セキュアブート証明書データベースの更新と、セキュアブート証明書の有効期限切れについて

2025/10/22 公開 | 2026/06/10 更新

対象モデル
すべて

参照されたい内容を以下よりクリックして確認してください。

  1. 事前説明
  2. 詳細説明
  3. 証明書の更新状況の確認方法
  4. KEK,DBの手動更新方法
  5. 2011セキュアブート証明書の無効化について
  6. 証明書更新前に作成したメディアについて

1. 事前説明

事前確認

セキュアブート証明書が2026年6月から順次有効期限切れになりますが、セキュアブートの証明書は2025年5月13日以降に配布されている、累積更新プログラム(LCU)に含まれ配信されています。
Windows Updateを適用しているPCであれば、自動的に更新されますので、特別な作業は基本的には不要です。
※企業内などの管理されている環境で使用されている場合は、2025年10月14日以降に配布されている、累積更新プログラム(LCU)の適用を推奨します。

BIOSのアップデートを推奨する理由について

新しい証明書に対応していないBIOSでも、条件がそろえばWindows UpdateでUEFI内のDBの証明書が更新されます。この時以下のような状態になっています。

UEFI内のDBの証明書

この状態では、新しい証明書はUEFI側のDB側にあるだけで、起動については旧証明書の「Microsoft Windows Production PCA 2011」で認証されて起動します。

その後、Windows UpdateでOS側のブートマネージャーが新証明書で更新されると以下のようになります。
ブートマネージャーが新証明書で更新された状態

この状態では、UEFI側のDBの新しい証明書と、更新されたOS側のブートマネージャーの証明書の「Windows UEFI CA 2023」で認証されて起動します。

このままご使用いただいても問題ありませんが、何かのトラブルなどで、BIOSの設定でSecure Bootのリセット作業(Restore Factory Defaults)を行った場合、以下のような状態になります。
Secure Bootのリセット作業を行った場合

BIOSの設定でSecure Bootのリセット作業を行うと、UEFI側のデフォルトの旧証明書をDBに置き換えてしまうため、OS側のブートマネージャーと証明書が異なるため起動できなくなります。

新しい証明書に対応しているBIOSに更新していた場合は以下のようになります。
新しい証明書に対応しているBIOSに更新していた場合は

UEFI側のデフォルトには、新旧両方の証明書があるため、BIOSの設定でSecure Bootのリセット作業を行っても、UEFI側のDBに新旧両方の証明書が適用されるため、OSが起動できなくなることはありません。
また、BIOSアップデート後にSecure Bootのリセット作業を行うとKEK,DBが更新され、ブートマネージャーを更新するための条件がそろい、Windows Updateでブートマネージャーの証明書が更新されやすくなります。その他のセキュリティ脆弱性にも対応していますのでBIOSのアップデートを推奨しています。

2. 詳細説明

Microsoft サポートのページにも詳細が記載されています。

マイクロソフト社
外部リンク:セキュア ブート更新プロセスに関してよく寄せられる質問(新しいタブで開きます)
セキュアブートの詳細説明
参考情報

セキュアブートは、PCの起動時に悪意のあるソフトウェアの読み込みを防ぐために設計された重要なセキュリティ機能です。
現時点でサポート中のWindows OSには、2011セキュア ブート証明書(Microsoft Corporation KEK CA 2011、Microsoft Windows Production PCA 2011、Microsoft Corporation UEFI CA 2011)が使われていますが、これらの証明書が2026年6月から順次有効期限切れになることについてマイクロソフト社から情報が公開されています。

セキュアブート証明書のデータベースについては以下が関連しています。

用語 説明
KEK(キー交換キー) UEFI側(ハードウェア側)にあり、DBやDBXを更新できる権限を持つキーです。
DBと DBXを書き換える権限を持つキーとなります。
CA 証明機関
DB(セキュアブート署名データベース) UEFI側(ハードウェア側)にあり、起動を許可された署名が登録されているデータベースです。
DBX(セキュアブート失効署名データベース) UEFI側(ハードウェア側)にあり、起動を拒否された署名が登録されているデータベースです。
ブートマネージャー Windows OS側にある起動を制御しているファイルです。
このファイルの証明書が、DB上のものと合致した場合に起動できます。

