古いパソコンにWindows11 25H2を入れています。
- CPU:i7-3770K
- マザーボード:P8Z77-V DELUXE
- セキュアブートの状態:有効
の場合、2026年6月以降、セキュアブート証明書の失効によりPCが安全に起動できなくなる可能性があります。
※実際には各パソコンで失効が反映される時期は6〜10月と幅があります。
実際にパソコンが起動できなくなるタイミングは、Microsoftによって古いセキュアブート証明書が DBX(拒否リスト)に登録・配信された後にその更新が各パソコンに反映された時点になります。
DBX の登録時期は現時点では未定であり反映タイミングにも個体差があるため、2026年6〜10月に即座に起動不能になるとは限りません。
なお、影響を受けるパソコンが世界中で数億台規模にのぼるとされているため、Microsoftが DBX(拒否リスト)への登録・配信を慎重に進め、実際の反映時期が数か月〜1年程度ずれ込む可能性も指摘されていますが、現時点ではMicrosoftから延期に関する公式な発表はありません。
ただし、2026年6月までにセキュアブート関連の更新を完了させないと、2026年6月以降は更新できない可能性が高いです。
この問題は「Windows UEFI CA 2011」の証明書が失効し、「Windows UEFI CA 2023」の証明書へ移行することが原因です。
当ページは何度も追記したので長文になってしまいました。
当ページの内容を大まかにまとめますと、以下の通りです。
メーカー製PC・自作PCともに、パソコンメーカー・マザーボードメーカーから
- UEFI CA 2023対応のBIOS
が公開・提供されれば、そのBIOSに更新するだけでセキュアブート関連はすべて解決でき、当ページ記載の手動更新(ps1/cmd)を実行する必要はありません。
また、比較的新しいパソコン・比較的新しいマザーボードの場合は、Windows Updateだけでセキュアブート関連が自動で更新される可能性があります。
■注意■
BitLockerが有効な環境では、BIOSを更新すると回復キーの入力が求められる場合があります。
BIOS更新前に必ず回復キーの保管場所を確認してください。
あるいは、BIOS更新時に一時的に「セキュアブート:無効」にしておくと、更新失敗やBitLockerの発動を防ぎやすくなります。
BIOS更新完了後に再度「セキュアブート:有効」に戻してください。
- UEFI CA 2023対応のBIOSが公開・提供されない場合
- 比較的新しいパソコン・比較的新しいマザーボード以外、いわゆる古いパソコンの場合
は以下の通りです。
■メーカー製PCの場合
2026年6月までなら、メーカー製PCでも後述の当ページ記載の手動更新(ps1/cmd)およびその後のWindows Updateによって、セキュアブート証明書の更新とbootmgfw(ブートマネージャー)の更新の両方が可能ですが、2026年6月以降はメーカー製PCはセキュアブート関連の更新は原則不可能です。※ごく一部例外あり
● 2026年6月まで → Windows から UEFI に更新を指示できる(=メーカー製PCでもセキュアブート関連の更新が可能)
理由はシンプルで、2026年6月までは古い「Windows UEFI CA 2011」のセキュアブート証明書がまだ有効であり、Windows は「CA 2011で署名された更新パッケージ」を使って UEFI の Secure Boot Keys(PK/KEK/DB/DBX)を書き換えることができます。
つまり
- 2026年6月までは、Windows が UEFI に書き込む権限を持っている
ので、メーカー製PCでも2026年6月までであれば、後述の当ページ記載の手動更新が成功する可能性があります。
ただし、メーカー製PCは自作PCよりも UEFI の実装が厳格で制限が多いため、2026年6月までであっても手動更新が成功しないケースもあり、自作PCと比べると成功しにくい傾向があります。
● 2026年6月以降 → 「Windows UEFI CA 2011」の信頼が無効化される(=Windows が更新できなくなる)
2026年6月以降は、
- CA 2011の署名が無効化される
- Windows Update が使う更新パッケージも CA 2011で署名された更新パッケージでは通らない
- 結果として、Windows は UEFI に Secure Boot Keys を書き込めなくなる
つまり
- 2026年6月以降は、Windows が Secure Boot Keys を更新する権限を失う(= 更新できない)
メーカー製PCは Custom Mode がないため、
- Windows Update経由でのセキュアブート更新も使えない
- Custom Mode も使えない
- USBメモリを使った、当ページ記載の手動登録もできない
以上のことから、2026年6月以降はメーカー製PCはセキュアブート関連の更新は原則不可能です。
ただし、ごく一部例外があり、以下のような 例外的に柔軟な機種も存在します。
- HP・Dellの一部ビジネス向けモデル
- 富士通「ESPRIMO」の一部
- NEC「Mate」「VersaPro」の一部
これらの機種では、当ページ記載のSecure Boot Keys の手動登録や Custom Mode が利用でき、自作PCに近い柔軟性を持つ場合があります。
■注意■
手動登録は、UEFI 内部に CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)がすでに存在している場合にのみ意味があります。
CA 2023 が存在しないパソコンでも手動登録自体は実行できますが、登録できるのは古い CA 2011 だけなので、セキュアブートの更新手段としては無意味です。
これらの機種の場合、自作PCの箇所を参考に手動更新にてセキュアブートの更新をしてください。
それ以外のメーカー製PCでは、2026年6月以降はセキュアブート関連の更新が不可能となり、「セキュアブート:無効」で運用するしか方法がありません。
ただし、
- 「セキュアブート:無効」にすれば2026年6月以降も必ずパソコン起動できる、とは限らない
- 「セキュアブート:無効」にするとセキュリティ的にかなり脆弱になる
という点に注意が必要です。
■自作PCの場合
自作PCの場合、2026年6月までなら「セキュアブート:有効」のままで、後述の当ページ記載の手動更新(ps1/cmd)およびその後のWindows Updateによってセキュアブート関連の更新が可能、つまりセキュアブート証明書の更新とbootmgfw(ブートマネージャー)の更新の両方が可能です。
2026年6月以降でも、自作PCの場合は
- 一度セキュアブートをオフにしてWindowsを起動し、当ページ記載の手動更新を実行してから、再度セキュアブートをオンにする
という手順およびその後のWindows Updateによってセキュアブート関連が更新できる可能性もゼロではありませんが、この手法が成功するかどうかはマザーボードや環境に強く依存する、つまり機種依存なので、失敗する可能性も十分にあります。
※一般的にASUS・Gigabyte・MSI・ASRockなどの自作向けマザーボードでは成功する可能性がありますが、ビジネス向けモデルや最新の厳格なUEFI実装では失敗するリスクがあります。
後述しますが、私の予想では2026年6月以降に自作PCにて当ページ記載の手動更新が成功する確率はかなり低い気がします。
失敗した場合は
- 当ページ記載の手動登録で更新する
- 「セキュアブート:無効」で運用する
の2択しか残されていません。
ただし、
- 手動登録は難易度が非常に高く、失敗すると起動不能(文鎮化)になるリスクがある上に、セキュアブートの更新手段つまり一般的な「セキュアブート更新(CA 2011 → CA 2023)」の手段としては無意味です。
- 「セキュアブート:無効」にすれば2026年6月以降も必ずパソコン起動できる、とは限らない
- 「セキュアブート:無効」にするとセキュリティ的にかなり脆弱になる
という点に注意が必要です。
■注意■
手動登録は、UEFI 内部に CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)がすでに存在している場合にのみ意味があります。
CA 2023 が存在しないパソコンでも手動登録自体は実行できますが、登録できるのは古い CA 2011 だけなので、セキュアブートの更新手段としては無意味です。
「2026年6月以降でも更新できるかも」なら、「別に急いで更新する必要もないか!」はこの上なく危険です。
2026年6月以降に自作PCにて手動更新が成功する確率はかなり低い気がします。
以下、その理由です。
自作PCの場合は
- 「セキュアブート:有効/無効」を自由に切り替えることが可能である
- BIOSに「Custom Mode」が存在している
ので、たいていの自作PCであれば2026年6月以降も
- 一度セキュアブートをオフにしてWindowsを起動し、当ページ記載の手動更新(ps1/cmd)を実行してから、再度セキュアブートをオンにする
という当ページ記載の手動更新およびその後のWindows Updateによって、セキュアブート証明書の更新およびbootmgfw(ブートマネージャー)の更新が可能な場合があります。
ただし、条件次第では自作PCでも2026年6月以降に手動更新しても機能しない、つまり更新できなくなる可能性もあります。
「セキュアブート:無効」にしても2026年6月以降にWindowsを起動できない自作PCというのは、
- ケース①:bootmgfw 自体が壊れている
- ケース②:BCD(ブート構成)が壊れている
- ケース③:EFIパーティション異常
- ケース④:中途半端な更新状態 ←■これが問題
という場合は、
- 2026年6月以降に自作PCでも「セキュアブート:無効」にしてもWindowsを起動できない
- Windowsを起動できても手動更新でセキュアブート関連を更新することはできないです。
のどちらかです。
| 状態 | 発生確率 |
|---|---|
| 完全成功 | 多い |
| 軽い不整合 | 普通にある(←■これが問題) |
| 深刻な不整合(起動不可) | 低いが現実的に起こる(←■これが問題) |
これらのトラブルはセキュアブート関連の更新作業中や設定変更時には比較的起こる可能性があるトラブルです。
そのため、
- 「セキュアブート:無効」にすれば2026年6月以降も必ずパソコン起動できる、とは限らない
- 「セキュアブート:無効」にするとセキュリティ的にかなり脆弱になる
という点に注意が必要です。
つまり2026年6月以降は自作PCでも手動更新が高確率で失敗し、手動登録も意味がなく、最終的に「セキュアブート:無効」で運用するしか方法がありません、という状況に陥る可能性が高いです。
以上のことから、2026年6月までに、
- UEFI CA 2023対応のBIOSへの更新
- Windows Update による自動更新
- 当ページ記載の手動更新(ps1/cmd)
のいずれかの方法で、セキュアブート関連を更新しておくことを強く推奨します。
特に自作PCの場合、Windows上から安全に更新できるのは2026年6月までです。
- 事前確認
- ■セキュアブート証明書の更新手順
- セキュアブート証明書の有効期限がちゃんと更新されているか、確認する
- 「セキュアブートの状態:有効」の注意点
- ■2月16日 追記■セキュアブート証明書の更新だけでは不十分です。
- 【参考】セキュアブート証明書の更新とbootmgfw(ブートマネージャー)の更新の両方が必要な理由
- 最終確認※私のパソコンの場合
- 【3月11日 追記】EFI パーティション・セキュアブート・セキュアブート回復メディアの補足説明
- ■3月16日 追記■【医療現場向け】セキュアブート2026問題:Windows8・8.1・10の注意点まとめ
- 【最悪の場合】どうしても対処できない場合
- ■3月27日 追記■2026年6月以降にセキュアブート証明書の更新あるいはbootmgfw(ブートマネージャー)の更新をする場合
- ■特殊ケース専用・非推奨■【手動登録】UEFI Custom Mode を使って Secure Boot Keys(PK/KEK/DB/DBX)を復旧する方法
- よくある質問
- セキュアブートを維持するための保全策・注意点
- ■4月18日 追記■【未確定】自作PCは、2026年6月以降もセキュアブートを更新できる可能性が(わずかに)あります。※Custom Mode 搭載のマザーボードのみ
- 参考サイト
以下、古いパソコンのセキュアブート証明書を手動で更新する手順です。
■注意■
BIOSの値変更・設定変更を間違えると、最悪パソコンが起動できなくなりますのでご注意ください。
&
以下の手順を実行される場合は、自己責任でお願いします。
m(_ _)m
事前確認
【事前確認その1】まずは最新BIOSを確認してください
理論上というか理想は、メーカー製パソコン・マザーボードメーカーから
- UEFI CA 2023対応のBIOS
が公開・提供されればそのBIOSに更新するだけでセキュアブート関連はすべて解決でき、当ページ記載の手動更新を実行する必要はありません。
しかし実際は以下の通りです。
■メーカー製PCの場合(NEC・富士通・HP・Dellなど)
メーカー製PCの大半は「UEFI CA 2023対応のBIOS」を提供しない可能性が高く、後から Secure Boot Keys を更新できないケースがほとんどです。
※一部の法人向けモデルなどを除く
■自作PCの場合(ASUS・Gigabyte・MSI・ASRockなど)
●比較的新しいマザーボードの場合
「UEFI CA 2023対応のBIOS」が提供される可能性があり、提供された場合は BIOS 更新だけで問題が解決します。
●古いマザーボードの場合
「UEFI CA 2023対応のBIOS」が提供される可能性は極めて低いため、当ページ記載の手順にてセキュアブート関係の諸々を更新することを強くオススメします。
まとめると、メーカー製PCは対応BIOSが提供されない可能性が高く、自作PCは比較的新しいモデルであれば対応BIOSが提供される可能性があります。
古い自作マザーボードの場合は、当ページの手順による手動更新が必要になります。
【事前確認その2】GPTか確認する※MBRだとダメ
WindowsをインストールしてあるディスクがMBRだと、以下の手順を進めるのは無理です。
MBRではUEFIセキュアブートが使えないため、GPTである必要があります。
Winキーをクリックして「コンピューターの管理」と入力、表示された「コンピューターの管理(たぶん2つ表示あり、どちらでもOK)」をクリックして起動します。
↓
ディスクの管理
↓
Windows11の入っているディスク(ディスク 0 とか)を右クリックして「プロパティ」をクリック
↓
「ボリュームタブ」にて
- パーティションのスタイル:GUID パーティション テーブル(GPT)
となっていればOKです。
GPTではなくMBRとなっている場合は、MBRをGPTに変換する必要があります。
※MBRをGPTに変換する方法・ツールは、検索すれば色々見つかると思います。
【事前確認その3】BIOS設定が「セキュアブート:有効」か、を確認する
Winキー + Rキー で「msinfo32」と入力してエンターで、システム情報が起動します。
後述のセキュアブート証明書の更新手順を進めるにあたって、
- BIOSモード:UEFI
- セキュアブートの状態:有効
にする必要があります。
- セキュアブートの状態:無効
になっている場合はBIOSで有効に変更する必要があります。
ASUSの古いマザーボードの場合、BIOSに入ったら、起動タブにて
- CSM:Disable(AutoでもOKな場合もあります)
- OS Type:Windows UEFI Mode
にして、F10キーでBIOS設定の保存をして再起動します。
■注意■
WindowsをインストールしてあるディスクがMBRの状態でBIOS設定にてCSM:DisableにするとWindowsを起動できませんので、CSM:Disableとする前にMBRをGPTに変換する必要があります。
MBRをGPTに変換したらその後パソコンを再起動してBIOS設定にてCSM:Disableにします。
&
CSM(Compatibility Support Module)を無効にすると、古いOSや一部のUSB起動メディアが起動できなくなる場合があります。
本記事はWindows 11環境を前提とした内容ですが、他OSとのデュアルブートなどを行っている場合はご注意ください。
&
また、MBRからGPTに変更した場合はBIOS設定の起動タブの「起動オプションの優先順位」にて
- Windows Boot Manager
を先頭あるいはDVDドライブ・USBドライブ等の次に変更する必要があります。
■セキュアブート証明書の更新手順
に記載されている、以下の3つのスクリプト
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
のコードをそれぞれコピペして各「ps1」ファイルを作成し(※1)、Dドライブ直下やデスクトップに移動します。
※1 デスクトップ等で右クリック → 新規作成 → テキスト文書にてtxtファイルを作成し、上記各「ps1」ファイルの内容をコピペして保存、その後「名前の変更」で「check-securebootdb.ps1」等、それぞれのファイル名に変更します。
■参考■
「C:\Program Files\check-securebootdb.ps1」では正常に動作しない可能性があります。
上記3つのps1ファイルを「Program Files」や「C:\」直下など、アクセス制限のある場所に保存すると、実行できない、あるいはUAC(ユーザーアカウント制御)によって実行時にエラーが出る可能性があります。
「デスクトップ」や「C:\Users\ユーザー名\SecureBootScripts」など、アクセス制限に引っかからない場所に保存するのが安全です。
↓
管理者権限のPowerShellにて
- check-securebootdb.ps1のフルパス
を実行
↓
続けて、念の為、
- allowautoupdate-securebootdb.ps1のフルパス
を実行
↓
続けて、
- updatenow-securebootdb.ps1のフルパス
を実行して、PCを2回再起動します。
↓
セキュアブート証明書の有効期限がちゃんと更新されているか、確認する
再度、管理者権限のPowerShellにて
- check-securebootdb.ps1のフルパス
を実行
SecureBoot: ON
SecureBoot DB already been updated. Nothing to do any ore.
