Windows 11 KB5089549が作る「SecureBoot」フォルダはバグではない——Microsoftが正式確認、2026年6月の証明書期限切れへの準備

Microsoftは、Windows 11の2026年5月累積更新プログラム（KB5089549）がC:\Windows直下に作成する「SecureBoot」フォルダについて、バグではなく意図的な動作であることを公式に認めた。多くのユーザーが突然出現したこのフォルダに困惑していたが、削除は不要だ。

なぜ今「SecureBoot」フォルダが作られるのか

背景には明確な期限がある。2011年以前に発行されたSecure Boot証明書が、2026年6月に自動失効するのだ。Secure Bootはスタートアップ時に未署名・不正なソフトウェア（マルウェア含む）の読み込みをUEFIファームウェアレベルでブロックする機能で、Windows 11の必須要件でもある。この証明書が期限切れになると、Secure Bootが正常に機能しなくなるリスクがある。

Microsoftはこの期限に向けて「Secure Boot 2023」という新しい証明書セットへの移行を推進しており、KB5089549はその準備の一環としてC:\Windows\SecureBootフォルダを対象デバイスに作成する。

フォルダの中身——7本のPowerShellスクリプト

SecureBootフォルダには、Microsoft製の7本のPowerShellスクリプトが格納されている。これらはあくまでIT管理者向けのツールであり、単独では何も変更しない。

主要なスクリプトは以下の2本だ：

• Detect-SecureBootCertUpdateStatus.ps1 — 新しい2023証明書がインストール済みかどうかを確認し、JSON形式で結果を出力する
• Enable-SecureBootUpdateTask.ps1 — 証明書を実際に適用するWindowsスケジュールタスクが有効になっているかを確認・有効化する

注意点として、このフォルダはWindows 11 Homeを含む全エディションのデバイスに展開されている。Secure Boot 2023証明書がすでに適用済みの仮想マシンにも作成が確認されている。

一般ユーザーとIT管理者、それぞれがすべきこと

一般ユーザーはこのフォルダを触る必要はまったくない。Secure Boot 2023証明書は、対応ファームウェアを持つデバイスであればWindows Updateの累積更新適用と再起動（1〜2回）によって自動的に更新される。

IT管理者・企業環境では、このスクリプトが活用できる。特に大規模なフリートを管理している場合、Detect-SecureBootCertUpdateStatus.ps1でデバイスごとの証明書適用状況をJSONで収集し、Intune等の管理ツールと組み合わせて一括把握することが可能だ。

証明書の適用状況の確認方法

「Windows セキュリティ」アプリを開き、「デバイス セキュリティ」→「セキュア ブート」を確認する。

• 緑（問題なし）: Secure Boot 2023証明書が適用済み
• 黄（注意）: 対応中または部分適用
• 赤（警告）: 証明書の更新が必要、またはデバイスが非対応

見逃せないリスク——古いファームウェアのデバイス

Microsoftは「対象デバイス」と表記しているが、これには重要な但し書きがある。ファームウェアが古いデバイスでは、Secure Boot 2023証明書の適用に失敗するケースが多数報告されている。Microsoftがこれらの非対応デバイスへの対応策を打ち出すかどうかは現時点では不明だ。

企業内に古いPC資産が残っている場合、2026年6月までに棚卸しを行い、非対応デバイスを特定しておく必要がある。

実務への影響——日本のエンジニア・IT管理者が今すぐやること

• フォルダの確認: C:\Windows\SecureBootが存在しても削除しない。将来の更新で活用される可能性がある
• ファームウェア更新の確認: PCメーカーのサイトでUEFI/BIOSの最新バージョンを確認し、必要であれば適用する
• 企業フリートの状況把握: Detect-SecureBootCertUpdateStatus.ps1をIntuneのリメディエーション機能等で一括実行し、対応状況をJSON収集する
• 期限（2026年6月）のカレンダー登録: 自動更新に任せるにしても、デッドラインを把握しておく
• ドキュメント更新: Microsoftは当初リリースノートにフォルダ作成の記述がなく、後から追記した。公式文書は常に「最新版」を参照する習慣を

筆者の見解

Secure Boot証明書の自動失効という期限があるにもかかわらず、Microsoftが当初のリリースノートにこの「SecureBoot」フォルダの説明を含めなかったのは、コミュニケーションとしてはもったいない対応だったと感じる。ユーザーや管理者が「謎のフォルダ」として混乱するのは当然であり、最初から「Secure Boot証明書更新準備のためのフォルダ」と明示しておくべきだった。

とはいえ、技術的な方向性は正しい。Secure Bootの証明書をWindowsUpdateと再起動で自動更新する仕組みを整え、IT管理者向けには診断スクリプトで状況を可視化できるようにする——このアプローチ自体はエンタープライズ運用の現実を踏まえた設計だと評価できる。

気になるのは、古いファームウェアのデバイスへの対応が明示されていない点だ。2026年6月の証明書失効は全デバイスに等しく訪れる。ファームウェアが更新できない古いPCが企業内に大量に存在する日本のエンタープライズ環境では、この問題が意外と深刻なケースも出てくるだろう。「Windows Securityアプリで確認できるから大丈夫」という案内だけでは、管理者が気づいたときには手遅れになるシナリオも否定できない。

Secure Bootはブート時のマルウェアをUEFIレベルでブロックする重要な防衛線だ。期限に間に合うよう、今のうちにデバイスの棚卸しを進めることをお勧めしたい。

出典: この記事は Microsoft confirms the new Secure Boot folder in Windows 11 isn’t a bug, you don’t need to delete it の内容をもとに、筆者の見解を加えて独自に執筆したものです。