dynabook

dynabook.com > サポート > お知らせ > Windows セキュアブート証明書の有効期限切れについて

2026年2月17日

お客様各位

Dynabook株式会社

Windows セキュアブート証明書の有効期限切れについて

平素よりDynabook製品をご愛顧いただき、まことにありがとうございます。

この度、マイクロソフト社より、2026年6月以降にWindowsのセキュアブート証明書の有効期限が切れるとの案内がございました。詳細については、下記のサポートサイトをご確認ください。

Windows セキュア ブート証明書の有効期限と CA 更新プログラム - Microsoft サポート

本ページでは、個人のお客様向けに、Windowsのセキュアブート証明書の有効期限切れについての概要や、考慮すべき内容についてご案内いたします。

対象機種

Windows 11 25H2プレインストールモデルおよびWindows 11 24H2プレインストールの一部のモデル(dynabook BA/ZY、BA86/VA、RA/ZY、RA73/V、XA/ZY、XA74/VY)には、新しいセキュアブート証明書が出荷時からインストールされており、有効期限切れの対象とはなりません。

その他のWindows 11 24H2以前のプレインストールモデルは、セキュアブート証明書の有効期限切れの対象となります。

セキュアブートとは

セキュアブートは、PCの起動時に信頼できるソフトウェアだけを実行する仕組みです。
起動時にソフトウェアが正しいデジタル署名で認証されていることを確認することで、安全に起動できるようにする機能です。

用語説明

セキュアブート証明書の仕組みを理解するために、以下の関連用語を簡単に説明します。

  • KEK(キー登録キー):
    PCのハードウェア側にあり、DBやDBXを更新できる権限を持つキーです。
  • DB(セキュアブート署名データベース):
    PCのハードウェア側にあり、起動を許可された署名が登録されているデータベースです。
  • DBX(セキュアブート失効署名データベース):
    PCのハードウェア側にあり、起動を拒否された署名が登録されているデータベースです。
  • ブートマネージャー:
    PCのWindows OS側にあり、Windowsの起動を制御する仕組みです。ブートマネージャーも証明書によって署名されており、DBの証明書との整合を確認してWindowsが起動するようになっています。

有効期限切れになる証明書と新しい証明書

1.KEKにある証明書

  • 現在の証明書「Microsoft Corporation KEK CA 2011」は、2026年6月に有効期限切れになります。
  • 新しい証明書「Microsoft Corporation KEK 2K CA 2023」は、順次、Windows Updateを通じて配信されます。

2.DBにある証明書

  • 現在の証明書「Microsoft Windows Production PCA 2011」は、2026年10月に有効期限切れになります。
  • 新しい証明書「Windows UEFI CA 2023」は、順次、Windows Updateを通じて配信されます。

従来のブートマネージャーは「Microsoft Windows Production PCA 2011」によって署名されています。
DBに「Microsoft Windows Production PCA 2011」があれば、それと整合確認を取ってWindowsが起動します。

図1

新しいブートマネージャーは「Windows UEFI CA 2023」によって署名されます。順次、Windows Updateで新しい署名に切り替わります。

セキュアブート証明書の有効期限切れに関連する問題

ブートマネージャーが「Windows UEFI CA 2023」によって署名されているにも関わらず、DBに「Windows UEFI CA 2023」が存在しない場合、整合確認が取れず、Windowsが起動できなくなります。この問題は、意図的にセキュアブートの証明書をリセットしない限り発生しません。

図2

DBXに「Microsoft Windows Production PCA 2011」が登録されると、「Microsoft Windows Production PCA 2011」によって署名されたブートマネージャーは起動を拒否されるようになります。

将来的には、DBXに「Microsoft Windows Production PCA 2011」が登録される予定ですが、具体的な時期は未定です。

図3

このように、各証明書が順次有効期限切れを迎え、新しいものに切り替わる必要があります。2026年6月までに各証明書の更新が必要です。

セキュアブート証明書の有効期限が切れただけでは、PCの起動には影響しませんが、証明書の更新や入れ替えができなくなる場合があり、将来的にセキュリティのリスクが生じる可能性があります。

また、将来的に証明書が拒否された場合、PCが起動できなくなる恐れがあります。

個人のお客様が考慮すべきこと

各証明書の更新は、Windows Updateを通じて自動的に配信されますので、OS環境を常に最新の状態にしておけば、特に考慮すべきことはありません。

ただし、BIOSについては、最新バージョンをインストールすることをおすすめします。

<BIOSの更新について>

以下のいずれかの操作でBIOSをバージョンアップすることができます。

方法1:当社サイトからBIOSモジュールをダウンロード

当社サイトの「ダウンロード」ページで、「モジュール型番検索」にご使用のPCの型番を入力して検索し、対象のBIOSが見つかれば、手順にしたがってバージョンアップを行ってください。

方法2:「Windows Update」を利用

「Windows Update」の「オプションの更新プログラム」に「Dynabook Inc. - Firmware - xxx.xxx.x.x」や「Dynabook Inc. Driver Update(xxx.xxx.x.x)」が配信される場合があります。これを選択して「ダウンロードとインストール」を行ってください。

「Windows Update」更新プログラムを今すぐ確かめる方法<Windows 11>

画面例1
【画面例1】

画面例2
【画面例2】

将来的に、DBXに「Microsoft Windows Production PCA 2011」が登録された後に、従来のブートマネージャーで作成されたリカバリーメディアを使用してリカバリーを行う場合、特定の手順が必要となります。詳細については、別途ご案内する予定です。

参考情報

KEK、DB、ブートマネージャーを手動で更新することは、技術的には可能です。手順については、マイクロソフト社のサイトで紹介されています。上級者向けの内容となるため、必要に応じて参考にされることをおすすめします。なお、Windows Updateを実行している場合は、手動での更新は不要です。

セキュア ブートのレジストリ キー更新プログラム: IT で管理された更新プログラムを含む Windows デバイス - Microsoft サポート

下記のマイクロソフト社のサイトでは、各証明書の更新状態を確認する方法が紹介されていますので、あわせてご参考にしてください。

CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法 - Microsoft サポート

本件に関するお問合せ窓口

dynabook あんしんサポート(使いかた相談窓口)

下記窓口にお電話の上、「*」「1」を選択後、自動音声ガイダンスに従って番号を選択してください。
※電話番号は、おまちがえのないようお確かめの上、おかけいただきますようお願いいたします。

  • TEL:
    [固定電話からのご利用は] 0120-97-1048 (通話料無料)
    [携帯電話・PHSからのご利用は] 0570-66-6773 (通話料お客様負担)
    [海外から・一部のIP電話などからのご利用は] 043-298-8780(通話料お客様負担)
  • 営業時間:
    9:00~18:00(休業日:12/31~1/3を除く)

なお、本掲載内容は予告なしに変更される場合がございますので、あらかじめご了承ください。

以上