と表示されていれば、セキュアブート証明書の有効期限が更新されています。
※「any ore」は「any more」のタイプミスかと思います。
画像キャプチャし忘れました、すみません。
■その他の参考記事■
ここまでの作業でセキュアブート証明書の更新作業は完了ですが、以下は念の為の確認です。
念の為さらに確認する
念の為、管理者権限のPowerShellにて
- [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
を実行
実行結果にTrue と書いてあれば、セキュアブート証明書の有効期限が更新されています。
あるいは、さらに念の為、
の自作確認ツール「Windows セキュアブート証明書チェッカー」をダウンロードして SBCertificateChecker.exe を実行
↓
「確認開始」をクリックするとセキュアブート証明書のチェックが自動で始まります。
結果:新しい証明書(2023年版)が見つかりました
【Windows UEFI CA 2023】 - 有効期限: 2035年6月
*【Microsoft Corporation UEFI CA 2011】 - 有効期限: 2026年6月
のように「Windows UEFI CA 2023」等の新しい証明書があればセキュアブート証明書の有効期限が更新されています。
■注意■
*【Microsoft Corporation UEFI CA 2011】のように「*」が付いた証明書は古い証明書ですが、互換性維持のため削除する必要はありません。
新しい証明書(【Windows UEFI CA 2023】)が追加されていれば、これらの古い証明書はそのまま残しておくのが正しい対応です。
※古い証明書は一部の古いブートローダーやインストールメディアとの互換性を保つために必要です。削除すると一部の環境で起動できなくなる可能性があります。
「セキュアブートの状態:有効」の注意点
私は今までBIOS設定で
- セキュアブートの状態:無効
だったのを、今回のセキュアブート証明書の更新作業で
- セキュアブートの状態:有効
にしました。
- セキュアブートの状態:有効
にすると
- 古いハードウェアや特定のソフトウェアが利用できなくなる
などの互換性の問題が発生するみたいですが、プリンターも使えているのでひとまず
- セキュアブートの状態:有効
のままにして様子見中です。
・
・
・
と思いましたが、
- セキュアブートの状態:有効
にしたままだと、バックアップソフトで普段バックアップし続けておいて、万が一OSが入ったディスク丸ごと復元することになった場合に、
一時的にBIOS設定で
- セキュアブートの状態:無効
にしてバックアップソフトで復元しないと失敗する可能性がある
&
古いUSBブートメディア(Linux系や古いバックアップツール)が起動できない可能性がある
らしいです。
ですので、元の無効に戻すか・有効のままにしておくか、悩むところです><
ひとまず有効のまま様子を見ようと思います(´・ω・`)
バックアップソフトで復元する時だけ、BIOSにて
- セキュアブート:無効
にしてバックアップソフトで復元、その後
- セキュアブート:有効
にすればOKみたいなので、現状
- セキュアブート:有効
のままにしてあります。
■2月16日 追記■セキュアブート証明書の更新だけでは不十分です。
私のパソコン(古いマザーボード)はセキュアブート:有効 のままです。
この記事のここまでの段階で、
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
を実行して、古いマザーボードにてセキュアブート証明書を更新し、2つのセキュアブート証明書
【Windows UEFI CA 2023】 - 有効期限: 2035年6月
*【Microsoft Corporation UEFI CA 2011】 - 有効期限: 2026年6月
がある状態です。
セキュアブート証明書だけに関して言えばこれでOKですが、これだけでは不十分です。
つまり、古いマザーボードで「セキュアブート:有効」のまま2026年6月以降に正常にパソコンを起動するためには、セキュアブート証明書を更新しただけでは不十分です。
古いマザーボードの場合はセキュアブート証明書の更新に加えてbootmgfw(ブートマネージャー)も更新する必要があります。
■【2026年6月まで】古いマザーボードで「セキュアブート:有効」のまま正常にパソコンを起動するための更新・全手順■
2026年6月までに古いマザーボードで「セキュアブート:有効」のまま正常にパソコンを起動するための更新・全手順、つまり「当ページ記載の手動更新」は以下の通りです。
■注意■
以下の
■【2026年6月まで】「セキュアブート:有効」のまま諸々を更新する全手順■
は、「2026年6月まで」の手順ですのでご注意ください。
「2026年6月以降」の手順は
■3月27日 追記■2026年6月以降にセキュアブート証明書の更新あるいはbootmgfw(ブートマネージャー)の更新をする場合
あるいは
■【2026年6月以降】自作PCでの更新・復旧・再更新の共通手順■
をお読みください。
※「2026年6月まで」の手順とほとんど同じですが、少しだけ異なります。
■【2026年6月まで】「セキュアブート:有効」のまま諸々を更新する全手順■
管理者権限のPowerShellにて
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
を実行する※■この段階で「セキュアブート証明書の更新」は完了です。
↓
パソコンを再起動する
↓
後述の「Check-UEFISecureBootVariables」一式をダウンロードして解凍する
↓
管理者権限でCheck Windows state.cmdを実行する
↓
「bootmgfw signature CA : Windows UEFI CA 2023」と表示されれば全て完了
※■この段階で「bootmgfw(ブートマネージャー)の更新」が完了となります。
ダメなら、上記3つのps1に加えて、
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
を管理者権限で実行する
↓
パソコンを再起動する
↓
管理者権限でCheck Windows state.cmdを実行する
「bootmgfw signature CA : Windows UEFI CA 2023」と表示されれば全て完了
※■この段階で「bootmgfw(ブートマネージャー)の更新」が完了となります。
後述のCheck Windows state.cmdにて、 bootmgfw signature CA : Windows UEFI CA 2023 と表示されれば全手順の作業完了です。
当ページ記載の手動更新(ps1/cmd)が実際にやっていること
上記の当ページ記載の手動更新が実際にやっていること(正確な動作)は以下の通りです。
✔ ① Windows の Secure Boot API を使う
PowerShell スクリプトは、
- Set-SecureBootUEFI
- SetFirmwareEnvironmentVariableEx
などの UEFI Runtime Services を呼び出します。
これは UEFI の NVRAM に直接書き込む API です。
✔ ② Windows Update のパッケージを利用する
ただし、書き込むデータ(CA 2023 の KEK/DB/DBX)は、
- Windows Update が提供する更新パッケージ
- Microsoft が署名した UEFI 変数更新データ
を利用しています。
つまり
- データは Windows Update 由来
- 書き込みは PowerShell が直接行います。
これが正しい理解です。
✔ ③ だから 2026年6月までは動く
2026年6月までは「CA 2011 の署名」がまだ有効なので、
- Windows Update の更新パッケージが UEFI に受理される
- PowerShell が UEFI に書き込める
✔ ④ 2026年6月以降は動かなくなる
2026年6月以降は順次 CA 2011 が無効化されるため、
- Windows Update の更新パッケージが UEFI に拒否される
- PowerShell が書き込もうとしても UEFI が拒否する
つまり、当ページ記載の手動更新(ps1/cmd)は「Windows Update の署名に依存している」ため、2026年6月以降は「セキュアブート:有効」かつセキュアブート関連がCA 2023対応に更新していない場合は UEFI が受理しなくなる可能性が高いです。
Check-UEFISecureBootVariablesについて
にて、「Code」 → 「Download ZIP」でZIPをダウンロードして解凍したフォルダ内にある
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
の3つは、上のほうにある
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
と同じ目的・ほぼ同じ機能みたいですが、挙動・更新方法の仕組みはかなり違うようです。
■PowerShell(say-tech.co.jpの山内氏)のやり方
- Windows Update と同じ API を使う
- OS標準のやり方
- 古いマザーでは KEK 更新が失敗しやすい
■GitHub(cjee21氏)のやり方
- UEFIの変数に直接書き込む
- より強制的に更新する
- 失敗しにくいが、「say-tech.co.jpの山内氏のやり方」と内容は重複する
の
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
はOS標準に近い挙動で更新を試みるやり方です。
一方
の
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
は、より直接的・強制的に変数を書き換える傾向があるやり方です。
■注意■
最初から一気に
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
および
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
の両方のスクリプト(合計6つ)を実行する必要はありません。
あくまで
管理者権限のPowerShellにて
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
を実行する
↓
パソコンを再起動する
↓
管理者権限でCheck Windows state.cmdを実行して、「bootmgfw signature CA : Windows UEFI CA 2023」と表示されない場合に限り、さらに
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
を管理者権限で実行します。
↓
その後、再度パソコンを再起動
↓
管理者権限でCheck Windows state.cmdを実行して、「bootmgfw signature CA : Windows UEFI CA 2023」と表示されているか確認してください。
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
はやめて最初から
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
だけを実行すればいいじゃん!って思う方もいるかもしれませんが、そうしてない理由があるのですが話が複雑になるので割愛します。 ←少し下の「【参考】セキュアブート証明書の・・・」の箇所に書きました。
Check Windows state.cmdを実行した際の画像キャプチャです。
bootmgfw signature CA : Windows UEFI CA 2023 と表示されれば全手順の作業完了です。
- セキュアブート証明書を更新
- bootmgfw(ブートマネージャー)を更新
この2つ両方を更新して初めて、古いマザーボードで「セキュアブート:有効」のまま2026年6月以降に正常にパソコン起動できるようになります。
もしどちらか一方でも更新できていない場合は2026年6月以降正常に起動できず、その場合は「セキュアブート:無効」にすればパソコンを起動すること自体は可能です。
なお、古いマザーボードの場合「KEK 2023のエラー」が出続ける場合がありますが、
- 古いマザーボードの制限で正常
- bootmgfwが2023年版なら問題なし
従って、KEK 2023のエラーログは無視してOKです。
【参考】セキュアブート証明書の更新とbootmgfw(ブートマネージャー)の更新の両方が必要な理由
2026年6月以降に古いマザーボードで「セキュアブート:有効」のまま正常にパソコンを起動するためには、当たり前ですがセキュアブートが正常に起動する必要があります。
UEFIが起動時に行うことは、
bootmgfw.efi の署名を読み取る
※bootmgfw.efi は「Windowsブートマネージャー」の本体ファイルです。PC起動時にファームウェアがbootmgfw(ブートマネージャー)を実行し bootmgfw.efi を実行してBCD(ブート構成データ)を読み込み、Windows OSを読み込みます。レガシーBIOS(古い方式)の bootmgr と異なります。
↓
bootmgfw.efiの署名に使われた セキュアブート証明書(CA) が データベース(DBX) に登録されているか確認する
↓
データベースにあれば起動を拒否、なければ許可
↓
bootmgfw.efiの署名に使われた セキュアブート証明書(CA) が データベース(DB) に登録されているか確認する
↓
データベースにあれば起動を許可、なければ拒否
という流れです。
この2段階(DBX → DB)のチェックを通過した場合のみ、bootmgfw.efi が実行され、Windows が起動します。
bootmgfw(ブートマネージャー)が利用するのがセキュアブート証明書です。
このセキュアブート証明書を更新したのが
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
です。
比較的新しいマザーボードの場合は
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
の実行によりセキュアブート証明書を手動で更新しただけで、その後Windows Updateによりbootmgfw(ブートマネージャー)が自動更新される確率が高いです。
しかし古いマザーボードの場合は
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
の実行によりセキュアブート証明書を手動で更新しても、その後Windows Updateによりbootmgfw(ブートマネージャー)が自動更新される確率がかなり低いです。
そのため、管理者権限でCheck Windows state.cmdを実行して bootmgfw signature CA : Windows UEFI CA 2023 と表示されるかどうか確認して、表示されない場合に限り、追加で
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
を実行する必要があります。
まとめると、古いマザーボードの場合はWindows Updateで
- セキュアブート証明書
- bootmgfw(ブートマネージャー)
のどちらも自動では更新されない確率が非常に高いので、
■セキュアブート証明書の手動更新
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
を実行して、古いマザーボードにてセキュアブート証明書を手動で更新し、2つのセキュアブート証明書
【Windows UEFI CA 2023】 - 有効期限: 2035年6月
*【Microsoft Corporation UEFI CA 2011】 - 有効期限: 2026年6月
がある状態にする。
■bootmgfw(ブートマネージャー)の手動更新
比較的新しいマザーボード(2018年頃以降)の場合はセキュアブート証明書の手動更新のみで、その後のWindows Updateによりbootmgfw(ブートマネージャー)が自動で更新されるケースが多いみたいです。
最初から
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
だけを実行せずに、OS標準に近い挙動で更新を試みるやり方
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
を先に実行したのはこれが理由です。
やや古いマザーボード(2016 ~ 2017年頃)の場合は、
セキュアブート証明書の手動更新のみで、その後のWindows Updateにより
- bootmgfw(ブートマネージャー)が自動で更新されるケース
- bootmgfw(ブートマネージャー)が自動で更新されないケース
があるみたいで、マザーボードメーカーによるらしいです。
bootmgfw(ブートマネージャー)が自動で更新されない場合は、以下の手順に従ってください。
古いマザーボード(2012 ~ 2015年頃)の場合は高確率でbootmgfw(ブートマネージャー)が自動更新されないので
管理者権限でCheck Windows state.cmdを実行する
↓
「bootmgfw signature CA : Windows UEFI CA 2023」と表示されれば全て完了
※■この段階で「bootmgfw(ブートマネージャー)の更新」が完了となります。
ダメなら、上記3つのps1に加えて、
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
を管理者権限で実行する
↓
パソコンを再起動する
↓
管理者権限でCheck Windows state.cmdを実行する
「bootmgfw signature CA : Windows UEFI CA 2023」と表示されれば全て完了
※■この段階で「bootmgfw(ブートマネージャー)の更新」が完了となります。
というように、手動でbootmgfw(ブートマネージャー)を更新する必要があります。
最終的に
bootmgfw signature CA : Windows UEFI CA 2023
と表示されればOKです。
| ■セキュアブートが安全に動作する条件 | |
|---|---|
| 項目 | 必須? |
| Secure Boot が Enabled ※Biosの設定 | 必須 |
| DB に 2023 証明書がある ※3つのps1で手動更新 | 必須 |
| bootmgfw が 2023 CA ※Windows Updateで自動更新 あるいは 3つのcmdで手動更新 | 必須 |
| DBX が最新 | 推奨 |
| KEK 2023 | 不要 ※古いマザーボードでは絶対に入らない |
| bootmgr 2011 | あっても問題なし ※削除しない UEFI Secure Boot では使われない |
| memtest 2011 | あっても問題なし ※削除しない セキュアブートのCA更新対象外 |
最終確認※私のパソコンの場合
この記事を書き始めた2025年11月頃に
- check-securebootdb.ps1
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
を実行し、その後しばらくして「■2月16日 追記■」を書いた頃に
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
を実行した私のパソコンでは、2月20日時点で以下のようになっています。
■「Check Windows state.cmd」を実行した際の画像キャプチャです。
bootmgfw signature CA : Windows UEFI CA 2023 と表示されれば全手順の作業完了です。
■「Windows セキュアブート証明書チェッカー」を実行した際の画像キャプチャです。
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
を実行したからなのか、前回「Windows セキュアブート証明書チェッカー」を実行した時と比べて
【Microsoft UEFI CA 2023】 - 有効期限: 2038年6月
【Microsoft Option ROM UEFI CA 2023】 - 有効期限: 2038年10月
の2つが増えていました。
【Windows UEFI CA 2023】 - 有効期限: 2035年6月
だけあればOKです。
■「Check UEFI PK, KEK, DB and DBX.cmd」を実行した際の画像キャプチャです。
2月20日時点
↓
「Microsoft Corporation KEK 2K CA 2023」がX(=存在しない)でも問題ありません。
ASUS・Gigabyte・MSI・ASRock等の古いマザーボードでは絶対に入りません。
Secure Boot の安全性にも影響しません。
・
・
・
とのことみたいです。
警告: Failed to query UEFI variable PKDefault
警告: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft Corporation KEK CA 2011'
警告: Failed to query UEFI variable 'KEKDefault' for cert 'Microsoft Corporation KEK 2K CA 2023'
警告: Failed to query UEFI variable 'KEKDefault'
警告: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Windows Production PCA 2011'
警告: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Corporation UEFI CA 2011'
警告: Failed to query UEFI variable 'dbDefault' for cert 'Windows UEFI CA 2023'
警告: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft UEFI CA 2023'
警告: Failed to query UEFI variable 'dbDefault' for cert 'Microsoft Option ROM UEFI CA 2023'
警告: Failed to query UEFI variable 'DBDefault'
これらの警告は無視してOKです。
古いマザーボードは「Default(初期値)証明書」を UEFI 変数として保持していないので、「Check UEFI PK, KEK, DB and DBX.cmd」を実行してもスクリプトが “Default 値を読み取れないので警告が出る、というだけみたいです。
これは ASUS Z77・Z87・Z97・X79・X99世代のマザーボードでは全てこうなります。
重要なのは “Current” のほうだけです。
■3月29日 追記■
KEKの件を調べていて、ちょっと試しに久しぶりに管理者権限で「Check UEFI PK, KEK, DB and DBX.cmd」を実行したところ、
√ Microsoft Corporation KEK 2K CA 2023
と「Microsoft Corporation KEK 2K CA 2023」も有効になっていて、これで全ての “Current” がチェックON(有効)になりました。
3月29日時点
↓
以前
ASUS・Gigabyte・MSI・ASRock等の古いマザーボードでは絶対に入りません。
と書いたのに、何故「Microsoft Corporation KEK 2K CA 2023」が有効になったのか調べたところ、おそらくWindows Update側のセキュアブート関連の更新処理の改善によるものかと思います。
2023〜2024年頃までは、古いマザーボード(特に初期の UEFI 2.3.1 実装)では、「Microsoft Corporation KEK 2K CA 2023」を UEFI が正しく検証できず、KEK を更新しようとしても書き込み自体を拒否するケースが多く報告されていました。
しかし2025〜2026年にかけて、Windows Update側のセキュアブート関連の更新処理の改善が改善され、古い UEFI 環境でも新しい KEK を受け入れやすくする互換性向上が行われました。
これにより、従来は更新できなかった古いマザーボードでも「Microsoft Corporation KEK 2K CA 2023」が正常に追加されるケースが増えています。
この改善は、UEFI の NVRAM 書き込み API の互換性向上や、新しい KEK(2023 CA)の署名検証ルールの調整などによるものであり、当ページ記載の手動更新(ps1/cmd)が KEK を書き換えるわけではありません。
あくまで Windows Update による自動処理の結果として KEK が追加されます。
繰り返しますが、最終確認は管理者権限でCheck Windows state.cmdを実行して
- bootmgfw signature CA : Windows UEFI CA 2023
が表示されるかどうか、だけでOKです。
この記事の手順にて無事更新できることを願っています。
【3月11日 追記】EFI パーティション・セキュアブート・セキュアブート回復メディアの補足説明
- 事前確認
- ■セキュアブート証明書の更新手順
- セキュアブート証明書の有効期限がちゃんと更新されているか、確認する
- 「セキュアブートの状態:有効」の注意点
- ■2月16日 追記■セキュアブート証明書の更新だけでは不十分です。
- 【参考】セキュアブート証明書の更新とbootmgfw(ブートマネージャー)の更新の両方が必要な理由
- 最終確認※私のパソコンの場合
- 【3月11日 追記】EFI パーティション・セキュアブート・セキュアブート回復メディアの補足説明
- ■3月16日 追記■【医療現場向け】セキュアブート2026問題:Windows8・8.1・10の注意点まとめ
- 【最悪の場合】どうしても対処できない場合
- ■3月27日 追記■2026年6月以降にセキュアブート証明書の更新あるいはbootmgfw(ブートマネージャー)の更新をする場合
- ■特殊ケース専用・非推奨■【手動登録】UEFI Custom Mode を使って Secure Boot Keys(PK/KEK/DB/DBX)を復旧する方法
- よくある質問
- セキュアブートを維持するための保全策・注意点
- ■4月18日 追記■【未確定】自作PCは、2026年6月以降もセキュアブートを更新できる可能性が(わずかに)あります。※Custom Mode 搭載のマザーボードのみ
- 参考サイト
以下、
- セキュアブート証明書の更新作業
- bootmgfw(ブートマネージャー)の更新作業
には不要な内容です。
更新にトラブルがあった場合やセキュアブートの仕組みにご興味ある場合のみ、お読みください。
EFI パーティションに bootmgfw.efi や bootx64.efi がないように見えても正常です。
セキュアブートの情報を調べていると、
- \EFI\Microsoft\Boot\bootmgfw.efi がないのはおかしい、危険
- \EFI\Boot\bootx64.efi の署名も確認すべき
といった書き込みを見かけることがあります。
しかし、これは全てのWindows環境に当てはまるわけではありません。
結論から言うと、
- EFI パーティションに bootmgfw.efi や bootx64.efi が見えなくても完全に正常です。
Windowsには2種類のブート構成があり、どちらもMicrosoftが正式にサポートしている正常な構成です。
以下、少し補足説明します。
■①EFI パーティション(ESP)は通常は見えない領域です。
Windowsの起動に使われるファイルは、Cドライブではなく EFI システムパーティション(ESP) に保存されています。
ESP は通常のエクスプローラーからは見えないため、探しても見つからないのは正常です。
確認したい場合は、管理者権限のコマンドプロンプトで以下を実行します。
mountvol S: /S
dir S:\EFI\Microsoft\Boot\bootmgfw.efi
dir S:\EFI\Boot\bootx64.efiここにあるのが UEFI が実際に起動時に読み込むファイルです。
■②Windowsには2種類のブート構成があります。(後述のパターン1・パターン2のどちらも正常)
Windowsのブート構成はパソコンによって異なり、どちらも正式にサポートされています。
●パターン1:EFI パーティションに bootmgfw.efi がある(一般的。多くのパソコンがこの方式)
\EFI\Microsoft\Boot\bootmgfw.efi
\EFI\Boot\bootx64.efi(フォールバック)
UEFI はまず NVRAM のブートエントリを参照し、次に EFI パーティション内の bootmgfw.efi を探します。
●パターン2:C:\Windows\Boot\EFI に bootmgfw.efi がある(古いパソコンの場合や、Windows の自動修復・再インストール・OEM のカスタム構成・ブートエントリ再構築などでこの構成になることがあります。古いパソコンに限定されません)
C:\Windows\Boot\EFI\bootmgfw.efiこの場合、UEFI の NVRAM に登録されたブートエントリが C:\Windows\Boot\EFI\bootmgfw.efi を直接指している ため、EFI パーティションに bootmgfw.efi がなくても完全に正常です。
Secure Boot の安全性にも影響しません。
パターン1・パターン2のどちらになるかはパソコンのセットアップ方式に依存します。
また、どちらの構成でも Secure Boot の最終判断は同じです。
セキュアブートが起動時に検証するのは、
- 実際に読み込まれる bootmgfw.efi の署名 CA が DB に登録されているか?
