ついに「見える化」されたSecure Boot証明書の状態
Windows 11の2026年4月更新(KB5083769)によって、Windows Securityアプリに新たな情報が追加された。「デバイスセキュリティ(Device Security)」タブの「セキュアブート(Secure Boot)」セクションに、Secure Boot 2023証明書が適用済みかどうかが緑・黄・赤のアイコンで表示されるようになったのだ。
これは地味に見えて、実は重要な変更だ。理由を説明しよう。
2011年証明書は2026年6月に期限切れ
Secure Bootとは、PCの起動時にブートローダーやファームウェアが正規のものであることを署名で検証する仕組みだ。この仕組みを支えるのが「証明書」であり、現在多くのPCには2011年に発行された証明書が使われている。
その証明書が2026年6月に失効する。
Microsoftはすでに後継となる「Secure Boot 2023証明書」の配布をWindows Updateで進めているが、問題は「自分のPCに適用されているかどうか」が従来ほぼ確認できなかった点だ。確認手段はPowerShellコマンドかイベントビューアーのログ解析だけ——一般ユーザーには到底難しいハードルだった。
今回の更新でこの確認がWindows SecurityのGUIから誰でも簡単に行えるようになった。
3段階のステータス表示
確認方法は Windows Security → デバイスセキュリティ → セキュアブート を開くだけ。表示されるステータスは以下の3種類だ。
アイコン 意味 対応
緑のチェック 証明書更新済み・保護完全 対応不要
黄色の警告 未更新・推奨アクションあり PCメーカーの最新ファームウェアを確認
赤のアラート 更新不可(ハードウェア制限)または機能無効 即対応が必要
黄色が出るケースとして多いのは、現在のファームウェアがMicrosoftによる証明書ロールアウトに対応していない場合だ。この場合、PCメーカーのUEFIアップデートを適用することで解消できる可能性がある。
赤は、ハードウェアの制約で証明書の適用が不可能な場合や、そもそもSecure Bootが無効になっている場合に表示される。Windows 10からTPM/Secure Boot要件を回避してアップグレードしたPCでは、この赤表示が出やすい。
実務への影響
企業のIT管理者へ
組織内PCの証明書状態を把握するには、Intuneなどのエンドポイント管理ツールを使って一括確認する方法が現実的だ。個別にWindows Securityを確認させるのは規模が大きいほど現実的ではない。2026年6月の期限切れまでに、管理対象PCの棚卸しを今すぐ始めることを強くすすめる。
黄色の状態のPCが多数ある場合は、PCメーカーごとのファームウェアアップデート状況を確認し、展開計画を立てておきたい。
個人ユーザーへ
今すぐWindows Securityを開いて確認してほしい。緑なら何もしなくていい。黄色が出たら、PCメーカーのサポートページでUEFIアップデートを探してみよう。
なお、KB5083769のロールアウトは2026年4月末完了予定とMicrosoftは述べている。まだ表示が出ない場合は数日待てば反映されるはずだ。
筆者の見解
セキュアブートの証明書管理は、言ってしまえば「裏方インフラ」だ。普段は意識しないが、機能しなくなったときの被害は甚大で、ブートレベルのマルウェア(ブートキット)に感染すれば、OSの再インストール程度では対処できないケースも出てくる。
今回のWindows Securityへの可視化対応は、地味だが正しい方向の改善だと思う。セキュリティ状態を「見えるようにする」ことは、ゼロトラスト的な思想——「現在動いているから安全」ではなく「現在の状態を継続的に検証する」——の実践でもある。
ただ、惜しいのはこの情報がIT管理者向けの一元的なレポートとして提供されていない点だ。GUIで確認できるのは一歩前進だが、企業ではデバイスごとの手作業確認は現実的ではない。Intuneのコンプライアンスポリシーとしてこの証明書状態が評価指標に組み込まれるようになれば、エンタープライズでの活用が一気に広がる。Microsoftの実力をもってすれば十分に実現できる機能のはずで、次のステップとして期待したい。
2026年6月は目前だ。個人も企業も、今のうちに確認しておいて損はない。
出典: この記事は Windows 11 April update now reveals if Secure Boot 2023 certificate is applied to your PC の内容をもとに、筆者の見解を加えて独自に執筆したものです。