セキュアブート証明書の詳細については以下のページを参照してください。

マイクロソフト社
外部リンク:Windows セキュア ブート証明書の有効期限と CA 更新プログラム - Microsoft サポート(新しいタブで開きます)
注意

期限切れの証明書は、すでにインストールされているOSには影響せず、引き続きシステムを起動することができますが、証明書の有効期限が切れたシステムでは、以下の問題が発生する可能性があります。

  • セキュアブート失効署名データベース(DBX)を更新(追加)できないことによる脆弱性

  • セキュアブートが無効になっている場合、またはBIOSのデフォルト設定がリセットされている場合の潜在的な起動障害や、BootKitマルウェアがUEFIレベルで侵入するセキュリティ脆弱性

  • セキュアブート証明書の有効期限が切れた場合の動作については、以下のリンクもご覧ください。

    マイクロソフト社
    外部リンク:Windows デバイスでセキュア ブート証明書の有効期限が切れた場合(新しいタブで開きます)

3. 証明書の更新状況の確認方法

新しい証明書が更新されているかどうかは、以下の手順で確認します。

セキュアブートの更新状況を「Windows セキュリティ画面」から確認する方法

  1. 「設定」を開きます。

    関連FAQ:[Windows 11]「設定」を開く方法

  2. 左列より「プライバシーとセキュリティ」を選択し、右側に表示される「Windows セキュリティ」をクリックします。
    設定|プライバシーとセキュリティ画面で「Windows セキュリティ」を選択した画像

  3. 「Windows セキュリティを開く」をクリックします。
    設定|プライバシーとセキュリティ|Windows セキュリティ画面で「Windows セキュリティを開く」を選択した画像

  4. 「Windows セキュリティ」画面が表示されましたら、左列より「デバイス セキュリティ」を選択し、右側に表示される「セキュア ブート」項目を確認します。
    Windowsセキュリティ画面で「デバイスとセキュリティ」項目内にある「セキュア ブート」が表示されている画像

  • 緑地に白いチェックマークのアイコン緑色のアイコン
    デバイスが十分に保護されており、推奨されるアクションがないことを意味します。

  • 黄色地に黒い!マークのアイコン黄色のアイコン
    安全に関する推奨事項があることを意味します。

  • 赤地に白いバツマークのアイコン赤色のアイコン
    すぐに注意が必要なものを示します。

詳細については、以下のマイクロソフト社のページを参照してください。
なお、企業などでWindows Updateなどの制限を行っている場合は、これらの表示が反映されない場合があります。

マイクロソフト社
外部リンク:Windows セキュリティ アプリのセキュア ブート証明書の更新状態(新しいタブで開きます)
セキュアブートの更新状況をコマンドプロンプト、およびレジストリーの内容で確認する方法

  1. スタートボタンのアイコン 「スタート」ボタンをクリックして、スタートメニューを開きます。

  2. 検索ボックスに「powershell」と入力します。

  3. 「Windows PowerShell」の右の「>」をクリックし、「管理者として実行する」をクリックします。
    スタート_検索バー_Powershell_管理者として実行

  4. 「Windows PowerShell」が管理者権限で起動しますので、以下の文字を入力後、【Enter】キーを押します。

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
    Powershell

    「True」の文字列が表示されれば、UEFI側のDBに「Windows UEFI CA 2023」が適用されています。

  5. 続いて以下の文字を入力後、【Enter】キーを押します。

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
    Powershell

    「True」の文字列が表示されれば、UEFI側のKEKに「Microsoft Corporation KEK 2K CA 2023」が適用されています。
    続いてOS側のブートマネージャーの更新状況を確認します。

  6. 【Windows】+【R】キーを押します。

  7. 「ファイル名を指定して実行」が表示されましたら「regedit」と入力し【Enter】キーを押します。
    「ファイル名を指定して実行」画面に「regedit」と打ち込んだ画像

  8. レジストリーエディターが開きますので、以下のパスの値を確認します。
    パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

    値の名前 値のデータ 説明
    UEFICA2023Status NotStarted 更新プログラムはまだ実行されていません。
    InProgress 更新プログラムは適用が進行中です。
    Updated 更新が正常に完了しました。
    WindowsUEFICA2023Capable 0 "Windows UEFI CA 2023" 証明書が DB にありません。
    1 "Windows UEFI CA 2023" 証明書が DB にあります。
    2 “Windows UEFI CA 2023” 証明書が DB にあり、システムは 2023の証明書で 署名されたブートマネージャーから開始されています。