だけです。
つまり、管理者権限のCheck Windows state.cmdにて
- bootmgfw signature CA : Windows UEFI CA 2023
と表示されていれば、(EFI パーティションの構成がどうであれ) セキュアブートは完全に安全です。
■③ bootx64.efi は「フォールバック用」であり、通常の起動には使われません。
\EFI\Boot\bootx64.efiは フォールバックブートローダー と呼ばれるもので、
- ブートエントリが壊れた時
- USB や外付け SSD から起動する時
- Linux やマルチブート環境
などで使われるものです。
Windows の通常起動では bootmgfw.efi しか使われません。
そのため、Secure Boot 2026 問題の本質は
- bootmgfw が 2023 CA で署名されているかどうか
つまり、管理者権限のCheck Windows state.cmdにて
- bootmgfw signature CA : Windows UEFI CA 2023
となっているかどうかだけです。
管理者権限のCheck Windows state.cmdにて、すでに
- bootmgfw signature CA : Windows UEFI CA 2023
となっている場合は、セキュアブートの更新は完全に完了しています。
■④ 「bootx64.efi も更新すべき」という意見について
技術的には、
- bootx64.efi も セキュアブート の署名検証対象
- 2026 年以降、古い署名だとフォールバック起動が失敗する可能性がある
という点は正しいです。
ただし、
- 通常のWindows起動には使われない
- Microsoftの公式文書で触れていない
- 一般ユーザーが気にする必要はほぼない
という点も事実です。
■⑤ bootx64.efi を最新化したい場合(任意。基本的には対応不要です。)
もし「フォールバック用も最新にしたい」という場合は、(この記事のコメント返信に同様の内容を書きましたが)
以下のコマンド 1 行で ESP の bootmgfw.efi と bootx64.efi が最新化されます。
bcdboot C:\Windows /l ja-jp※C ドライブに Windows がある場合。これは必須ではなく、あくまで“追加の対策”です。
■誤解されやすいポイント
- EFI パーティションに bootmgfw.efi がない → 正常です。
- bootx64.efi がない → 正常です。
- C:\Windows\Boot\EFI に bootmgfw.efi がある → 正常です。
- 前述のパターン1・パターン2のどちらの構成でもセキュアブートの動作に違いはない
EFI パーティションの構成はパソコンメーカーやマザーボードメーカー、あるいは Windows のセットアップ方式によって異なります。
&
Windows は複数のブート構成をサポートしていて、セキュアブートの起動時に確認するのは、「実際に使われる bootmgfw の署名 CA」だけです。
つまり確認すべき箇所は、管理者権限のCheck Windows state.cmdにて
- bootmgfw signature CA : Windows UEFI CA 2023
のみでOKです。
セキュアブートの起動の仕組みについて
ついでなので、セキュアブートの起動の仕組みについて簡単に説明します。
セキュアブートの仕組み・流れを簡略化すると
UEFI firmware
↓
PK(Platform Key)で Secure Boot が有効化されているか確認
↓
KEK(Key Exchange Key)で更新パッケージの署名を検証
↓
DBX(禁止リスト)で「失効していないか」を確認
↓
DB(許可リスト)で「信頼できる署名か」を確認
↓
bootmgfw.efi(Windows Boot Manager)
↓
Windows 起動
という流れになっています。
bootmgfw が 2023 CA で署名されていても、UEFIはDBの証明書で検証しています。
つまり重要なのは
- bootmgfw が誰に署名されているか
ではなく
- その署名が DB に存在する証明書で検証できるか
です。
多くのブログ記事では
- bootmgfw signature CA : Windows UEFI CA 2023
これを「2023に変わった = 安全」と説明しています。
もちろんこれは正しいのですが、実はセキュアブートの本質はそこではありません。
セキュアブートの本質は
- bootmgfw の署名 CA:Windows UEFI CA 2023 が DB に登録されていることが重要
- Microsoft UEFI CA 2023 は Option ROM 用であり、多くの環境では Windows の起動には必須ではない
です。
例えば
- bootmgfw signature CA : Microsoft Windows Production PCA 2011
のままでもDBX(失効リスト)に「CA 2011」が登録されていなければセキュアブートは正常に通ります。
※DBに「CA 2011」が残っており、かつ、DBXに「CA 2011」が登録されていない場合」に限る
セキュアブートでは「bootmgfw.efi の署名」が直接重要なのではなく、
- UEFI の DB(許可証明書データベース)に、その署名を検証できる証明書が登録されているかどうか
が重要です。
そのため、bootmgfw が 2011 署名のままでも DBX によって失効されていない限り、セキュアブート自体は正常に動作します。
※DBに「CA 2011」が残っており、かつ、DBXに「CA 2011」が登録されていない場合」に限る
なので、厳密に言うと
- CA:2011のままでも起動する場合もある
- でもMicrosoftはCA:2023移行を推奨
という少しややこしい状態になっています。
管理者権限のCheck UEFI PK, KEK, DB and DBX.cmdにて
Current UEFI DB
√ Windows UEFI CA 2023
√ Microsoft UEFI CA 2023
√ Microsoft Option ROM UEFI CA 2023
となっていれば、DBに「Windows UEFI CA 2023」がある状態で、セキュアブート的には完全に2023対応済みです。
さらに管理者権限のCheck Windows state.cmdにて
bootmgfw signature CA : Windows UEFI CA 2023
となっていれば実際の bootmgfw.efi も 2023署名という状態で、理想の状態です。
つまり、
Current UEFI DB
√ Windows UEFI CA 2023
√ Microsoft UEFI CA 2023
√ Microsoft Option ROM UEFI CA 2023
および
bootmgfw signature CA : Windows UEFI CA 2023
となっていれば、セキュアブート2026問題は完全に回避されています。
なお、Check Windows state.cmdの実行結果にある
- WindowsUEFICA2023Capable : Windows UEFI CA 2023 cert is in DB, system is starting from 2023 signed boot manager
これは実は「Windows側の最終判定フラグ」です。
つまり
- Windows的には「このパソコンは2023 Secure Boot対応済み」
という意味です。
「セキュアブート回復メディア」の作成は不要です。
色々調べていると「セキュアブート回復メディア」の作成を推奨しているブログ記事がありますが、Microsoft の公式文書
には
- DBに2023 CAを入れる
- bootmgfwを2023の署名に更新する
これだけで十分とされています。
企業環境向けに「セキュアブート回復メディア」の作成が紹介されているだけで、一般のパソコンに対して「回復メディアを作れ」とは一切書かれていません。
つまり、「セキュアブート回復メディア」の作成を推奨しているわけではありません。
| 項目 | Microsoft 公式の扱い |
|---|---|
| DB に 2023 CA を追加 | ✔ 公式 KB に明記 |
| bootmgfw を 2023 署名に更新 | ✔ 公式ドキュメントに明記 |
| Secure Boot 回復メディア作成 | ❌ 一切書かれていない |
セキュアブートの各証明書(PK/KEK/DB/DBX)は
- マザーボードの NVRAM(不揮発メモリ)
または
- SPI フラッシュ
に保存されており、BIOS初期化(BIOSリセット)では消えません。
※(おおよそ2014年以降のマザーボードであれば)マザーボードのボタン電池が切れても、これらの証明書データが消えることはありません
■注意■
おおよそ2014年以降のマザーボードであればCMOSのボタン電池が切れてもこれらの証明書データが消えることはありませんが、2011〜2013年頃のマザーボードでは注意が必要です。
かなり古い初期のUEFI実装(2011〜2013 年頃)のマザーボードでは、
- Secure Boot の証明書ストア(NVRAM)が CMOSバッテリーの影響を受ける設計になっていた
- NVRAM が CMOS RAM 上に実装されていた、または CMOSクリア時に NVRAM も初期化される設計だった
というマザーボード・機種も存在するみたいです。
この場合、
- 電池切れ → CMOSクリア → Secure Boot Keys(PK/KEK/DB/DBX)が初期化される
という挙動が起きる可能性があります。
ただし、これは 初期UEFI世代に限られ、非常に稀です。
2014年以降の一般的な UEFI マザーボードでは、Secure Boot Keys は SPI フラッシュに保存されるため、電池切れで消えることはありません。
なお、 ASUSのZ77世代は早い時期に「NVRAM を SPI フラッシュに移行」しているため、電池切れでBIOS初期化されてもSecure Boot Keys は残るケースがほとんどらしいです。
BIOS初期化(BIOSリセット)はBIOSの「設定値」が消えるだけで、
- 自分で「Clear Secure Boot Keys」や「Restore Factory Keys」を実行した場合
- BIOSアップデートで Secure Boot Keys が初期化される特殊な機種
※BIOSアップデート時に Secure Boot Keys を初期化するかどうかはメーカー依存ですが、Secure Boot Keys が初期化される BIOS アップデートは“稀”であり、一般的ではありません。 - マザーボードの故障で NVRAM が飛ぶケース(極めて稀)
を除き、セキュアブートの証明書ストアは消えません。
- Secure Boot:Enabled → Disabled に戻ることはある
しかし
- DB/DBX の中身はそのまま残る
つまり、
管理者権限のCheck UEFI PK, KEK, DB and DBX.cmdにて
Current UEFI DB
√ Windows UEFI CA 2023
√ Microsoft UEFI CA 2023
√ Microsoft Option ROM UEFI CA 2023
かつ、管理者権限のCheck Windows state.cmdにて
bootmgfw signature CA : Windows UEFI CA 2023
となっていれば、
- 自分で「Clear Secure Boot Keys」や「Restore Factory Keys」を実行した場合
- BIOSアップデートで Secure Boot Keys が初期化される特殊な機種
- マザーボードの故障で NVRAM が飛ぶケース(極めて稀)
を除き、パソコンが起動不能にはなりません。
BIOS初期化(BIOSリセット)でWindowsが起動しなくなったとしたら、それは証明書が消えたからではなく、CSM(互換モード)が勝手に有効になったせいであることがほとんどです。
その場合は、BIOS画面でCSMを無効(OFF)に戻すだけで解決します。
以上です。
当ページの内容に従って
- セキュアブート証明書の更新
- bootmgfw(ブートマネージャー)の更新
をすれば、古いパソコンでも2026年6月以降も セキュアブート:有効 のままWindows11を起動できます。
&
最悪の場合「セキュアブート:無効」にすればWindows11 自体は起動できます。
・
・
・
ここで記事終了でしたが、さらに追記しました。
■3月16日 追記■【医療現場向け】セキュアブート2026問題:Windows8・8.1・10の注意点まとめ
薬局・歯科・クリニックなどの医療現場では医療系レセコン・調剤システム・その他医療ソフトが古いWindowsに依存しているため、今でもWindows8・8.1・10のパソコンが多く使われています。
そのため、2026年6月に発生する可能性があるセキュアブート証明書の失効問題(通称、セキュアブート2026問題)の影響を受けるケースがあります。
ここでは、医療現場で特に多いWindows8・8.1・10のパソコンについて、状況別に 起動できなくなる可能性 を整理します。
どのOS(Windows8・8.1・10・11)の場合でも、
- ネットに一切接続していない
- USBなどでWindows Updateを適用していない
この2つの条件を満たす場合はセキュアブート証明書が更新されないため、2026年6月以降も「Secure Boot:有効」「Secure Boot:無効」に関係なく、パソコン起動不能にはなりません。
医療現場ではネット非接続のパソコンが多いため、この2つの条件に当てはまる場合はセキュアブート2026問題を放置・無視しても基本的にはOKです。
「Secure Boot:有効」かつネット接続ありの場合
「Secure Boot:有効」かつネット接続ありの場合は2026年6月以降に該当パソコンが起動できなくなる可能性があります。
特に古いUEFIのパソコンでは注意が必要です。
その理由は、Windows UpdateによりUEFIの失効リスト(DBX)が更新され、古い証明書のままではWindowsの起動が拒否されるためです。
●解決方法
- 運が良ければWindows Updateのみで解決します。
- 運が悪いと個別の対応が必要となります。
Windows8・8.1・10はサポート終了していますが、セキュアブートの更新はOSのサポートとは無関係で、Windows Updateにより勝手に自動で適用される場合があります。
また、Windows Updateにより勝手に自動で適用された場合、それで完了の場合とさらに別途の対応が必要な場合があります。
運が良い悪いはパソコンを購入した時期およびマザーボードの種類によって異なり、個別の対応・別途の対応が必要となった場合の解決手順はこのページ記載の解決手順になります。
「Secure Boot:有効」かつ一切ネット接続なしの場合
一切ネット接続なしの場合は、2026年6月を過ぎても勝手に起動しなくなることは基本的にはありません。
ただしUSBなどでWindows Updateを適用している場合は、2026年6月以降にパソコンを起動できなくなる可能性が高く、その場合の解決手順はこのページ記載の解決手順になります。
「Secure Boot:無効」の場合
「セキュアブート:無効」であればセキュアブートの署名チェック自体が無効になるため、今のままでも2026年6月以降も”一応”問題なく起動できます。
ただし、「セキュアブート:無効」の場合はセキュリティ的にはかなり脆弱となります。
Windows10かつネット接続ありの場合
Windows10かつネット接続ありの場合は、2026年6月以降に起動できなくなる可能性があります。
Windows10はサポート終了していますが、サポート終了前にWindows Updateで「Secure Boot 2023」関連の更新が適用済みの場合は問題ない可能性があります。
2024年後半〜2025年にかけて、Windows10に対して以下の更新が配布されています。
- KB5034441(2024年)
- KB5079473(2025年)
これらは2023年用のセキュアブート証明書の更新(DB/DBX 更新)を含む更新です。
ただし古いUEFIのパソコンでは更新が正しく適用されず、2026年6月以降に起動不能になるケースもあります。
その場合は個別の手動対応が必要で、解決手順はこのページ記載の手順となります。
【最悪の場合】どうしても対処できない場合
最悪の場合あるいはどうしても対処できない場合は、BIOSで
- Secure Boot:無効
にすれば(セキュリティ的に多少弱くなっても)2026年6月以降にパソコンを起動すること自体は可能です。
医療現場の場合
医療現場では鉄壁のセキュリティよりも “業務継続” が優先されるケースも多いです。
そのため、やむを得ず「セキュアブート:無効」で運用するケースもあり、(セキュリティは弱くなりますが)無理にセキュアブート関係の更新をする必要はありません。
一般的なパソコンの場合
それ以外の一般的なパソコンでは「セキュアブート:無効」はセキュリティ上おすすめできません。
可能であれば「セキュアブート:有効」にして、(古いパソコンではWindows Updateでセキュアブート関係の更新が正しく適用されない場合があるため)このページ記載の手順で
- セキュアブート証明書の更新
- bootmgfw(ブートマネージャー)の更新
の両方を行うことを推奨します。
このページ記載の手順を上から順に実行して、最終的に管理者権限のCheck Windows state.cmdにて、
- bootmgfw signature CA : Windows UEFI CA 2023
となれば、セキュアブート関係の更新は全て完了です。
■3月27日 追記■2026年6月以降にセキュアブート証明書の更新あるいはbootmgfw(ブートマネージャー)の更新をする場合
2026年6月までにセキュアブート関係の更新が全て完了していて2026年6月以降も特に問題ない場合は、これ以降の記事を読む必要はありません。
今まで何度も追記を繰り返してきましたが、この記事の最後の追記として、
何らかの理由で2026年6月以降に
- セキュアブート証明書の更新
- bootmgfw(ブートマネージャー)の更新
をする場合(したい場合)
について書きます。
おそらく最後の追加文章です。
疑問に思いますよね?
