年6月)
2025年以前に発売したWindows 10、Windows 11(24H2以前のバージョン)を搭載した全てのパソコンが対象となります。
2026年以降に発売したWindows 11(25H2)搭載パソコンは、出荷時より新しい証明書(CA2023)が格納されているため、証明書の期限切れの影響はありません。
弊社PCに格納されている証明書は以下のとおりです。
4. 有効期限を迎えた場合の影響
証明書が有効期限を迎えても、Windowsは引き続き古い証明書(CA2011)で起動し利用できます。ただし、証明書が期限切れのままの場合、今後提供されるセキュアブート関連のセキュリティ更新プログラムを受信できなくなる可能性があります。この状態が続くと、将来発見される脆弱性に対して十分な保護が受けられなくなるため、新しいセキュアブート証明書(CA2023)のインストールを推奨いたします。
5. 新しいセキュアブート証明書(CA2023)のインストール方法
新しいセキュアブート証明書は、マイクロソフト社からWindows Updateにて順次配布が始まっております。
なお、会社や団体などでIT管理者が設定されている場合、適用方法や適用時期についてはIT管理者の指示に従ってください。
-
Windows Update によるインストール
インターネットに接続している環境で且つWindows Updateを有効にしている場合、新しい証明書は自動的に適用されます。そのため、特別な操作は不要です。
Windows Updateを手動で実施する場合は、以下の手順で実施します。
[Windows 11の場合]
- スタートアイコンから「設定」を選択
- 「Windows Update」を選択
- 「更新プログラムのチェック」選択
- 検出された更新があればインストール
[Windows 10の場合]
- スタートアイコンから「設定」を選択
- 「更新とセキュリティ」を選択
- 「Windows Update」を選択
- 「更新プログラムのチェック」を選択
- 検出された更新があればインストール
-
Windows Updateが利用できない環境の証明書の適用方法について
すぐに新しい証明書を適用したい場合やインターネットに接続不可などでWindows Updateが利用できない場合は、マイクロソフト社が公開している[セキュアブートのレジストリキー更新プログラム:ITで管理された更新プログラムを含むWindowsデバイス]に従ってインストールしてください。
6. 注意事項
1)新しい証明書(CA2023)にアップデート後の注意
Windows 11(24H2)以前のPCを新しい証明書(CA2023)にアップデート後、UEFI(BIOS)の設定項目*1でセキュアブートのキー(証明書)を工場出荷時の状態(CA2011)に戻すと、UEFI内の証明書とOSのブートマネージャーの証明書(CA2023)のバージョンが不一致となるため、起動できなくなります。
その場合は、マイクロソフト社のリカバリーツール(SecureBootRecovery.efitool)を使用し、UEFI内のKEK/DB/DBXに新しい証明書(CA2023)を追加することで対応してください。
リカバリーツールは「C:\\Windows\\Boot\\EFI」にあります(2025年7月8日以降のWindows Updateを適用すると格納されます)。
<手順>
- ツールをUSBメモリまたはCD/DVD媒体にコピーする
- USBメモリまたはCD/DVD媒体で起動する
- UEFI DB に UEFI CA2023が自動で追加される(処理時間:10秒程度)
- *1:
- 設定項目名は機種により異なり、「Restore Factory Keys」、「Install Default Secure Boot keys」などの名称が使われています。ご利用のPCにおける実際の名称は、活用ガイドの「BIOS」セクションをご確認ください。
2)ブートマネージャーの証明書(CA2011)が将来的に失効した場合の再セットアップ媒体の使用について
2011年に発行されたセキュアブート証明書で署名されたブートマネージャーには、CVE-2023-24932 に関連する脆弱性が存在します。この問題への対策として、マイクロソフト社は今後2011年セキュアブート証明書を失効させる(DBXに追加する)方針を示しています(具体的な実施時期は未定)。詳細はマイクロソフト社が公開しているCVE-2023-24932に関連付けられているセキュアブートの変更に対するWindowsブートマネージャー失効を管理する方法をご参照ください。
また、マイクロソフト社が案内する軽減策のひとつである「3. 失効を有効にします。」を適用した場合、セキュアブート有効時に再セットアップメディアが起動できなくなる場合があります。その場合は、UEFI(BIOS)設定画面*1からセキュアブートのキーを工場出荷時状態に戻すことで、再セットアップメディアが起動できるようになります。
- *1:
- 設定項目名は機種により異なり、「Restore Factory Keys」、「Install Default Secure Boot keys」などの名称が使われています。ご利用のPCにおける実際の名称は、活用ガイドの「BIOS」セクションをご確認ください。
3)Windows 10をお使いの場合のご注意
Windows 10の更新プログラムを受け取るにはマイクロソフト社の拡張セキュリティUpdates(ESU)プログラムを適用している必要があります。
7. 参考情報(マイクロソフト社)
対象機種一覧
コマーシャル向けPC(Mate、VersaPro)
1)Windows 11/10 Professional/Homeモデル
| 発売時期*1 | 世代*2 | 生産時期*3 | 出荷時のOS | UEFI内の証明書 | ブートマネージャーの証明書 | アップデートの必要性 |
|---|---|---|---|---|---|---|
| 2026年1月 | 全世代 | 全て | Win11(25H2) | CA2023 CA2011 |
CA2023 | 不要 |
| 2025年11月 | P世代 | 2026年2月1日~ | Win11(25H2) | CA2023 CA2011 |
CA2023 | 不要 |