    「UEFICA2023Status」が「Updated」、「WindowsUEFICA2023Capable」が「2」になっていれば、ブートマネージャーの証明書は更新されています。
    レジストリーエディタ

    レジストリーエディタ

    レジストリーエディタ

    ※これらの値は、Windows Updateで更新された場合に表示されます。
    証明書を手動で更新した場合は、この値が表示されない場合があります。
    その他の確認方法については、以下のマイクロソフト社のページを参照してください。

    マイクロソフト社
    外部リンク:セキュア ブートのレジストリ キー更新プログラム_ IT で管理された更新プログラムを含む Windows デバイス - Microsoft サポート(新しいタブで開きます)

以下に説明する手順は、操作を間違えるとOSが起動できないなどの障害が発生するため、テスト環境などでOSのブートマネージャーの証明書の更新状況を確認する方法です。

テスト環境などで、OSのブートマネージャーの証明書を確認する方法

  1. コマンドプロンプトを管理者権限で起動します。
    スタートメニューの検索画面で「cmd」と入力しコマンドプロンプトの「管理者として実行」が表示されている画像

  2. 以下のコマンドを実行します。

    mountvol s: /s

    copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

  3. 以上の操作で、OSのブートマネージャーのコピーが「c:\bootmgfw_2023.efi」に生成されます。

  4. このファイルを右クリックし、表示されたメニューから「プロパティ」をクリックします。

  5. 「デジタル署名」のタブに切り替え「埋め込み署名」欄の「Microsoft Windows」を選択し、続いて「詳細」をクリックします。
    bootmgfw_2023.efiのプロパティ

  6. 「デジタル署名の詳細」画面が表示されましたら「証明書の表示」をクリックします。
    デジタル署名の詳細

  7. 「証明書」の画面が表示され「発行者」欄に「Windows UEFI CA 2023」の記載があれば、ブートマネージャーの証明書は更新されています。
    「証明書」の画面

4. KEK / DBの手動更新方法

Windows Updateの更新を制限している環境や、任意の時期に証明書の更新をおこないたい場合は、以下の手順で更新作業をおこなってください。

KEK / DBの手動更新手順
注意

  • 本手順は以下に記載するBIOSアップデートプログラムを公開している機種、および出荷時のBIOSで本問題に対応している機種のみ対象です。

  • 証明書を更新した場合、以前の証明書に戻すことはできません。

事前確認

以下の機種については、出荷時のBIOSで2023セキュアブート証明書が使われているため以降の作業は必要ありません。
ただし、手順8~11の操作を行う場合は、事前にBIOSを最新版に更新していただくことを推奨します。
VJF142*,VJF162*,VJS127*,VJS136*,VJS147*,VJS4R1*,VJS4R2*
VJBK12*,VJBM12*,VJPG32*,VJPJ25*,VJPK24*,VJPK25*,VJPKR1*,VJPKR2*

  1. BIOSのバージョンが以下に記載のバージョンより古い場合は、BIOSを最新版のバージョンにアップデートしてください。

    関連FAQ:BIOSのバージョンを確認する方法
    機種 BIOSバージョン
    VJS112*,VJS132*,VJPF11*,VJPG11* R0490K9
    VJA121*,VJPA11* R0492CA
    VJS121*,VJS141*,VJPJ11*,VJPK11* R1220CW
    VJS122*,VJS142* R0380CX
    VJS123*,VJS143*,VJPG13*,VJPG14*,VJPJ13*,VJPK13* R0361CY
    VJS153*,VJS154*,VJPH21*,VJPH22* R1200CH
    VJZ141*,VJZ142*,VJPZ11* R1180ZS
    VJS124*,VJS144*,VJPJ21*,VJPK21* R0320ST
    VJS125*,VJS134*,VJS145*,VJPG21*,VJPJ22*,VJPK22* R0340ZA
    VJS155*,VJPH23* R0330CK
    VJS126*,VJS146*,VJPJ23*,VJPK23* R0210ZR
    VJF141*,VJF161*,VJS135*,VJBK11*,VJBM11*,VJPG31* R1171R1/R1111R2