2026年6月までに更新しなかった場合、後から更新できるのか?
- 2026年6月までに更新しない(更新できない)場合
- 2026年6月までに更新した内容が2026年6月以降に何らかの理由で消えてしまった場合
そのような場合は、2026年6月以降は セキュアブート:無効 で運用するしか方法はないのか?
ざっくりと書きますと、基本的には、
- メーカー製パソコン(NEC・富士通・HP・Dellなど)は、後から更新できない可能性が高い
- 自作パソコン(ASUS・Gigabyte・MSI・ASRockなど)の場合は、後から更新できる場合もある
ということになります。
以下、
■まずは
を説明します。
■次に、何らかの理由で2026年6月以降に
- セキュアブート証明書の更新
- bootmgfw(ブートマネージャー)の更新
をする場合に関して手動更新で対応出来そうなケースごとに分類して、更新可能な場合のその更新手順を説明します。
■最後に、特殊ケース専用の復旧手段として、手動登録つまりBIOS の UEFI Custom Mode を使って Secure Boot Keys(PK/KEK/DB/DBX)を復旧する方法を説明しますが、この手順は作業の難易度および失敗した際のリスクが非常に高く、また、一般ユーザーが使用する場面はほぼありません。
CA 2023 が存在しないパソコンでも手動登録自体は実行できますが、登録できるのは古い CA 2011 だけなので、セキュアブートの更新手段としては無意味です。
手動登録と手動更新の違い
2026年6月以降にBIOS更新あるいはWindows Updateで自動更新する以外の本来の更新手順、つまりBIOSでSecure Boot Keys(PK/KEK/DB/DBX)を手動で登録するやり方(= 手動登録)は作業の難易度が高く、Windows上で手動で更新するやり方(= 手動更新と比べると)格段に難しくなります><
手動登録:BIOSでSecure Boot Keys(PK/KEK/DB/DBX)を手動で登録するやり方。
BIOSのUEFIの Custom Mode を使って、USBメモリからSecure Boot Keys(PK/KEK/DB/DBX)を読み込んで登録するやり方でこれが2026年6月以降の “本来の手順”ですが、難易度が非常に高いです。
手動更新:Windows上でセキュアブート証明書の更新とbootmgfw(ブートマネージャー)の更新を手動で実行する、当ページ記載の ■【2026年6月まで】古いマザーボードで「セキュアブート:有効」のまま正常にパソコンを起動するための更新・全手順■ のやり方。
Windowsが起動していればクリックやコマンド実行だけ(当ページ記載の各コマンドをコピペで実行するだけ)なので失敗するリスクが低く、2026年6月までならこれで全部更新できます。
| 2026年6月以降でも更新できる? | 更新主体 | 方法 | 備考 | |
|---|---|---|---|---|
| Windows側の DB/DBX | 更新できる | OS (Windows) | 手動更新 (ps1) | ps1 の動作は期限に影響されない |
| Windows側の bootmgfw | 更新できる | OS (Windows) | 手動更新 (cmd) | cmd の動作も影響されない |
| BIOS内部の DB/DBX (正確には UEFI 内部の DB/DBX) | 機種依存 ※マザーボードによる | マザーボード (UEFI) (BIOSのCustom Mode) | 本来は手動登録 ※(後述) | メーカー製PCは更新されない場合が多い 自作PCは更新できる場合もある |
| ■注意その1■ ここで言う「手動登録」とは、BIOSのUEFIの Custom Mode を使って Secure Boot Keys(PK/KEK/DB/DBX)を手動で登録できるかどうか、を意味します。 当ページで紹介している、Windows上でのセキュアブート証明書の更新(ps1)およびbootmgfw(ブートマネージャー)の更新(cmd)は言ってみれば「手動更新」であり、ここで言う「手動登録」とは別です。 | ||||
| ■注意その2■ ※ (私のマザーボードのASUSのように)マザーボード・メーカーの実装によっては、当ページで紹介している手動更新つまりWindows上でのセキュアブート証明書の更新(ps1)およびbootmgfw(ブートマネージャー)の更新(cmd)をきっかけにして、UEFI 内部の DB/DBX が自動更新されるマザーボード・機種もあります。 この挙動はマザーボード依存・機種依存であり、全てのマザーボードが対応しているわけではありません。 | ||||
セキュアブート関連に関して、メーカー製PCと自作PCの違いについて説明する前に、「Custom Mode」について少し説明します。
「Custom Mode」とは
当ページ記載の「Custom Mode」とは、
たいていのマザーボードの場合、BIOSの Advanced Modeにて
→ Boot
→ Secure Boot
→ Secure Boot Mode
├ Standard
└ Custom
この「Custom」のこと、つまり
- 「Custom Mode」 = Secure Boot Mode:Custom
を意味しています。
※「Custom Mode」という名称は正式名称ではなく、Secure Boot Mode:Custom を指す一般的な呼び方です。
| メーカー製PC (NEC・富士通・HP・Dellなど) | 自作PC (ASUS・Gigabyte・MSI・ASRockなど) | |
|---|---|---|
| 「Custom Mode」の有無 | 存在しない(見えない)機種が多い | ほぼ必ず存在する |
| 備考 | 「Custom Mode」が隠されている・ロックされている・Factory Keys 固定 | Secure Boot Keys の手動登録が可能 |
■メーカー製PCの場合
メーカー製PCの一般的な家庭用・個人向けモデルには、原則として「Custom Mode」が存在しません。あるいは隠されていて見えません。
ユーザーが誤って証明書を書き換えてPCが起動不能(文鎮化)になるリスクを避けるため、メーカー側で設定項目自体を非表示にしたり、ロックしたりしています。
多くの機種で「Standard(標準)」モードのみに固定されており、メーカーがあらかじめ組み込んだ「Factory Keys(工場出荷時の鍵)」以外は一切受け付けない仕組みになっています。
つまりメーカー製PCの場合は
- Secure Boot Mode の項目自体が非表示
- Secure Boot Mode が Standard に固定
- Custom を選んでも Key Management が出ない
- Key Management がロックされている
という場合がほとんどです。
ただし例外もあり、HP・Dell・レノボなどのビジネス・法人向け上位モデルに限っては、管理者が独自署名を運用することを想定して「Custom Mode」が開放されている場合があります。
■自作PCの場合
ASUS・Gigabyte・MSI・ASRockなどの主要メーカーの自作向けマザーボードには、ほぼ間違いなく「Custom Mode」が搭載されています。
ただし、古い世代・OEM向け・産業用・超廉価モデルのマザーボードでは「Custom Mode」がない・マザーボードも「ごく一部」存在します。
以下に該当する場合は Custom Mode がないことがあります。
- 古い世代(2012〜2014年頃)
- OEM向け(DELL・HP・富士通向けのASUS製マザーなど)
- 産業用・組み込み向けマザーボード
- 超廉価モデル(特にH110/H310世代の一部のマザーボード)
■ASUS
ROG・TUF・PRIMEシリーズ:ほぼ100% Custom Mode あり
例外:
- 超廉価モデル
- 古い H61/H81 世代
- OEM向け特殊モデル(DELL/HP向けのASUS製マザーなど)
■MSI
PRO・MAG・MPG・MEGシリーズ:ほぼ100% Custom Mode あり
例外:
- 古い世代の一部
- 産業用・組み込み向けモデル
■Gigabyte
AORUS・UD・Gamingシリーズ:ほぼ100% Custom Mode あり
- 古い世代
- OEM向けモデル
■注意■
「Key Management」は Secure Boot Mode:Custom に変更した後に表示される鍵管理メニューであり、「Custom」と同義ではありません。
BIOSの Advanced Modeにて
→ Boot
→ Secure Boot
→ Secure Boot Mode
├ Standard
└ Custom
└ Key Management
「Key Management」は Secure Boot Mode:Custom を選んだ後に表示されます。
それでは話を戻して、セキュアブート関連に関して、メーカー製PCと自作PCの違いについて説明します。
メーカー製PCは
- Custom Mode がないため手動登録は不可
- Secure Boot:OFF → ON に戻せない機種があるため、2026年6月以降に手動更新は不可
かと思います。
自作PCの場合は、
- BIOSに Custom Mode があるマザーボードがほとんどなので手動登録は可能ですが、手動登録は難易度が非常に高く、失敗すると起動不能(文鎮化)になるリスクがある上に、2026年6月までに CA 2023 に更新していないPCで2026年6月以降に手動登録しても登録できるのは古い CA 2011 だけなので、セキュアブートの更新手段としては無意味です。
- 2026年6月までは、Windows Updateで自動更新されるか、あるいは古いマザーボードの場合は手動登録しなくても手動更新だけで対応できるマザーボードが比較的多いかと思います。
- 2026年6月以降は、手動更新は失敗する確率が高いです。
■メーカー製パソコンの場合
メーカー製パソコンの場合、Secure Boot Keys(PK/KEK/DB/DBX)の手動登録に対応していない機種が多く、一時的に
- セキュアブート:無効
にして当ページ内の手順に従って各更新作業を行っても、再度
- セキュアブート:有効
に戻せないケースがあります。
また、後から手動更新できる機種もごく一部存在していますが、その場合でもメーカー製パソコンはUEFIの制限が多いため難易度が高く、確実ではありません。
そのため、最悪の場合「セキュアブート:無効」での運用しか選択肢が残らない可能性があります。
■自作パソコンの場合
自作PCの場合、2026年6月以前であれば手動更新によってSecure Boot Keys と bootmgfw を更新できる可能性があります。
しかし 2026年6月以降は、手動更新は成功率が極めて低く、手動登録もセキュアブートの更新手段としては意味がありません。
※手動登録は復旧専用であり、CA 2023 が既に UEFI に存在する場合にのみ有効な手段です。
そのため、2026年6月以降は自作PCでも「セキュアブート:無効」で運用するしか方法がないケースが多くなります。
| メーカー製PC (NEC・富士通・HP・Dellなど) | 自作PC (ASUS・Gigabyte・MSI・ASRockなど) | |
|---|---|---|
| Secure Boot Keys (PK/KEK/DB/DBX) | 手動登録不可の機種が多い | 手動登録が可能 |
| Custom Mode | 存在しない機種が多い | 存在するマザーボードがほとんど |
| CA証明書(セキュアブート証明書)の手動登録 | Factory Keys のみで固定される場合がある | USBからの読み込みも可能 |
| DBXの扱い | ロックされている場合がある | 柔軟に更新可能 |
| セキュアブート:ON/OFF の挙動 | ON に戻せない機種が存在する | ON/OFF で詰むことがほぼない |
| ■注意その1■ ここで言う「手動登録」とは、BIOSのUEFIの Custom Mode を使って Secure Boot Keys(PK/KEK/DB/DBX)を手動で登録できるかどうか、を意味します。 ※当ページで紹介している、Windows上でのセキュアブート証明書の更新(ps1)およびbootmgfw(ブートマネージャー)の更新(cmd)は言ってみれば「手動更新」であり、ここで言う「手動登録」とは別です。 | ||
| メーカー製PC (NEC・富士通・HP・Dellなど) | 自作PC (ASUS・Gigabyte・MSI・ASRockなど) | |
| 2026年6月以降の手動更新 | 原則不可 (ごく一部例外あり) | ほぼ100%可能 (稀に不可なマザーボードもあり) |
| 総評 | 後から更新できない可能性が高い 後からできても難易度が高い | 後から更新できる可能性もある 更新作業の難易度は低め |
■メーカー製PCの例外について■
一般的にメーカー製PC(NEC・富士通・HP・Dellなど)はSecure Boot Keys の手動登録や Custom Mode に対応していない機種が多く、後からセキュアブート関係を再構成できないケースがあります。
ただし、以下のような 例外的に柔軟な機種も存在します。
- HP・Dellの一部ビジネス向けモデル
- 富士通「ESPRIMO」の一部
- NEC「Mate」「VersaPro」の一部
これらの機種では、Secure Boot Keys の手動登録や Custom Mode が利用でき、自作PCに近い柔軟性を持つ場合があります。
■注意その3■
先ほど
■注意その1■
ここで言う「手動登録」とは、BIOSのUEFIの Custom Mode を使って Secure Boot Keys(PK/KEK/DB/DBX)を手動で登録できるかどうか、を意味します。
※当ページで紹介しているセキュアブート証明書の更新(ps1)およびbootmgfw(ブートマネージャー)の更新(cmd)はWindows上で行う作業であり、ここで言う「手動登録」とは別です。
と書きましたが、BIOSのUEFIの Custom Mode を使った Secure Boot Keys の手動登録は、
- 当ページで紹介しているセキュアブート証明書の更新(ps1)およびbootmgfw(ブートマネージャー)の更新(cmd)はWindows上で行う作業
と比べて、遥かに難易度が高いです。
■UEFIの Custom Mode はUIが不親切で操作が複雑で、
- マウスが使えない、キーボード操作のみ
- 階層が深い
- 証明書の種類(PK/KEK/DB/DBX)を間違えると起動不能になる
- ファイル形式(.cer / .auth / .der)を正しく選ぶ必要がある
当ページで紹介しているセキュアブート証明書の更新(ps1)およびbootmgfw(ブートマネージャー)の更新(cmd)のようにWindows上でポチポチするのとは難易度が段違いです。
■証明書の「種類」と「役割」を理解していないと危険
- PKを消すとセキュアブートが壊れる
- KEK を間違えると DB/DBX が更新できない
- DB を間違えると OS が起動しなくなる
- DBX を誤って登録すると bootmgfw がブロックされる
つまり、どの証明書をどこに登録するか? を理解していないと詰みます。
■USBメモリに正しい証明書を入れておく必要がある
- 証明書のファイル名
- 拡張子
- UEFI が読み込めるフォーマット
- USB のフォーマット(FAT32が無難?)