| 2026年1月31日まで | Win11(24H2) | CA2023 CA2011 |
CA2011 | 必要 | ||
| 2025年7月、8月 | R世代(VX-R、VY-R、VM-R) | 2026年2月1日~ | Win11(25H2) | CA2023 CA2011 |
CA2023 | 不要 |
| 2026年1月31日まで | Win11(24H2) | CA2023 CA2011 |
CA2011 | 必要 | ||
| R世代(ME-R、MB-R、MA-R、ML-R、VB-R) | 2026年3月1日~ | Win11(25H2) | CA2023 CA2011 |
CA2023 | 不要 | |
| 2026年2月28日まで | Win11(24H2) | CA2023 CA2011 |
CA2011 | 必要 | ||
| 2025年1月 | M世代(ME-M、MB-M、ML-M、MA-M、MC-M) | 全て | Win11(24H2) | CA2023 CA2011 |
CA2011 | 必要 |
| 2024年12月 | N世代(VZ-N) | 全て | Win11(24H2) | CA2023 CA2011 |
CA2011 | 必要 |
| 2024年8月 | M世代(VM-M、VE-M、VF-M) | 全て | Win11(24H2) | CA2023 CA2011 |
CA2011 | 必要 |
| N世代(VD-N、VX-N、VL-N,VA-N) M世代(VD-M、VX-M、VL-M、VA-M、VW-M、VG-M、VN-M、VC-M、VS-M、VR-M) |
全て | Win11(24H2) | CA2011 | CA2011 | 必要 | |
| 上記以前 | 全世代 | 全て | Win11(24H2)以前 | CA2011 | CA2011 | 必要 |
2)Windows 11/10 IoT Enterprise LTSCモデル
| 発売時期*1 | 世代*2 | 生産時期*3 | 出荷時のOS | UEFI内の証明書 | ブートマネージャーの証明書 | アップデートの必要性 |
|---|---|---|---|---|---|---|
| 2026年1月 | P世代(VX-P) | 全て | Win11 IoT Enterprise LTSC 2024 Win10 IoT Enterprise LTSC 2021 |
CA2023 CA2011 |
CA2023 | 不要 |
| 2026年11月 | R世代(VX-R) | 全て | Win11 IOT Enterprise LTSC 2024 | CA2023 CA2011 |
CA2011 | 必要 |
| 2026年7月 | R世代(VY-R) | 全て | Win11 IOT Enterprise LTSC 2024 | CA2023 CA2011 |
CA2011 | 必要 |
| 2025年4月 | M世代(MC-M) | 全て | Win11 IOT Enterprise LTSC 2024 | CA2011 | CA2011 | 必要 |
| M世代(VN-M) | 全て | Win10 IoT Enterprise LTSC 2021 | CA2011 | CA2011 | 必要 | |
| 上記以前 | 全世代 | 全て | 上記以前 | CA2011 | CA2011 | 必要 |
- *1:
-
発売時期については、PC検索システムで確認できます。
型番直接指定検索 PC検索システム - *2:
- 本体底面の装置銘板の型番(12桁または15桁)の末尾の英数字が、世代を表しています。
- *3:
- 生産時期は本体底面の装置銘板の出荷年月で判別できます。出荷年月の記載が無い場合は全てアップデートの対象になります。
コンシューマ向けPC(LAVIE)
| 発売時期*1 | 品名 | 出荷時のOS | UEFI内の証明書 | ブートマネージャーの証明書 | アップデートの必要性 |
|---|---|---|---|---|---|
| 2026年2月 | LAVIE N16 LAVIE Direct N16 LAVIE Smart N16 |
Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| 2026年2月 | LAVIE N15 LAVIE Direct N15 LAVIE Smart N15 |
Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| 2025年10月 | LAVIE SOL LAVIE Direct SOL LAVIE Smart SOL |
Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 | ||
| 2025年10月 | LAVIE N13 Slim LAVIE Direct N13 Slim LAVIE Smart N13 Slim |
Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 | ||
| 2026年2月 | LAVIE A27 LAVIE Direct A27 |
Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| 2026年2月 | LAVIE A23 LAVIE Direct A23 |
Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| 2025年7月 | LAVIE N16 LAVIE Direct N16 LAVIE Smart N16 |
Win11 (24H2) | CA2011 | CA2011 | 必要 |
| 2025年7月 | LAVIE Direct N15 | Win11 (24H2) | CA2011 | CA2011 | 必要 |
| 2025年9月 | LAVIE NEXTREME LAVIE Direct NEXTREME |
Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 | ||
| 2025年9月 | LAVIE N14 Slim LAVIE Direct N14 Slim |
Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 | ||
| 2025年5月 | LAVIE Direct N15 Slim | Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 | ||
| 2025年9月 | LAVIE Direct DT | Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 | ||
| 2025年2月 | LAVIE N16 LAVIE Direct N16 LAVIE Smart N16 |
Win11 (24H2) | CA2011 | CA2011 | 必要 |
| 2025年2月 | LAVIE Direct N15 | Win11 (24H2) | CA2011 | CA2011 | 必要 |
| 2024年12月 | LAVIE NEXTREME LAVIE Direct NEXTREME LAVIE Smart NEXTREME |
Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 |
| 2024年11月 | LAVIE SOL LAVIE Direct SOL LAVIE Smart SOL |
Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 |
| 2025年4月 | LAVIE N13 Slim LAVIE Direct N13 Slim LAVIE Smart N13 Slim |
Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 |
| 2025年4月 | LAVIE A27 LAVIE Direct A27 |
Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 |
| 2025年4月 | LAVIE A23 LAVIE Direct A23 LAVIE Smart A23 |
Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 |
| 2025年1月 | LAVIE Direct DT | Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 | ||
| 2025年1月 | LAVIE Direct DT Slim | Win11 (25H2) | CA2023, CA2011 | CA2023 | 不要 |
| Win11 (24H2) | CA2023, CA2011 | CA2011 | 必要 | ||
| 2024年2月以前 | 全て | Win11 (24H2)以前 | CA2011 | CA2011 | 必要 |
- *1:
-
発売時期については、PC検索システムで確認できます。
型番直接指定検索 PC検索システム
FAQ
- Q:
- 新しい証明書にアップデートされたか確認する方法はありますか?
- A:
-
2026年4月以降にリリースされた更新プログラムKB5083769(Win11用)、KB5082200(Win10用)を適用すると、設定で証明書の適用状況を確認することができます。
1) Windows 11の場合
設定 → プライバシーとセキュリティ → Windows セキュリティ → デバイスのセキュリティ → セキュア ブート
2) Windows 10の場合
設定 → 更新とセキュリティ → Windows セキュリティ → デバイスのセキュリティ → セキュア ブート
セキュアブートの項目に「必要なすべての証明書の更新が適用されました」と表示されていれば、新しい証明書(CA2023)が適用されています。
「更新する必要がある古いブート信頼構成がデバイスで使用されています」と表示される場合は、まだ新しい証明書(CA2023)は適用されていません。
- Q:
- OSのバージョンを確認する方法はありますか?
- A:
-
現在お使いのOSバージョンは以下の操作で確認できます。
ただし、Windows Updateを実行して工場出荷時からOSのバージョンが変わっている場合があります。- 「スタート」アイコンをクリック
- 「設定」を開く
- 「システム」→「バージョン情報」をクリック
- Q:
- UEFIやブートマネージャーに適用されている証明書(CA)のバージョンを確認する方法はありますか?
- A:
-
以下の方法で確認可能です。
-
DBに格納されている証明書
- Windows PowerShellを管理者として実行します。
- 以下の各コマンドを実行し、結果として "True" が返った場合は、該当する証明書が適用されています。
"False" が返った場合は、該当する証明書は適用されていません。[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Windows Production PCA 2011'[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'
-
KEKに格納されている証明書
- Windows PowerShellを管理者として実行します。
- 以下の各コマンドを実行し、結果として "True" が返った場合は、該当する証明書が適用されています。
"False" が返った場合は、該当する証明書は適用されていません。[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK CA 2011'[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
-
ブートマネージャーを署名している証明書
- Windows PowerShellを管理者として実行します。
- 以下コマンドを実行すると、ブートマネージャーを署名している証明書を確認できます。
mountvol S: /S; (Get-PfxCertificate -FilePath "S:\EFI\Microsoft\Boot\bootmgfw.efi").Issuer; mountvol S: /D
-