    BIOSアップデートプログラムは以下のページにてご利用の機種を指定することにより、機種別サポートページよりダウンロードが可能です。
    VAIOサポートセンター:アップデートプログラム|ダウンロード(新しいタブで開きます)

  2. 「BitLockerドライブ暗号化」または「デバイスの暗号化」を実行している場合は、回復キーを確認し、バックアップします。
    その他暗号化ソフトなどで暗号化している場合は、回復の手段を確認します。

    関連FAQ:Microsoftアカウントページからデバイス暗号化の回復キーを確認する方法

  3. BitLockerドライブ暗号化、デバイスの暗号化を実行している場合は、管理者権限のあるユーザーでログインし、「保護の中断」を実行します。

    関連FAQ:[Windows 11 Pro] BitLockerドライブ暗号化を有効 / 無効にする方法
    関連FAQ:[Windows 10 Pro] BitLockerを有効 / 無効 / 一時停止にする方法
    関連FAQ:[Windows 11] デバイスの暗号化を設定する方法
    注 意
    「BitLockerドライブ暗号化」、デバイスの暗号化がされている環境で「保護の中断」を行わずに以下の8~10の操作を行うと、回復キーの入力が必要になります。

  4. 完全なシャットダウンを実行します。

    関連FAQ:[Windows 11] パソコンをシャットダウンする(電源を切る)方法
    関連FAQ:[Windows 10] パソコンをシャットダウンする(電源を切る)方法

  5. 【F3】キーを押しながら電源ボタンを押して、VAIOレスキューモードを起動します。
    ※VJA121*およびVJPA11*については、音量ボタンの上もしくは下ボタンを押しながら電源ボタンを押してください。

  6. 「BIOS設定を起動」をクリックします。
    VAIOレスキューモード

  7. 「Secure Boot」の項目をクリックします。
    BIOSTOP

  8. ご使用の機種、および使用状況に合わせて「Restore Factory Defaults」を実行してください。
    BIOS_Restore Factory Defaults

    ■Microsoft 3rd Party UEFI CAを有効化した状態に設定する場合

    この設定をした場合サードパーティ製UEFIソフトウェアツール(Opalの機能を使う暗号化ソフトなど)が使用できる設定となります。
    互換性を重視する場合はこちらを実行してください。

    機種名 実行するメニュー名
    VJA121*,VJS112*,VJS121*,VJS122*,VJS123*,VJS124*
    VJS132*,VJS141*,VJS142*,VJS143*,VJS144*
    VJS153*,VJS154*
    VJZ141*,VJZ142*
    VJPA11*,VJPF11*,VJPG11*,VJPG13*,VJPG14*
    VJPH21*,VJPH22*,VJPJ11*,VJPJ13*,VJPJ21*
    VJPK11*,VJPK13*,VJPK21*,VJPZ11*    		 「Restore Factory Defaults」
    VJF141*,VJF142*,VJF161*,VJF162*,VJS125*
    VJS126*,VJS127*,VJS134*,VJS135*,VJS136*
    VJS145*,VJS146*,VJS147*,VJS155*
    VJBK11*,VJBK12*,VJBM11*,VJBM12*
    VJPG21*,VJPG31*,VJPG32*,
    VJPH23*,VJPJ22*,VJPJ23*,VJPJ25*,
    VJPK22*,VJPK23*,VJPK24*,VJPK25*    		 「Restore Factory Defaults (with 3rd Party UEFI CA)」
    VJS4R1*,VJS4R2*,VJPKR1*,VJPKR2* 「Restore Factory Defaults」をクリック後、手順9-10の操作を行います。
    次に「3rd Party UEFI CA」の項目を「Enabled」に変更します。
    変更後、手順11以降の操作を行います。

    ■Microsoft 3rd Party UEFI CAを無効化した状態に設定する場合

    この設定をした場合サードパーティ製UEFIソフトウェアツール(Opalの機能を使う暗号化ソフトなど) が使用できない設定となります。
    セキュリティを重視する場合はこちらを実行してください。