当たり前ですが、これらを全て正しく準備しないと UEFI が認識しません。
■メーカー製PCは Custom Mode が隠されている場合がある
- そもそも Custom Mode がない
- Custom Mode がロックされている
- Factory Keys 以外を受け付けない
つまりメーカー製パソコンの場合は、手順どうこう以前に UEFI が拒否するケースがあります。
簡単に言えば、手動更新つまりWindows上での ps1/cmd 実行による更新は安全性が高いですが、手動登録つまりBIOS上の UEFI の Custom Mode でSecure Boot Keysを登録するやり方は 失敗=起動不能、というリスクがあります。
■結論■
ここまで読めばわかるように、手動登録は作業の難易度が格段に高くなる上に、セキュアブートの更新手段としては無意味です。
「Windows UEFI CA 2011」による署名がまだ有効であり、(セキュアブートの有効/無効にかかわらず)「Windows UEFI CA 2011」の証明書でWindowsが起動できる2026年6月までに、
- UEFI CA 2023対応のBIOSへの更新
- Windows Update による自動更新
- 当ページ記載の手動更新(ps1/cmd)
のいずれかの方法で、セキュアブート関連を更新しておくことを強く推奨します。
今のうちにWindows上でポチポチやって更新しておけばメーカー製パソコンでもすべて更新可能です。
自作PCの場合は、
- 2026年6月までは、Windows Updateで自動更新されるか、あるいは古いマザーボードの場合は手動更新でセキュアブートの更新ができるマザーボードが比較的多いかと思います。
- 2026年6月以降は、手動更新は失敗する確率が高いです。
マザーボードの種類によっては、当ページで紹介している手動更新つまりWindows上でのセキュアブート証明書の更新(ps1)およびbootmgfw(ブートマネージャー)の更新(cmd)をきっかけにして、UEFI 内部の DB/DBX が自動更新される機種もあります。
※この挙動はマザーボード依存・機種依存であり、全てのマザーボードが対応しているわけではありません。
ここまで手動登録と手動更新の違いを慎重に説明してきましたが、最悪の状況を回避するために、
- 2026年6月を過ぎると、セキュアブートのON/OFFに関わらず、手動更新は一切成功しなくなる
- 2026年以降に手動更新が成功したらラッキー
と考えてください。
なぜなら、マザーボード(UEFI)が「古い署名(CA 2011)」を完全に拒否するモードに入るためです。
「セキュアブート:無効」にしてもおそらくダメで、 Windowsは起動できますが、マザーボードの「セキュアブート関係の諸々の書き換え」をしようとした瞬間に、UEFI側が古い署名のデータを「偽物」と判断してブロックします。
つまり、2026年6月以降にセキュアブート関連を更新・復旧できる唯一の方法は、OSを介さない手動登録だけになる可能性がかなり高いです。
- メーカー製PC:Custom Modeがないため、当サイト記載の手動更新が拒否された時点で「詰み(復旧不能)」となります。
- 自作PC:Custom Modeがあるため、USBメモリから直接鍵を流し込んで救出できる手動登録が成功する可能性もわずかにありますが、手順および失敗するリスクが高いのでこの上なくオススメしません。
「自作PCだから後で手動更新・手動登録すれば大丈夫」という油断は禁物です。
私の予想では、
- 2026年6月までなら、メーカー製PC・自作PCともに当ページ記載の手動更新(ps1/cmd)は成功する確率が高い
- 2026年6月以降は手動更新はうまくいかない・更新できない可能性が高い
- 2026年以降に手動更新が成功したらラッキー、と考えてください。
となります。
2026年6月までに、必ず
- UEFI CA 2023対応のBIOSへの更新
- Windows Update による自動更新
- 当ページ記載の手動更新
のいずれかの方法で、セキュアブート関連を更新しておくことを強く推奨します。
最悪の状況を避けるために、後述のCopilotのアドバイスを書いておきます。
2026年6月以降はメーカー製PC・自作PC関係なく全てのパソコンにおいて
- 当ページ記載の手動更新が成功するマザーボードは存在しません。
- 「セキュアブート:無効」でも当ページ記載の手動更新は絶対に成功しません。
- 2026年6月以降に自作PCがセキュアブート証明書を更新できる唯一の方法は、UEFI Custom Mode を使った手動登録だけです。
手動登録は難易度が非常に高く、失敗すると起動不能(文鎮化)になるリスクがある上に、セキュアブートの更新手段つまり一般的な「セキュアブート更新(CA 2011 → CA 2023)」の手段としては無意味です。
■手動登録と手動更新の違いの説明は以上です。
■次に、何らかの理由で2026年6月以降に
- セキュアブート証明書の更新
- bootmgfw(ブートマネージャー)の更新
をする場合に関して手動更新で対応出来そうなケースごとに分類して、更新可能な場合のその更新手順を説明します。
ケース1・2・3はそれぞれ少し長文なので、先に簡単なまとめを書いておきます。
■ケース1・2・3のまとめ■
●メーカー製PC
- 「Secure Boot:有効」のまま後から更新・復旧・再更新できる可能性は低い
※一部のビジネスモデルは更新・復旧・再更新が可能な場合もあります。 - 「Secure Boot:無効」での運用が現実的
●自作PC
- 「Secure Boot:有効」のまま bootmgfw を後から更新・復旧・再更新できる可能性もありますが、成功するかどうかはマザーボードや環境に強く依存する、つまり機種依存なので、失敗する可能性も十分にあります。
というか、たぶんうまくいかない確率が高いと私は予想しています。 - 【更新・復旧・再更新の手順】Secure Boot を一時的に無効 → Windows 起動 → 当ページ記載の手動更新(ps1/cmd)を実行)→ Secure Boot を再度有効に戻す
■【2026年6月以降】自作PCでの更新・復旧・再更新の共通手順■
■注意その1■
2026年6月以降は以下の
■【2026年6月以降】自作PCでの更新・復旧・再更新の共通手順■
はうまくいかない・更新できない可能性が高いです。
2026年以降に手動更新が成功したらラッキー、と考えてください。
■注意その2■
以下の
■【2026年6月以降】自作PCでの更新・復旧・再更新の共通手順■
は「2026年6月以降」の手順です。
「2026年6月まで」の手順とは少し異なりますのでご注意ください。
※「2026年6月まで」に以下の手順を実行してしまったとしても、たいした問題にはなりません、というか、実際はおそらく無問題です。
2026年6月までの更新・全手順はこちらです。
■【2026年6月以降】自作PCでの更新・復旧・再更新の共通手順■
- ケース1:「Secure Boot:有効」のまま、後から更新する場合
- ケース2:Secure Boot Keys の再構成
- ケース3:bootmgfw が初期化・削除された場合
の復旧手順は全て同じです。
①BIOSにて Secure Boot を一時的に「無効」にする
※自作PCは再度「有効」に戻せるため問題なし
↓
② Windows を起動する
※Secure Boot 無効でも起動可能
↓
③ 当ページ記載の手動更新の、「check-securebootdb.ps1」「Check Windows state.cmd」以外の「.ps1」2つおよび「.cmd」3つを実行、つまり以下を実行
■重要■
2026年6月以降は、Windows が CA 2011 署名の更新パッケージを UEFI に書き込めなくなる可能性が高くなるため、以下の ps1/cmd による手動更新は成功しない可能性が非常に高いです。
成功したらラッキー、と考えて試してみてください。
■ps1ファイル2つ※Windows側の DB/DBX の更新
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
■cmdファイル3つ※bootmgfw と Windows側の DBX の更新
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
※いずれも管理者権限での実行です。
※詳細は 当ページ記載の手動更新(ps1/cmd) の箇所をお読みください。
※ UEFI 内部の DB/DBX が自動更新されるかどうかはマザーボード依存です。
↓
④ 再起動してBIOSで再度Secure Boot を「有効」に戻す
※自作PCなら問題なく有効に戻せる
↓
⑤ 起動確認
※2023対応の bootmgfw と DB/DBX が揃っていれば正常に起動する
起動している時点で問題ありませんが、気になる場合は起動後に管理者権限で
- Check UEFI PK, KEK, DB and DBX.cmd
- Check Windows state.cmd
を実行してみてください。
■当ページ最大の注意点■
2026年6月以降の自作PCにて、前述の ■【2026年6月以降】自作PCでの更新・復旧・再更新の共通手順■ の手順つまり
- 一度セキュアブートをオフにしてWindowsを起動し、当ページ記載の手動更新(ps1/cmd)を実行してから、再度セキュアブートをオンにする
の手順の成功の可否は機種依存です。
手動更新はうまくいくマザーボード・失敗するマザーボードがある可能性があります。
おそらく2026年6月以降の手動更新は、失敗する確率が高くなると予想しています。
また、後述の手動登録は難易度が非常に高く、失敗すると起動不能(文鎮化)になるリスクがある上に、セキュアブートの更新手段つまり一般的な「セキュアブート更新(CA 2011 → CA 2023)」の手段としては無意味です。
つまり、2026年6月以降の自作PCにて手動更新が失敗した場合は、「セキュアブート:無効」で運用するしか方法がありません。
私がネットで可能な限り調べ、その上で複数のAIに聞いた限りでは、Copilotのみ、
2026年6月以降はメーカー製PC・自作PC関係なく全てのパソコンにおいて
- 当ページ記載の手動更新が成功するマザーボードは存在しません。
- 「セキュアブート:無効」でも当ページ記載の手動更新は絶対に成功しません。
- 2026年6月以降に自作PCがセキュアブート証明書を更新できる唯一の方法は、UEFI Custom Mode を使った手動登録だけです。
という意見です。
Copilot以外のGemini・Claude・ChatGPT・Google AI Studio・Grok・Perplexityの全てのAIおよび私は、「機種依存で成功する場合もある」という立場であり、「絶対に不可能」と断言するのは強すぎるという点で一致しています。
- 私がネットで調べまくった限りの情報
- Copilotのアドバイス
- Copilot以外の複数のAIのアドバイス
の全てを考慮した私の意見は
マザーボードによっては、2026年6月以降でも
- 一度セキュアブートをオフにしてWindowsを起動し、当ページ記載の手動更新(ps1/cmd)を実行してから、再度セキュアブートをオンにする
という手順およびその後のWindows Updateによって、セキュアブート証明書の更新およびbootmgfw(ブートマネージャー)の更新が成功する場合もありますが、2026年6月以降に自作PCにて手動更新が成功する確率はかなり低い気がします。
となります。
2026年6月以降は、セキュアブートのON/OFFに関わらず、当ページ記載の手動更新(ps1/cmd)はUEFI側で拒否される可能性が非常に高く、安定した方法ではありません。
※一部のマザーボードでは成功する可能性も否定できませんが、現時点では再現性のある手段とは断定できません。
冒頭に書いた通り、2026年6月までに、
- UEFI CA 2023対応のBIOSへの更新
- Windows Update による自動更新
- 当ページ記載の手動更新(ps1/cmd)
のいずれかの方法で、セキュアブート関連を更新しておくことを強く推奨します。
「Windows UEFI CA 2011」失効時期が6~10月と幅がある理由
「Windows UEFI CA 2011」の証明書の失効は2026年6月に開始されますが、実際には各パソコンで失効が反映される時期は6〜10月と幅があります。
これは、セキュアブートの失効が
- Windows Update による DBX 更新
- マザーボードメーカー・OEMメーカーによる UEFI 更新
- OS 側のポリシー変更
など複数の経路で段階的に適用されるためです。
そのため、パソコンによって失効のタイミングが異なり、2026年6月〜10月の間に「Windows UEFI CA 2011」が信頼されなくなる可能性があります。
■Microsoftの公式文書が “6〜10月” と幅を持たせている理由
Microsoftの説明は以下のようになっています。
- 2026年6月以降に失効プロセスが始まる
- 2026年後半(6〜10月)にかけて段階的に適用される
- マザーボードメーカー・OEMメーカーによって配布時期が異なる
- Windows Update の適用タイミングもユーザーごとに違う
つまり
- 2026年6月に始まり、10月頃までに世界中のパソコンに行き渡る
という意味です。
セキュアブートの失効は、以下の3つの経路で配布されます。
① Windows Update 経由の DBX 更新
→ Microsoft が配布するが、ユーザーが更新する時期はバラバラ
② OEM(メーカー)による UEFI 更新
→ メーカーごとに配布時期が違う
→ 古い機種は配布されないこともある
③ OS 側のポリシーによる先行ブロック
→ Microsoft が OS 内部で「CA 2011 を拒否する」設定を先に入れる可能性がある
これらが同じ日に起きることは絶対にないため、世界中のパソコンでの「Windows UEFI CA 2011」の証明書の失効日はバラバラになります。
以下、2026年6月以降に想定されるケースごとに分けて詳しく解説します。
【ケース1】2026年6月までに一切更新しなかった場合に、「セキュアブート:有効」のまま後から更新する方法
2026年6月までに
- Windows Updateでの自動更新が行われなかった
- 当ページ記載の手動更新(ps1/cmd)も実行しなかった
という場合に、2026年6月以降も「セキュアブート:有効」のまま正常にパソコンを起動するためには、
- セキュアブート証明書の更新
- bootmgfw(ブートマネージャー)の更新
を2026年6月以降に後から実行する必要があります。
ただし、後から更新できるかどうかはパソコンの種類(メーカー製PCか自作PCか)によって大きく異なります。
メーカー製PCの場合(NEC・富士通・HP・Dellなど)
結論から言うと、メーカー製PCでは
- 「Secure Boot:有効」のまま後から更新できる可能性は非常に低い
です。
理由は以下の通りです。
● Secure Boot Keys の手動登録に非対応の機種が多い
- Secure Boot Keys(PK/KEK/DB/DBX)を手動登録できない
- Custom Mode が存在しない、またはロックされている
- Factory Keys 以外を受け付けない
● Secure Boot を一度「無効」にすると「有効」に戻せない機種が存在する
メーカー製PCの場合
- 2026年6月以降はSecure Boot を有効に戻せない場合があり、その結果 「Secure Boot:有効」のまま起動できない※「Secure Boot:無効」にすれば起動は可能です。
となる可能性がある機種も存在します。
● Windows 上での更新だけでは、UEFI 内部の Secure Boot Keys が古いままの場合がある
当ページ記載の手動更新(ps1/cmd)は、基本的にはWindows側の更新です。
(私のマザーボードのASUSのように)マザーボードやメーカーの実装によっては、当ページ記載の手動更新(ps1/cmd)の実行をきっかけに UEFI 内部の DB/DBX が自動更新される機種もありますが、そうではない機種では UEFI 内部の DB/DBX が古いまま残ります。
UEFI 内部の DB/DBX が古いままだと、
- UEFI が 2023対応のbootmgfw を「信頼できない」と判断し、起動しない
といった状態になる可能性があります。
「誤判断」ではありません。
「信頼できない」と判断して起動しない、が正しいです。
■参考■
UEFI が bootmgfw を検証するとき、以下の手順で判断します。
bootmgfw の署名を確認する
↓
bootmgfw の署名に使われたセキュアブート証明書(CA)がDBX(禁止リスト)に登録されていないか? をチェック
↓
bootmgfw の署名に使われたセキュアブート証明書(CA)がDB(許可リスト)に登録されているか? をチェック
この2段階(DBX → DB)のチェックを通過した場合のみ、bootmgfw が実行され、Windows が起動します。
- DBX(失効リスト)に登録されていないか?
- DB(許可リスト)に登録されているか?
の両方をチェックします。
そのため、UEFI 内部の DB/DBX が古いままだと、次のような問題が発生します。
■ 古い bootmgfw(CA 2011の署名)のままの場合
UEFI 内部の DBX(失効リスト)が更新されている環境では当該 bootmgfw の署名(またはハッシュ)が失効対象として登録されているため、「禁止されている」と判断され起動できません。
■ 後から更新した新しい bootmgfw(2023 CA 署名)の場合
UEFI 内部の DB(許可リスト)が古いままだと 2023 CA を知らないため、「信頼できない」と判断され、やはり起動できません。
つまり、UEFI 内部のデータベースが古いままだと、新旧どちらの bootmgfw でも起動できない可能性が高いです。
これは誤判断ではなく、Secure Boot の仕様通りの正しい動作です。
●メーカー製PCでの結論
❌ 「Secure Boot:有効」のまま後から更新できる可能性は低い
❌ Secure Boot Keys の手動登録ができないため、詰む可能性が高い
✔ 「Secure Boot:無効」にすれば起動は可能(ただし Secure Boot は使えない)
つまり、メーカー製PCの場合は2026年6月までに更新できなかった場合は、それ以降は
- 「Secure Boot:無効」での運用が現実的な選択肢となる機種が多い
ということになります。
自作PCの場合(ASUS・Gigabyte・MSI・ASRockなど)
自作PCの場合は、「Secure Boot:有効」のまま後から更新できる可能性もあります。
理由は以下の通りです。
● Secure Boot Keys の手動登録が可能
- PK/KEK/DB/DBXをUSBメモリから読み込んで登録できる
- Custom Mode が存在するマザーボードがほとんど
- Factory Keys の固定がない
● DBX の更新も柔軟
自作PCは Custom Mode により Secure Boot Keys(PK/KEK/DB/DBX)を手動登録できるため、Secure Boot の ON/OFF で詰むことがほぼありません。
つまり、一時的に Secure Boot を無効にしても、再度有効に戻すことが可能です。
さらに、2023対応の DBX を後から登録できるマザーボードが多い点も、自作PCの強みです。
●自作PCでの復旧手順(「Secure Boot:有効」のまま、後から更新する場合)
①BIOSにて Secure Boot を一時的に「無効」にする
※自作PCは再度「有効」に戻せるため問題なし
↓
② Windows を起動する
※Secure Boot 無効でも起動可能
↓
③ 当ページ記載の手動更新の、「check-securebootdb.ps1」「Check Windows state.cmd」以外の「.ps1」2つおよび「.cmd」3つを実行、つまり以下を実行
■重要■
2026年6月以降は、Windows が CA 2011 署名の更新パッケージを UEFI に書き込めなくなる可能性が高くなるため、以下の ps1/cmd による手動更新は成功しない可能性が非常に高いです。
成功したらラッキー、と考えて試してみてください。
■ps1ファイル2つ※Windows側の DB/DBX の更新
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
■cmdファイル3つ※bootmgfw と Windows側の DBX の更新
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
※いずれも管理者権限での実行です。
※詳細は 当ページ記載の手動更新(ps1/cmd) の箇所をお読みください。
※ UEFI 内部の DB/DBX が自動更新されるかどうかはマザーボード依存です。
↓
④ 再起動してBIOSで再度Secure Boot を「有効」に戻す
※自作PCなら問題なく有効に戻せる
↓
⑤ 起動確認
※2023対応の bootmgfw と DB/DBX が揃っていれば正常に起動する
起動している時点で問題ありませんが、気になる場合は起動後に管理者権限で
- Check UEFI PK, KEK, DB and DBX.cmd
- Check Windows state.cmd
を実行してみてください。
■ケース1のまとめ
●メーカー製PC
- 「Secure Boot:有効」のまま後から更新できる可能性は低い
- 「Secure Boot:無効」での運用が現実的
●自作PC
- 「Secure Boot:有効」のまま後から更新できる可能性もある
- 【後から更新する手順】Secure Boot を一時的に無効 → Windows 起動 → 当ページ記載の手動更新(ps1/cmd)を実行)→ Secure Boot を再度有効に戻す
【ケース2】2026年6月以降に Secure Boot Keys(PK/KEK/DB/DBX)が初期化・削除された場合の復旧方法
2026年6月以前にセキュアブート証明書(PK/KEK/DB/DBX)を更新していた場合でも、その後
- BIOS設定の初期化
- CMOSクリア※マザーボード電池切れを含む
- BIOSアップデート
- メーカー製PCの仕様による強制リセット
- 工場出荷状態へのリセット
などの理由で、Secure Boot Keys(PK/KEK/DB/DBX)が初期化・削除されてしまう場合があります。
2026年6月までにセキュアブート証明書とbootmgfw(ブートマネージャー)の両方を更新しておいたのに、その後何らかの理由でセキュアブート証明書(PK/KEK/DB/DBX)だけ初期化・削除されると、
UEFI 内部の PK/KEK/DB/DBX が出荷時の Factory Keys(CA 2011 を含む構成)に戻る
↓
2023 CA が DB に登録されていないため、2023対応の bootmgfw を「信頼できない」と判断
↓
「Secure Boot:有効」のままでは起動できなくなる
という可能性があります。
ケース2では、2026年6月以降にSecure Boot Keys(PK/KEK/DB/DBX)を再度 2023対応に戻す必要がありますが、復旧できるかどうかはパソコンの種類によって大きく異なります。
メーカー製PCの場合(NEC・富士通・HP・Dellなど)
結論から書くと、メーカー製PCでは
- 「Secure Boot:有効」のまま復旧できる可能性は非常に低い
です。
理由は以下の通りです。
● Secure Boot Keys の手動登録に非対応の機種が多い
- BIOSにて Custom Mode が存在しない、またはロックされている
- Factory Keys 以外を受け付けない
- PK/KEK/DB/DBX の手動登録ができない
● Secure Boot を一度「無効」にすると「有効」に戻せない機種が存在する
そのため、Secure Boot Keys を再構成するために一時的に 「Secure Boot:無効」にしても、
- 「Secure Boot:有効」に戻せない → 「Secure Boot:有効」のままパソコンを起動できない
という致命的な状態になる可能性があります。
● Windows 上での手動更新(ps1/cmd)だけでは復旧できない場合がある
メーカー製PCでは、Windows側の DB/DBX 更新を行っても、
- UEFI 内部の DB/DBX が更新されない
という機種が多く、Secure Boot 有効のままでは起動できない状態になる可能性があります。
そのためメーカー製PCの場合は、「セキュアブート:無効」での運用しか選択肢が残らない可能性があります。
自作PCの場合(ASUS・Gigabyte・MSI・ASRockなど)
自作PCの場合は、Secure Boot Keys が初期化・削除された場合でも、「Secure Boot:有効」のまま復旧できる可能性もあります。
理由は以下の通りです。
● Custom Mode が存在するマザーボードがほとんど
- PK/KEK/DB/DBX を USB から読み込んで登録できる
- Factory Keys の固定がない
- Secure Boot ON/OFF が自由
● Windows 上での手動更新だけで復旧できるケースが多い
マザーボードの実装によっては、当ページで紹介している手動更新つまりWindows上でのセキュアブート証明書の更新(ps1)およびbootmgfw(ブートマネージャー)の更新(cmd)をきっかけにして、UEFI 内部の DB/DBX が自動更新されるため、手動登録を行わなくても復旧できる場合が多々あります。
■注意■
ただし自作PCの場合でも、Custom Mode が存在しないモデルや SecureBootRecovery.efi(Secure Boot の復旧処理を行う Microsoft 純正の EFI)が起動しない環境では復旧できません。
●自作PCでの復旧手順(Secure Boot Keys の再構成)
ケース1と同じ手順で復旧できます。
①BIOSにて Secure Boot を一時的に「無効」にする
※自作PCは再度「有効」に戻せるため問題なし
↓
② Windows を起動する
※Secure Boot 無効でも起動可能
↓
③ 当ページ記載の手動更新の、「check-securebootdb.ps1」「Check Windows state.cmd」以外の「.ps1」2つおよび「.cmd」3つを実行、つまり以下を実行
■重要■
2026年6月以降は、Windows が CA 2011 署名の更新パッケージを UEFI に書き込めなくなる可能性が高くなるため、以下の ps1/cmd による手動更新は成功しない可能性が非常に高いです。
成功したらラッキー、と考えて試してみてください。
■ps1ファイル2つ※Windows側の DB/DBX の更新
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
■cmdファイル3つ※bootmgfw と Windows側の DBX の更新
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
※いずれも管理者権限での実行です。
※詳細は 当ページ記載の手動更新(ps1/cmd) の箇所をお読みください。
※ UEFI 内部の DB/DBX が自動更新されるかどうかはマザーボード依存です。
↓
④ 再起動してBIOSで再度Secure Boot を「有効」に戻す
※自作PCなら問題なく有効に戻せる
↓
⑤ 起動確認
※2023対応の bootmgfw と DB/DBX が揃っていれば正常に起動する
起動している時点で問題ありませんが、気になる場合は起動後に管理者権限で
- Check UEFI PK, KEK, DB and DBX.cmd
- Check Windows state.cmd
を実行してみてください。
■ケース2のまとめ
●メーカー製PC
- 「Secure Boot:有効」のまま後から復旧できる可能性は非常に低い※一部のビジネスモデルは復旧可能な場合もあります。
- 「Secure Boot:無効」での運用が現実的
●自作PC
- 「Secure Boot:有効」のままSecure Boot Keys(PK/KEK/DB/DBX) を後から再更新できる可能性もある
- 【復旧手順】Secure Boot を一時的に無効 → Windows 起動 → 当ページ記載の手動更新(ps1/cmd)を実行)→ Secure Boot を再度有効に戻す
どちらの場合も、2026年6月以前に更新しておくのが最も安全です。
【ケース3】2026年6月以降に bootmgfw(ブートマネージャー)が初期化・削除された場合の再更新方法
2026年6月以前にセキュアブート証明書(PK/KEK/DB/DBX)および bootmgfw(ブートマネージャー)を更新していた場合でも、その後
- Windowsのクリーンインストール
- Windowsの修復インストール
- bootmgfw の破損・削除
- ブート領域の初期化
- メーカー製PCの仕様による強制リセット
などの理由で、bootmgfw(ブートマネージャー)が初期化・削除されてしまうことがあります。
この場合、2026年6月以降に「Secure Boot:有効」のまま正常にパソコンを起動するためには、
- bootmgfw(ブートマネージャー)の再更新
- (必要に応じて)Windows側の DB/DBX の再更新
を行う必要があります。
ただしケース1・ケース2と同様に、後から再更新できるかどうかはパソコンの種類(メーカー製PCか自作PCか)によって大きく異なります。
メーカー製PCの場合(NEC・富士通・HP・Dellなど)
結論から言うと、メーカー製PCでは
- 「Secure Boot:有効」のまま bootmgfw を後から再更新できる可能性は非常に低い
です。
理由は以下の通りです。
● Secure Boot を一度「無効」にすると「有効」に戻せない機種が存在する
メーカー製PCの多くは、2026年6月以降に Secure Boot を有効に戻せない仕様になっている場合があります。
メーカー製PCの場合、仮に自作PCと同じ復旧手順
- 「Secure Boot:無効」 → Windows 起動 → bootmgfw 再更新
を実行しても、
- 「Secure Boot:有効」に戻せない
という状態になる可能性があります。
● UEFI 内部の DB/DBX が古いままの場合がある
メーカー製PCは UEFI 内部の DB/DBX が Factory Keys のまま固定されている場合が多く、2023 CA で署名された bootmgfw を「信頼できない」と判断するため、「Secure Boot:有効」のままでは起動できない可能性が高いです。
●メーカー製PCでの結論
❌ 「Secure Boot:有効」のまま、後から bootmgfw を再更新できる可能性は低い
❌ 「Secure Boot:有効」に戻せない機種が多い
✔ 「Secure Boot:無効」にすれば起動は可能(ただし Secure Boot は使えない)
自作PCの場合(ASUS・Gigabyte・MSI・ASRockなど)
自作PCの場合は、「Secure Boot:有効」のまま bootmgfw を後から再更新できる可能性もあります。
理由は以下の通りです。
● Secure Boot の ON/OFF が自由
自作PCは Secure Boot を無効にしても、再度有効に戻せるため、
- 「Secure Boot:無効」 → Windows 起動 → bootmgfw 再更新 → 「Secure Boot:有効」
という手順が問題なく実行できます。
● UEFI 内部の DB/DBX が自動更新されるマザーボードがある
ASUS・Gigabyte・MSI・ASRockなどの一部マザーボードでは、Windows上で
- セキュアブート証明書の更新(ps1)
- bootmgfw(ブートマネージャー)の更新(cmd)
を実行したことをきっかけに、UEFI 内部の DB/DBX が自動更新される場合があります。
※全てのマザーボードが対応しているわけではありません。
●自作PCでの復旧手順(bootmgfw が初期化・削除された場合)
ケース1と同じ手順で復旧できます。
①BIOSにて Secure Boot を一時的に「無効」にする
※自作PCは再度「有効」に戻せるため問題なし
↓
② Windows を起動する
※Secure Boot 無効でも起動可能
↓
③ 当ページ記載の手動更新の、「check-securebootdb.ps1」「Check Windows state.cmd」以外の「.ps1」2つおよび「.cmd」3つを実行、つまり以下を実行
■重要■
2026年6月以降は、Windows が CA 2011 署名の更新パッケージを UEFI に書き込めなくなる可能性が高くなるため、以下の ps1/cmd による手動更新は成功しない可能性が非常に高いです。
成功したらラッキー、と考えて試してみてください。
■ps1ファイル2つ※Windows側の DB/DBX の更新
- allowautoupdate-securebootdb.ps1
- updatenow-securebootdb.ps1
■cmdファイル3つ※bootmgfw と Windows側の DBX の更新
- Apply DBX update.cmd
- Apply 2023 KEK, DB and bootmgfw update.cmd
- Apply revocations.cmd
※いずれも管理者権限での実行です。
※詳細は 当ページ記載の手動更新(ps1/cmd) の箇所をお読みください。
※ UEFI 内部の DB/DBX が自動更新されるかどうかはマザーボード依存です。
↓
④ 再起動してBIOSで再度Secure Boot を「有効」に戻す
※自作PCなら問題なく有効に戻せる
↓
⑤ 起動確認
※2023対応の bootmgfw と DB/DBX が揃っていれば正常に起動する
起動している時点で問題ありませんが、気になる場合は起動後に管理者権限で
- Check UEFI PK, KEK, DB and DBX.cmd
- Check Windows state.cmd
を実行してみてください。
■ケース3のまとめ
●メーカー製PC
- 「Secure Boot:有効」のまま bootmgfw を後から再更新できる可能性は低い
- 「Secure Boot:無効」での運用が現実的
●自作PC
- 「Secure Boot:有効」のまま bootmgfw を後から再更新できる可能性もある
- 【再更新手順】Secure Boot を一時的に無効 → Windows 起動 → 当ページ記載の手動更新(ps1/cmd)を実行)→ Secure Boot を再度有効に戻す
■手動登録と手動更新の違い
■手動更新で対応出来そうなケース123
の説明は以上です。
■最後に、特殊ケース専用の復旧手段として、手動登録つまりBIOS の UEFI Custom Mode を使って Secure Boot Keys(PK/KEK/DB/DBX)を復旧する方法を説明しますが、この手順は作業の難易度および失敗した際のリスクが非常に高く、また、一般ユーザーが使用する場面はほぼありません。
CA 2023 が存在しないパソコンでも手動登録自体は実行できますが、登録できるのは古い CA 2011 だけなので、セキュアブートの更新手段としては無意味です。
■特殊ケース専用・非推奨■【手動登録】UEFI Custom Mode を使って Secure Boot Keys(PK/KEK/DB/DBX)を復旧する方法
ここから説明する内容は、BIOS に「Custom Mode」が存在するマザーボード・機種に限り使用できる、Secure Boot Keys(PK/KEK/DB/DBX)の“復旧専用”の手順です。
※「Custom Mode」は Secure Boot Mode:Custom を意味しています。「Custom Mode」についての詳細は、「Custom Mode」とは をお読みください。
■重要■
一般的な「セキュアブート更新(CA 2011 → CA 2023)」の手段としては一切使用できません。
■注意■
手動登録は UEFI の Secure Boot 変数(PK/KEK/DB/DBX)を直接書き換える操作になるため操作の難易度が非常に高く、誤ったキーを登録したり必要なキーを削除すると起動不能になるリスクがあります。
つまり、失敗すると起動不能(文鎮化)になるリスクがあります。
そのため、当ページで繰り返し述べているように、2026年6月までに、
- UEFI CA 2023対応のBIOSへの更新
- Windows Update による自動更新
- 当ページ記載の手動更新(ps1/cmd)
のいずれかの方法で、セキュアブート関連を更新しておくことを強く推奨します。
2026年6月以降に Secure Boot Keys を確実に更新できるのは UEFI Custom Mode です。
ただし、手動登録の難易度および失敗するリスクは非常に高く、通常のユーザー向けの方法ではありません。
また、以下の点に注意が必要です。
- 2026年6月以降は Windows Update によるセキュアブート関連の自動更新はほぼ確実に成功しない可能性があります。
- 当ページ記載の手動更新が成功するかどうかは機種依存であり、特に2026年6月以降は失敗するケースが大半になる可能性があります。
- メーカー製PCは Custom Mode が存在しないため、手動登録は基本的に使用できません。
- ■重要■自作PCは Custom Mode が存在するため手動登録が可能ですが、手動登録は UEFI 内部に CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)がすでに存在している場合にのみ意味があります。
つまり、まだ CA 2023 が入っていないパソコンで手動登録を実行しても CA 2011 のセキュアブートキーをバックアップして復元するだけなので全く意味がなく、セキュアブート更新の手段としては一切使用できません。
つまり後述の「■手動登録の大まかな流れ(概要)」の手順は、すでに CA 2023 が導入済みの特殊な環境で Secure Boot Keys を復旧する必要がある場合のみ参考になります。
一般的な「セキュアブート更新(CA 2011 → CA 2023)」の手段としては全く意味がなく参考にはなりません。
■前提条件■
手動登録が可能なのは以下の条件を全て満たしている場合のみです。
- BIOSに Custom Mode が存在する(自作PC・一部のビジネス向けメーカー製PCのみ)
- Custom Mode がロックされていない
- Factory Keys 以外を受け付ける設定になっている
- Secure Boot Keys(PK/KEK/DB/DBX)の手動登録が可能
メーカー製PCの一般的な家庭用・個人向けモデルには、原則として「Custom Mode」が存在しません。あるいは隠されていて見えません。
そのためメーカー製PCの多くはこれらの条件を満たさないため、手動登録自体が不可能なケースがほとんどです。
ただし例外もあり、HP・Dell・レノボなどのビジネス・法人向け上位モデルに限っては、管理者が独自署名を運用することを想定して「Custom Mode」が開放されている場合があります。
■補足■
多くの Custom Mode 対応マザーボードでは、Secure Boot Keys(PK/KEK/DB/DBX)を登録する際、USBメモリ内の証明書ファイル(.cer / .auth など)を直接読み込む方式になっています。
そのため、USBメモリが使用できない環境や、UEFI が外部メディアからの読み込みに対応していない機種では、手動登録が実質的に不可能となる場合があります。
■手動登録に失敗した場合、BIOS フラッシュバックで復旧できる?
結論から言うと、BIOS フラッシュバックでは Secure Boot Keys(PK/KEK/DB/DBX)の破損は基本的には復旧できません。
セキュアブートの鍵情報は、BIOS本体(ファームウェア)ではなく、UEFI の NVRAM(不揮発メモリ) に保存されています。
BIOS フラッシュバックが書き換えるのはあくまで「BIOS ROM」のみであり、NVRAM 内の Secure Boot Keys には一切触れません。
そのため、手動登録の手順で Secure Boot Keys(PK/KEK/DB/DBX) のいずれかを誤って書き換えたり、未完成の状態で保存してしまった場合、Secure Boot が正しく動作せず、起動不能になる可能性があります。
このような状態になっても、BIOS フラッシュバックでは鍵の破損は基本的には元に戻りません。
■なぜ BIOS フラッシュバックでは復旧できないのか?
- Secure Boot Keys は BIOS ROM ではなく NVRAM に保存されているため
- BIOS フラッシュバックは NVRAM を初期化しないため
- PK が壊れると Custom Mode に入れず、Factory Keys の再投入もできなくなるため
特に PK(Platform Key)が壊れている場合は、セキュアブートの管理権限そのものが失われるため、Factory Default Keys の再投入すらできず、完全にロックされた状態になります。
この状態はBIOS フラッシュバックでも解除できません。
■例外:一部マザーボードの「Factory Default Keys」機能
ASUS・Gigabyte・MSI・ASRockの一部モデルには、
- Load Default Secure Boot Keys
- Install Factory Default Keys
- Restore Factory Keys
といった機能があります。
ただし、これが使えるのは、
- PK が壊れていない
- NVRAM が正常に動作している
- Custom Mode に入れる状態である
といった限定的な条件下のみです。
PK が壊れている場合は Factory Keys すら投入できません。
■まとめ
BIOS フラッシュバックは「BIOS 本体の復旧機能」であり、Secure Boot Keys(PK/KEK/DB/DBX)を復旧する機能ではありません。
そのため、Secure Boot Keys が破損した場合に利用できる手段は非常に限られており、手動登録(UEFI Custom Mode)は“特殊ケース専用の復旧手段”に過ぎません。
手動登録が役に立つのは、すでに CA 2023 が導入済みの環境で Secure Boot Keys が破損した場合など、ごく限られた状況のみです。
一般的な「セキュアブート更新(CA 2011 → CA 2023)」の手段としては全く使用できず、参考にもなりません。
なお、ごく一部のハイエンドマザーボードでは、NVRAM を含むチップ全体を物理的に書き戻せる例外的な設計も存在しますが、メーカーが仕様として公開しているものではなく、「運が良ければ直るかもしれない」というレベルの不確実な挙動です。
セキュアブート関連の一般的な復旧手段として期待するのは極めて危険です。
手動登録ではセキュアブート関連の更新(CA 2011 → CA 2023)はできませんので、OS 上からの更新を最優先してください。
当ページで繰り返し述べているように、2026年6月までに、
- UEFI CA 2023対応のBIOSへの更新
- Windows Update による自動更新
- 当ページ記載の手動更新(ps1/cmd)
のいずれかの方法で、セキュアブート関連を更新しておくことを強く推奨します。
CMOSクリア(電池抜き)で鍵は元に戻る?