    機種名 実行するメニュー名
    VJA121*,VJS121*,VJS122*,VJS123*,VJS124*
    VJS141*,VJS142*,VJS143*,VJS144*
    VJS153*,VJS154*
    VJZ141*,VJZ142*
    VJPA11*,VJPG13*,VJPG14*,VJPH21*,VJPH22*
    VJPJ11*,VJPJ13*,VJPJ21*
    VJPK11*,VJPK13*,VJPK21*,VJPZ11*    		 「Restore Factory Defaults (without 3rd Party UEFI CA)」
    VJF141*,VJF142*,VJF161*,VJF162*
    VJS125*,VJS126*,VJS127*,VJS134*,VJS135*,VJS136*
    VJS145*,VJS146*,VJS147*,VJS155*
    VJBK11*,VJBK12*,VJBM11*,VJBM12*
    VJPG21*,VJPG31*,VJPG32*,VJPH23*
    VJPJ22*,VJPJ23*,VJPJ25*
    VJPK22*,VJPK23*,VJPK24*,VJPK25*    		 「Restore Factory Defaults」
    VJS4R1*,VJS4R2*,VJPKR1*,VJPKR2* 「Restore Factory Defaults」をクリック後、手順9-10の操作を行います。
    次に「3rd Party UEFI CA」の項目を「Disabled」に変更します。
    変更後、手順11以降の操作を行います。

    ※VJS112*,VJS132*,VJPF11*,VJPG11* についてはこの設定はありません。

  9. 「Are you sure to restore factory default? 」と表示されますので「Yes」をクリックします。
    BIOS_Are you sure to restore factory default?

  10. 「Success to restore factory default.」と表示されますので「OK」をクリックします。
    BIOS_Success to restore factory default

  11. 下のメニューの「EXIT」をクリックします。
    BIOS_EXIT

  12. 「Setup Confirmation」と表示されますので「Yes」をクリックします。
    BIOS_Yes

  13. しばらくするとVAIOレスキューモードが起動しますので「終了してWindowsを起動する」をクリックします。

  14. OSが起動しましたらハードウェア側のKEK / DBの証明書の更新は完了です。
    なお、中断したBitLockerドライブ暗号化、デバイスの暗号化を行っていた場合はこの時点で、保護が自動的に復帰します。

参考情報

5. 2011セキュアブート証明書の無効化について

2011セキュアブート証明書の無効化について

2011セキュアブート証明書で署名された古いブートマネージャーには、CVE-2023-24932に報告されている、セキュリティ脆弱性が存在します。

マイクロソフト社
外部リンク:セキュア ブートのセキュリティ機能のバイパスの脆弱性(新しいタブで開きます)

このセキュリティ脆弱性に対応するため、現時点では未定ですが、2011セキュアブート証明書の無効化が予告されています。
本脆弱性の対策方法や詳細については、以下のマイクロソフト社のページを参照してください。

マイクロソフト社
外部リンク:CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法(新しいタブで開きます)
参考情報

Windows Updateで配信されたDBXが、BIOSで保持しているDBXより新しい場合「Restore Factory Defaults」を実行すると、BIOSの保持している古いDBXに戻ります。
このような場合、Windows Updateで配信されたDBXを再度適用するために、以下の作業を行ってください。

  1. OSを起動します。

  2. PowerShellを管理者権限で起動します。

  3. 以下のコマンドを入力し、【Enter】キーを押します。
    reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x02 /f
    PowerShell画面

    続いて、以下のコマンドを入力し、【Enter】キーを押します。
    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
    PowerShell画面

  4. パソコンを再起動します。

6. 証明書更新前に作成したメディアについて

証明書更新前に作成したメディアについて

証明書更新前に作成したリカバリーメディアや、新しい証明書が含まれない起動可能なメディアについては、セキュアブート証明書の更新、もしくはセキュアブート証明書の無効化(DBX追加)がされた場合、これらのメディアでの起動ができなくなります。

BIOSの設定で、SecureBootを「Disabled」に設定変更することで、起動可能となりますが、セキュアブートによる保護が働かない状態ですので、メディア使用後は必ず設定をもとに戻すようにしてください。
なお、リカバリーメディアについては、下記マイクロソフト社のサポートページの「Windows インストール メディアの更新」に記載してある手順で、証明書の更新が可能です。

マイクロソフト社
外部リンク:CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法(新しいタブで開きます)
参考情報

証明書更新後に作成したリカバリーメディアについては、新しい証明書が適用されていますので、このような作業は不要です。

このQ&Aは役に立ちましたか?

関連FAQ

    お問い合わせフォーム