「鍵」とはSecure Boot Keys(PK/KEK/DB/DBX)のことです。CMOSクリアを行うと、セキュアブートが「Setup Mode(鍵が空の状態)」に戻る機種もあります。
しかし、これは「消えた鍵が元通りになる」わけではなく、単に「もう一度最初から鍵を登録し直せる状態になる」だけです。
電池を抜いても、書き換わってしまった鍵データ(NVRAM)そのものが初期状態に復元されるわけではない ため、セキュアブート関連の問題でCMOSクリアしても問題解決にならない、つまり「OSが起動しない状態の根本解決にはならない」という点に注意してください。
手動登録とは何をする作業なのか?
手動登録とは、BIOS(UEFI)の Secure Boot Mode:Custom を使い、USBメモリに保存した Secure Boot Keys(PK/KEK/DB/DBX)を 1 つずつ読み込んで登録する作業です。
登録する鍵は以下の4種類です。
- PK(Platform Key)
- KEK(Key Exchange Key)
- DB(許可リスト)
- DBX(禁止リスト)
これらを正しい順番・正しい形式で登録しないと、OS が起動しなくなります。
【参考】Secure Boot Keys(PK/KEK/DB/DBX)について
セキュアブートの鍵は、UEFI NVRAM に「Secure Boot Variables」として保存されています。
これらは一般的には Secure Boot Keys(PK/KEK/DB/DBX) と呼ばれ、Secure Boot の信頼モデルを構成する重要な要素です。
| 種類 | UEFI変数名(正式名称) | 役割 |
|---|---|---|
| PK | PK | Platform Key(最上位の管理鍵。Secure Boot の信頼の根) |
| KEK | KEK | Key Exchange Key(DB/DBX の更新を許可する鍵) |
| DB | db | Allow List(許可リスト。起動を許可する署名やハッシュ) |
| DBX | dbx | Disallow List(禁止リスト。危険なブートローダーをブロック) |
手動登録が難しい理由
以前にも書きましたが、BIOSのUEFIの Custom Mode を使った Secure Boot Keys の手動登録は、
- 当ページで紹介している手動更新、つまりWindows上で行うセキュアブート証明書の更新(ps1)およびbootmgfw(ブートマネージャー)の更新(cmd)の作業
と比べて、遥かに難易度が高いです。
■UI が非常に不親切
- マウスが使えない(キーボード操作のみ)
- 階層が深く、迷いやすい
- USBメモリの中身が正しく表示されないことがある
■証明書の種類を間違えると即アウト
- PK を消すと Secure Boot が壊れる
- KEK を誤ると DB/DBX が更新できない
- DB を誤ると OS が起動しない
- DBX を誤ると bootmgfw がブロックされる
どの鍵をどこに登録するか理解していないと詰みます。
■USBメモリの準備もシビア
- FAT32 でフォーマットする必要がある
- 証明書ファイル「.cer」「.der」「.auth」の形式を正しく揃える必要がある※
- UEFIがUSBメモリを読み込む際、深いフォルダ階層を辿れない機種がある
(例:USB:\SecureBoot\2026\Microsoft\Keys\PK\PK.auth のような4階層以上は非推奨。USB:\PK.cer のようにルート直下に置くのが安全。)
■メーカー製PCはそもそも拒否される場合がある
- Custom Mode が存在しない
- Key Management がロックされている
- Factory Keys 以外を受け付けない
つまり、メーカー製PCでは手動登録が不可能な場合が多いです。
■手動登録の大まかな流れ(概要)
実際の操作はマザーボードごとに異なるため、ここでは “概要” のみ説明します。
■注意■
手動登録は、UEFI 内部に CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)がすでに存在している場合にのみ意味があります。
CA 2023 が存在しないパソコンでも手動登録自体は実行できますが、登録できるのは古い CA 2011 だけなので、セキュアブートの更新手段としては無意味です。
手動登録が必要になるケースは“極めて限定的”で、通常は発生しません。
必要になるのは、後述する以下のような Secure Boot Keys が壊れた・消えた場合のみです。
- Secure Boot Keys(PK/KEK/DB/DBX)が完全に消えた
- CMOSクリアで Secure Boot Keys が初期化された
- DB/DBX の整合性が崩れ、bootmgfw がブロックされた
- 「Secure Boot:Enabled」に戻すと OS が起動しない
上記のような“最悪のケース”のみ、かつ、事前に鍵をバックアップしていた場合のみ、手動登録による復旧が可能です。
それ以外の状況では手動登録はできません。
つまり、ほとんどのパソコンでは、セキュアブートの更新手段としては無意味です。
なお、UEFI が CA 2023 キーを保持しているかどうかは機種依存です。
- 新しい自作PC(ASUS・Gigabyte・MSI・ASRockなど)は保持している場合があります。
- 古い自作PCでも、当ページ記載の手動更新(ps1/cmd)が成功した場合は CA 2023 キーが UEFI 内に保存されることがあります。
- 逆に、当ページ記載の手動更新が失敗した場合や、UEFI が Secure Boot 変数の書き換えに対応していない場合は CA 2023 キーが存在せず、手動登録は実行できません。
仮にネットに Secure Boot Keys(PK/KEK/DB/DBX)があったとしても、絶対使わないでください!
ネット上の CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)をDLして使うのは絶対NGです。
最悪の場合、ハッキングし放題でパスワードその他全て盗まれるだけではなく、あなたのパソコンが他者への不正アクセス・サイバー攻撃の踏み台になります!
■手動登録の大まかな流れ(概要)
USBメモリを FAT32 でフォーマットする。
↓
UEFI の「Export」機能で Secure Boot Keys(PK/KEK/DB/DBX)を USBメモリに保存する。
(※CA 2023 のキーが UEFI 内部に存在する場合のみ)
USB:\PK.cer
USB:\KEK.cer
USB:\db.cer
USB:\dbx.cer
例
USB:\SecureBoot\2026\Microsoft\Keys\PK\PK.auth のような4階層以上は非推奨。
USB:\PK.cer のようにルート直下に置くのが安全。
↓
BIOS を起動し、「Secure Boot:Enabled」の場合は 「Secure Boot:Disabled」に変更する。
↓
「Secure Boot Mode:Custom」に変更する。
↓
Key Management を開く。
(※機種によっては Key Ownership や Variables と表記される場合もあります)
↓
PK → KEK → DB → DBX の順に登録する。
必ずこの順番に登録しないと失敗します。
↓
「Secure Boot:Enabled」に戻す。
↓
OS が起動するか確認する。
■注意■
この順番を間違えると、OS が起動しなくなります。
これは多くの自作マザーボード(ASUS/MSI等)の画面メニュー順(上から順)に合わせた流れに基づいて「PK → KEK → DB → DBX の順に登録する」としました。
本来のUEFI仕様では「最後にPKを登録してUser Modeへ移行する」のが正式な作法です。
しかし、多くの自作マザーボード(ASUS・Gigabyte・MSI・ASRockなど)では、BIOS画面の並び順に合わせて「PK → KEK → DB → DBX」の順で登録しないと受理されないケースが非常に多く見られます。
そのため、本記事では実機で最も成功率の高い「PK → KEK → DB → DBX」の順番での登録を推奨します。
ただし、マザーボードによって挙動が異なる場合があるため、画面に明確な指示がある場合はそちらを優先してください。
手動登録が必要になるケースは“極めて限定的”
2026年6月までに当ページ記載の手動更新(ps1/cmd)を済ませていれば、手動登録が必要になるケースはほぼありません。
手動登録が必要になるのは、例えば以下のような “最悪のケース” です。
- Secure Boot Keys(PK/KEK/DB/DBX)が完全に消えた
- マザーボードの CMOS クリアでSecure Boot Keys(PK/KEK/DB/DBX)が初期化された
- bootmgfw がブロックされ、DB/DBX の整合性が崩れた
- 「Secure Boot:Enabled」に戻すと OS が起動しない
これらは通常の運用ではほぼ起きません。
※Secure Boot Keys が完全に消えた場合、Windows Update は Secure Boot Keys(PK/KEK/DB/DBX)を新規作成できないため復旧できません。
■結論■手動登録は“復旧専用の特殊手段”であり、一般ユーザーには不要
ここまで読めばわかるように、手動登録は非常に難しく失敗した場合のリスクも大きい上に、一般的な「セキュアブート更新(CA 2011 → CA 2023)」の手段としては全く意味がなく参考にはなりません。
手動登録が必要になるのは、すでに CA 2023 が導入済みの特殊な環境で Secure Boot Keys が破損した場合など、ごく限られた復旧ケースのみです。
そのため、セキュアブートを更新したい一般ユーザーにとっての結論としては、
■手動登録は一般ユーザーにとっては不要であり、セキュアブートの更新手段としては無意味です。
当ページで繰り返し述べているように、
2026年6月までに、
- UEFI CA 2023対応のBIOSへの更新
- Windows Update による自動更新
- 当ページ記載の手動更新(ps1/cmd)
のいずれかの方法で、セキュアブート関連を更新しておくことを強く推奨します。
これが最も安全で確実なセキュアブート更新方法です。
なお、私は当ページ記載の手動更新を実行しただけで手動登録は実行していません。
3月29日時点で私のマザーボード「P8Z77-V DELUXE」で「Check UEFI PK, KEK, DB and DBX.cmd」で全ての “Current” がチェックON(有効)になっているのは、当ページ記載の手動更新およびその後の Windows Update によるものです。
3月29日時点
↓
よくある質問
古いグラフィックボードのBIOS(VBIOS)が原因で2026年6月以降に Windows が起動できなくなる?
ネット上で
- 古いグラフィックボードのBIOS(VBIOS)が原因で、2026年6月以降に Windows が起動できなくなる
という情報を見かけることがありますが、結論として、
- 古いグラフィックボードのBIOS(VBIOS)が原因で Windows 自体が起動できなくなるというケースは、現在 Secure Boot が正常に動作してOSが正常に起動できている環境であれば現実的にはほとんどありません。
今回のセキュアブート証明書問題(CA 2011 → CA 2023)は、
- bootmgfw.efi(Windows Boot Manager)の署名
- UEFI 内部の DB/DBX の更新状態
が原因です。
GPU の BIOS(VBIOS)は環境によっては Secure Boot の検証対象ですが、今回の OS 起動用証明書の失効スケジュール(CA 2011 → CA 2023)の影響は受けません。
なぜなら、Secure Boot が検証する VBIOS の署名は、OS 起動ファイル(bootmgfw.efi など)で使用される Microsoft UEFI CA 2011/2023 とは用途や検証対象が異なり、今回の 2026 年問題の影響を受けないためです。
なお、古いグラフィックボードに関して、
- 今回のセキュアブート2026年問題が原因で画面が映らなくなることはありません。
- GOP 非対応の古いグラフィックボードで画面が映らないケースは昔からある別の問題であり、今回の2026年問題とは無関係です。
■ただし、「セキュアブート:有効」時に限り、別の問題が起こる可能性はあります。
以下のような Secure Boot とは別の要因 により、
- 画面が映らない
- POSTが通らない
- 初期化に失敗する
といった症状が出る場合があります。
■参考■
GPU-Z
の「UEFI」チェック箇所は
- GOP(Graphics Output Protocol)対応かどうか
を示すだけで、2026年のセキュアブート証明書失効とは無関係です。
GOP非対応の古いグラフィックボードでは「セキュアブート:有効」にすると画面が映らないことがありますが、これは昔からある別問題です。
GPU-Zにて「UEFI」がチェックONになっていれば、GOP非対応で画面が映らない問題には該当しません。
- 古いグラフィックボードのBIOS(VBIOS):UEFI GOP 非対応
- Option ROM の実装差異
が原因ですがこれは今回のセキュアブート2026年問題とは無関係であり、GOP非対応で画面が映らない場合は「セキュアブート:無効」にすれば起動できるケースがほとんどです。
ただし、
- 「セキュアブート:無効」にするとセキュリティ的にかなり脆弱になる
という点には注意が必要です。
■まとめ■
2026年6月以降にセキュアブート有効時に、「古いグラフィックボードの VBIOS が原因で Windows が起動できなくなるのでは?」という不安があるかもしれないですが、現在 Secure Boot を有効にした状態で正常に画面が映り、Windows が起動できている環境であれば、現実的にはほとんどない、または可能性はかなり低いと考えてよいと思います。
今回のセキュアブート2026年問題は OS起動ファイル(bootmgfw.efi)の署名更新が対象であり、グラフィックボードの VBIOS(Option ROM)の署名は別枠で管理されており、失効対象ではありません。
ただし、UEFI GOP 非対応の非常に古いグラフィックボードを使用している場合は、Secure Boot を有効にした瞬間に画面が映らなくなることがありますが、これはセキュアブート2026年問題とは無関係で「今でも起きる」別の問題です。
2026年6月以降に Windows をクリーンインストールしても大丈夫?
結論として、2026年6月以降のクリーンインストールは基本的に避けるべきです。
理由は、Windows のインストールメディアに含まれる bootmgfw.efi が古い「Windows UEFI CA 2011」で署名されている場合があり、2026年6月以降は CA 2011 が DBX により失効扱いとなるため、Secure Boot がブロックして Windows が起動できなくなる可能性があるためです。
特にメーカー製PCでは、
- Custom Mode がない
- Secure Boot Keys の手動登録ができない
- Windows から UEFI に書き込む権限も 2026年6月以降は失われる
ため、クリーンインストール後に復旧不能となるリスクがあります。
自作PCの場合は、Secure Boot を一時的に無効にして起動し、手動更新(ps1)を実行してから Secure Boot を再度有効にすることで復旧できる可能性がありますが、成功率は環境依存であり、一般的には推奨できません。
以上の理由から、2026年6月以降は
- クリーンインストールを避ける
- 既存環境を維持し、事前に Secure Boot 関連を更新しておく
ことを強く推奨します。
CA2023対応済みの状態でバックアップソフトでハードディスクをフルバックアップ復元した場合、CA2023対応は維持される?(同一ディスク/別ディスク)
結論として、バックアップからの復元では CA 2023 対応は維持されます。
セキュアブートの成否に関わる情報の多くはマザーボード側(UEFI)に保存されており、ディスクのバックアップとは無関係だからです。
セキュアブート2026問題の本質は、
- bootmgfw.efi(Windows Boot Manager)の署名(CA 2011 → CA 2023)
- UEFI 内部の DB/DBX(CA 2023 の登録、CA 2011 の失効)
の2点ですが、このうちDB/DBX は UEFI(マザーボード)側に保存されているため、バックアップの復元では消えません。
■同一ハードディスクに復元した場合、CA 2023 対応のままで復元できます。
理由:
- バックアップに含まれている bootmgfw.efi は CA 2023 署名のまま
- UEFI DB/DBX はマザーボードに残っている
そのため、復元後もセキュアブートは正常に通ります。
■別のハードディスクに復元した場合も、基本的にはCA 2023 対応のままで復元できます。
理由は同じで、
- 復元された bootmgfw.efi は CA 2023 署名
- UEFI DB/DBX はマザーボード側に保持されている
ディスクが変わってもセキュアブートの判定には影響しません。
■ただし同一ハードディスク・別のハードディスクに復元する場合、唯一の例外があります。
バックアップを作成した時点で、
- bootmgfw.efi がまだ CA 2011 署名のままだった
という場合は、2026年6月以降は CA 2011 が DBX に順次登録され次第、 CA 2011 が失効扱いとなるため、
- Secure Boot がブロック
- 結果、Windows が起動できない
という状態になります。
バックアップソフトでバックアップする前に管理者権限でCheck Windows state.cmdを実行して
- bootmgfw signature CA : Windows UEFI CA 2023
が表示されていれば、この例外には該当しません。
BIOS上書きで Secure Boot Keys や bootmgfw は復旧できる?
2026年6月までにセキュアブート関連(CA 2023 や bootmgfw)が正常に更新できていた場合、その時点の BIOS をバックアップして手元に残しておけば、
- 2026年6月以降に Secure Boot Keys が初期化された場合
- 2026年6月以降に bootmgfw が削除された場合
などのトラブル時に、
- 「BIOS を上書き → その後に手動更新」 という手順で復旧できるのでは?
と疑問に思う方もいるかもしれません。
ここでは、Secure Boot Keys(CA 2023) と bootmgfw(ブートマネージャー) の両方について、BIOS上書きで復旧できるのかどうかを整理します。
Secure Boot Keys(CA 2023 および PK/KEK/DB/DBX)は復旧できる?
2026年6月までにセキュアブート関連(CA 2023 や bootmgfw)が正常に更新できていた場合、その時点の BIOS をバックアップ・上書きにて、Secure Boot Keys(CA 2023 および PK/KEK/DB/DBX)は復旧できるかどうか?
結論から言うと、
✔ 一部のマザーボードでは復旧できる可能性があります(ただし機種依存)
理由は以下の通りです。
● 一部メーカーの BIOS は Secure Boot Keys を内包している
ASUS・Gigabyte・MSI・ASRockなどの一部モデルでは、
- BIOS 内に Secure Boot Keys(特に KEK / DB)を内包している
- BIOS 更新時に NVRAM に再展開する挙動がある
という仕様が確認されています。
そのため、「2026年6月までに CA 2023 に更新済みの BIOS」で再度上書きすると、CA 2023 が NVRAM に再展開されて復旧できる場合があります。
● ただし、全てのマザーボードで保証される挙動ではないことに注意が必要です。
- BIOS に鍵を内包していない機種
- NVRAM を初期化しない機種
- Secure Boot Keys を再展開しない機種
では、BIOSの上書きでは復旧できません。
【参考】
全ての「BIOS上書き」が同じ挙動ではないことにご注意ください。
通常の BIOS 更新(上書き)とは別に、「BIOS Flashback」機能を持つマザーボードもあります。
一部のマザーボードには「BIOS Flashback」機能がありますが、これは ROM だけを書き換える仕組みのため、NVRAM に保存されている Secure Boot Keys は復旧しません。
つまり、「BIOS Flashback で古い BIOS に戻せば Secure Boot Keys もCA 2023対応のやつに戻る」ということはありません。
bootmgfw(Windows ブートマネージャー)は復旧できる?
2026年6月までにセキュアブート関連(CA 2023 や bootmgfw)が正常に更新できていた場合、その時点の BIOS をバックアップ・上書きにて、bootmgfw(Windows ブートマネージャー)は復旧できるかどうか?
こちらは非常に明確で、
❌ BIOS上書きでは絶対に復旧できません。
理由は以下の通りです。
● bootmgfw.efi は BIOS ではなく Windows 側のファイルだからです。
bootmgfw.efi は、EFI\Microsoft\Boot\bootmgfw.efi にあります。
これは EFI System Partition(ESP)内にあり、BIOS ROM とは完全に別領域です。
BIOS を書き換えても ESP の内容は一切変わりません。
そのため、
- BIOS上書き
- BIOS初期化
- BIOS Flashback
いずれでも bootmgfw.efi は 1 バイトも変わりません。
■注意■
2026年6月以降は当ページ記載の手動更新(ps1/cmd)は失敗する可能性が高いです。
Microsoft が CA 2011 を DBX に登録(失効)した時点で、古い bootmgfw(CA 2011 署名)は UEFI によって拒否されます。
※OEM やマザーボードメーカーが提供する BIOS/UEFI 更新にMicrosoft の DBX 更新が含まれる場合もありますが、いずれも Microsoft が決定した失効内容に従う形です。
CA 2011 が DBX に登録されて失効すると
- 古い bootmgfw(CA 2011 署名)は UEFI が拒否
- 更新スクリプトも実行できない
つまり、bootmgfw の再更新は不可能となります。
ただし、2026年6月までに CA 2023 への更新が一度でも正常に完了しているPCでは、2026年6月以降でも当ページ記載の手動更新スクリプトが成功する機種もあります。(機種依存))
これは「BIOS上書きで復旧できる」という意味ではなく、あくまで Windows 上で実行する当ページ記載の手動更新が例外的に成功する場合がある、という意味です。
■まとめ■
BIOS上書きで復旧できるのは Secure Boot Keys のみ(しかも機種依存)です。
bootmgfw(ブートマネージャー)は BIOS とは無関係なので、BIOS上書きでは復旧できません。
ただし、2026年6月までに CA 2023 への更新(自動更新/手動更新)が一度でも正常に完了している PC であれば、bootmgfw が破損した場合でも、2026年6月以降に手動更新スクリプト(ps1/cmd)が成功する機種もあります。
※これはあくまで機種依存であり、すべてのPCで成功するわけではありません。
また、BIOS上書きによって bootmgfw が復旧するわけではないという点に注意が必要です。
| 項目 | BIOS上書きで復旧できる? | 備考 |
|---|---|---|
| Secure Boot Keys(CA 2023 および PK/KEK/DB/DBX) | 一部の機種では可能 | BIOS が鍵を内包している場合のみ |
| bootmgfw(ブートマネージャー) | 絶対に不可能 | ESP にある Windows 側のファイル |
2026年6月までに更新済みなら、バックアップ復元や BIOS上書きでセキュアブート関連を再更新(復旧)できる?
2026年6月までにセキュアブート関連(CA 2023 や bootmgfw)が正常に更新できていた場合、その時点で
- バックアップソフトでバックしておく
- 念のためBIOSもバックアップ
しておけば、2026年6月以降に万が一の場合
- 「セキュアブート:無効」にしてバックアップソフトで復元 → 「セキュアブート:有効」に戻す
- BIOSを復元して、再度当ページ記載の手動更新をする
のどちらかでセキュアブート関係の全てを復旧(あるいは再更新)できるのか?
疑問に思いますよね?
結論から言うと、Secure Boot の復旧方法は「確実にできるもの」と「機種依存のもの」に分かれます。
以下は、2026年6月までにセキュアブート証明書の更新およびbootmgfw(ブートマネージャー)の更新のどちらも正常に完了しているPCを前提にした、2026年6月以降の復旧方法です。
1. ■注意■Secure Boot Keys の復旧は機種依存です。
Secure Boot Keys(KEK/DB)特に 2012 年前後の古い UEFI(例:私のような ASUS Z77 世代)では、
- BIOS が Secure Boot Keys(特に KEK / DB)を内包している可能性はある
- しかし NVRAM への再展開が必ず起きるとは限らない
- BIOS Flashback は ROM だけ書き換えるため Keys は復旧しない
という特徴があります。
つまり、BIOS上書きで Secure Boot Keys が復旧するかどうかは、機種依存であり確実に成功するとは限りません。
2. ■復旧方法その1■バックアップソフトでのバックアップ復元(「セキュアブート:無効」 → バックアップファイルから復元 → 「セキュアブート:有効」)
バックアップソフトでバックアップして、そのバックアップファイルから復元(「セキュアブート:無効」 → バックアップファイルから復元 → 「セキュアブート:有効」)の手順、これは確実に復旧できます。
復旧できる理由は以下の通りです。
- バックアップソフトは ESP(EFI System Partition)も含めて丸ごと復元する
- 復元後の ESP には CA 2023 署名済み bootmgfw がそのまま戻る
- Secure Boot Keys が NVRAM に残っている限り、そのまま利用できる
- 「セキュアブート:無効」 → バックアップファイルから復元 → 「セキュアブート:有効」、という流れは問題なし
つまり、バックアップソフトでのバックアップ復元は最も確実な復旧手段です。
■注意■
Secure Boot Keys(PK/KEK/DB/DBX)はディスクではなく NVRAM にあるため、Secure Boot Keys が NVRAM から完全に消えていた場合、バックアップ復元だけでは復旧できません。
3. ■復旧方法その2■BIOS上書き → 当ページ記載の手動更新
BIOSを上書きして、その後当ページ記載の手動更新にて復旧できる可能性はありますが、復旧するかどうかは機種依存であり確実に成功するとは限りません。
機種依存である理由は以下の通りです。
- 一部の BIOS は CA 2023 の KEK/DB を内包している
- しかし NVRAM 再展開が必ず起きるとは限らない
- BIOS上書き後に当ページ記載の手動更新が成功するかどうかも 機種依存
特に古い世代(例:Z77)は、
- UEFIの実装が古い
- セキュアブート周りの仕様が今ほど厳密でない
- NVRAM の扱いが不安定
なため、成功率は未知数です。
2026年6月までに セキュアブート証明書の更新およびbootmgfw(ブートマネージャー)の更新のどちらも正常に完了しているPCであれば、この手順で復旧できる可能性はあります。
ただし、機種依存であり確実に成功するとは限りません。
bootmgfw(ブートマネージャー)の復旧は BIOS とは関係ありません。
- bootmgfw は ESP(ディスク)にある Windows 側のファイル
- BIOS上書き・初期化・Flashback のいずれでも 1 バイトも変わらない
- bootmgfw の確実な復旧は「バックアップソフトでのバックアップ復元」一択です。
- BIOS上書きでは絶対に復旧しません。
■まとめ■
✔ バックアップソフトでのバックアップ復元(「セキュアブート:無効」 → バックアップファイルから復元 → 「セキュアブート:有効」)
→ 最も確実。Secure Boot Keys も bootmgfw も復旧できます。
✔ BIOS上書き → 当ページ記載の手動更新
→ Secure Boot Keys が復旧できる可能性はありますが機種依存であり、確実に成功するとは限りません。
また、BIOS上書きでは bootmgfw は復旧しません。
セキュアブートを維持するための保全策・注意点
セキュアブートを維持するための保全策・注意点は以下の通りです。
保全策
- ESP を含むディスクのフルバックアップを必ず保存、つまりバックアップソフトでのバックアップ
- (念のため)BIOSのバックアップも保存
- Secure Boot Keys(PK/KEK/DB/DBX)を絶対に削除しない
バックアップソフトでディスク丸ごとバックアップさえしておけば、万が一の時でもCA 2023対応した状態で復元できます。
なお、「Secure Boot Keys(PK/KEK/DB/DBX)を絶対に削除しない」に関しては、注意点がたくさんあります。
■注意点
セキュアブートを維持するための注意点は数が多いですが、基本的には「余計なことはしない」でOKかと思います。
■1.BIOS リセット(Load Optimized Defaults / Factory Defaults)しない
- 最適化されたデフォルトを読み込む
- 工場出荷時設定に戻す
特に 2011〜2013 の初期 UEFI の場合、これらは Secure Boot Keys を初期化する場合があるのでご注意ください。
■2.CMOSクリア(CMOS クリアボタン・CLRTC ジャンパー)をいじらない
- CMOSクリア専用ボタン
- マザーボードの CLR_CMOS ジャンパー
これらは CMOS と NVRAM が連動している古い世代では Keys が消える可能性があるのでご注意ください。
※特に Z77世代(および 2011〜2013 の初期 UEFI 世代)は注意!
■3.CMOS電池(CR2032)を外さない
- 数秒〜数分でも外すと CMOSクリア扱いになる機種がある
- 古い UEFI では NVRAM も初期化される設計が存在する
■参考■
CMOS電池(CR2032)の寿命は 5〜10年 が目安です。
実際には
- 新品マザーボード:7〜10年持つことが多い
- 中古・古いマザーボード:3〜5 年で切れることがある
- Z77(2012 年世代)なら、ほぼ確実に寿命が近い
という傾向があります。
私(マザーボード:P8Z77-V DELUXE)の場合は、確か2年くらい前に一度CMOS電池(CR2032)を交換しました。
■注意■
CMOS電池を外すと、現在のBIOS設定もクリアされる可能性が高いです。
CMOS 電池を外すと、マザーボードは CMOS RAM の保持ができなくなるため、
- BIOS設定(時刻・ブート順・Secure Boot 設定など)が初期化される
- 古い UEFI(2011〜2013 世代)では NVRAM も初期化される設計がある
その場合 Secure Boot Keys(PK/KEK/DB/DBX)が消える可能性があります。
特に Z77世代(および 2011〜2013 の初期 UEFI 世代)は CMOS と NVRAM が連動している個体が存在するため、
- CMOS 電池外し=Secure Boot Keys 消失のリスク
と考えるべきです。
■4.BIOS の「Factory Key」や「Install Default Secure Boot Keys」を実行しない
Secure Boot メニューにある
- Install Default Secure Boot Keys
- Restore Factory Keys
- Delete All Secure Boot Keys
これらは PK/KEK/DB/DBX を初期化または削除する操作なので、(CA 2023対応のBIOSに更新する時以外は)絶対に触ってはいけないです。
ただし、「Restore Factory Keys」や「Install Default Secure Boot Keys」は、CA 2023対応のBIOSに更新する時だけ実行しても問題ありません。
それ以外の BIOS では、古い PK/KEK/DB/DBX が展開されるだけでCA 2023 には更新されず Keys が消失する危険があるため、(CA 2023対応のBIOSに更新する時以外は)絶対に実行しないでください。
■5.Secure Boot Mode を “Custom” に切り替えて保存しない
Custom Modeに入ると
- PK/KEK/DB/DBX の編集画面に入る
- 一部機種では Custom に切り替えた瞬間に Keys が初期化される
のでご注意ください。
特に Z77世代(および 2011〜2013 の初期 UEFI 世代)は挙動が不安定なので危険です。
■6.BIOS Flashback を使わない
- Flashback は ROM だけ書き換える
- NVRAM の Keys は復旧しない
- さらに機種によっては Keys が消える副作用 がある
みたいです。
■7.Secure Boot を “Custom → Standard” に戻す操作をしない
一部の古い UEFI では、Custom → Standard に戻す際にKeys(PK/KEK/DB/DBX)を再生成または初期化する挙動 があるのでご注意ください。
これは先ほどの
■5.Secure Boot Mode を “Custom” に切り替えて保存しない
とは挙動が異なります。
| 項目 | 危険が起きるタイミング | 内容 |
|---|---|---|
| ■5 “Custom” に切り替えて保存しない | Custom に切り替えた瞬間 | Keys(PK/KEK/DB/DBX)が初期化される機種がある |
| ■7 “Custom → Standard” に戻す操作をしない | Custom → Standard に戻す瞬間 | Keys(PK/KEK/DB/DBX)が再生成または初期化される機種がある |
■8.NVRAM を初期化する BIOS オプションを操作しない
「NVRAM を初期化する BIOS オプション」の名称は機種により異なります。
- Erase NVRAM
- Reset Secure Boot Variables
- Clear Secure Boot Keys
これらは Keys を直接削除する操作です。
「外さない」「いじらない」「操作しない」をまとめると以下のようになります。
| 種類 | 操作内容 | Secure Boot Keys への影響 |
|---|---|---|
| CMOS 関連 | CMOS クリア、CMOS 電池(CR2032)外し | 古い UEFI では NVRAM も初期化され、Keys が消える機種がある(Z77 は特に危険) |
| BIOS リセット | Load Optimized Defaults / Factory Defaults | Secure Boot Keys が初期化される場合がある |
| Secure Boot 設定 | Factory Keys / Default Keys / Custom Mode切替 | Keys が削除・初期化される(特に Custom Modeは危険) |
| BIOS Flashback | ROM のみ書き換え(NVRAM は書き換えない) | Keys は復旧せず、機種によっては消える可能性もある |
| NVRAM 関連 | Erase NVRAM / Reset Secure Boot Variables | Secure Boot Keys を直接削除する操作 |
セキュアブートを維持するための保全策・注意点は以上です。
注意点は数が多いのでご注意ください。
「よくある質問」は以上です。
■4月18日 追記■【未確定】自作PCは、2026年6月以降もセキュアブートを更新できる可能性が(わずかに)あります。※Custom Mode 搭載のマザーボードのみ
※本項目は現時点では未確定情報を含む補足であり、通常の更新手順として利用できるものではなく、現時点では推奨できる手段ではありません。
2026年6月以降、Microsoftによって CA 2011 が DBX(拒否リスト)に登録されると、CA 2011 署名の Secure Boot Keys は実質的に無効化され、当ページ記載の手動更新(ps1/cmd)およびその後のWindows Updateによる従来のセキュアブート更新手段は利用できなくなります。
ただし、自作PC(ASUS・Gigabyte・MSI・ASRockなど)の多くはUEFI の Custom Mode(PK/KEK/DB/DBX を手動で書き換える機能)を備えており、
- Microsoft Corporation KEK 2K CA 2023
- Windows UEFI CA 2023
などの Microsoft公式の Secure Boot Keys(PK/KEK/DB/DBX) をUSBメモリから手動登録できる可能性があります。
そのため、Custom Mode が使える自作PCであれば、2026年以降もセキュアブートを更新できる可能性があります。
■注意その1■
変な期待を持たせるのも不本意なので再度書いておきますと、
- Custom Mode 搭載の自作PCのみの話です。
- KEK/DBのみの更新でも一部の環境では動作する場合がありますが、セキュアブートの正式な完全更新とは言えず、Custom Modeでの中途半端な登録操作は起動不能(文鎮化)のリスクが増えるだけです。
- PKを含めた更新が行えない場合、セキュアブートの完全な更新とは言えない状態になります。
ので、ご注意ください。
- メーカー製PCにはほぼ該当しません。
Microsoftが後述の CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)の4ファイル全て を一般ユーザー向けに公開する可能性は現時点では不透明であり、これに依存した対策は現実的ではありません。
そのため、変な期待を持たず、2026年6月までに
- UEFI CA 2023対応のBIOSへの更新
- Windows Update による自動更新
- 当ページ記載の手動更新(ps1/cmd)
のいずれかの方法で、セキュアブート関連を更新しておくことを強く推奨します。
大事なことなので再度書いておきますが、
以下の内容は
- 現時点では未確定情報を含む補足であり、
- 通常の更新手順として利用できるものではなく、
- 現時点では推奨できる手段ではありません。
あくまで
- 2026年6月までに何らかの理由でセキュアブート更新ができなかった自作PCのみに関して、2026年6月以降でも更新できる可能性がごくわずかだけある
という、超わずかな可能性としての参考程度の内容です。
くれぐれも淡い期待は持たないよう、お願いします。
自作PCの場合
2026年6月以降に自作PCでセキュアブートを更新するには、Microsoft公式の CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)の4ファイル全て が必要です。
- この4ファイルがMicrosoftから公開されれば、
- 2026年6月以降でも自作PCであれば
- 4ファイルとも、UEFIで登録可能な形式(.auth / ESLなど)に変換すれば
手動登録にてセキュアブート更新が可能となります。
いくつも「タラレバ」が重なっての話ですので、十分にご注意ください!
しかし、2026.5.19時点で Microsoft が公開しているのはKEK/DBのみで、以下の4つのみです。
- microsoft corporation kek 2k ca 2023.crt(KEK)
- microsoft uefi ca 2023.crt(DB)
- windows uefi ca 2023.crt(DB)
- microsoft option rom uefi ca 2023.crt(DB)
つまり、CA 2023 に対応した Microsoft公式の PK や DBX を含む完全な更新用ファイルはまだ公開されていません。
そのため現時点では、「2026年以降も確実に更新できる」と断定できる状況ではありません。
なお、KEK は「DB と DBX の更新を許可する鍵」ですが、実際の DBX 更新には Microsoft が提供する更新パッケージが必要です。
現時点では CA 2023 対応の DBX 更新パッケージは公開されていません。
また、当サイト記載の手動登録等で Microsoft Corporation KEK 2K CA 2023 に更新しても、その後の Windows Update によって DBおよびDBX が CA 2023 対応に更新されるとは限りません。
■注意その2■
Microsoft公式以外のサイトで配布されている Secure Boot Keys を絶対に使用しないでください。
改ざんされている可能性があり、最悪パソコンが乗っ取られる等の重大なセキュリティリスクがあります。
■注意その3■
現在Microsoftが公開しているのは.crt形式(証明書のみ)が多く、UEFIが直接読み込める.auth(署名付き変数更新ファイル)や、PKとして機能するファイルが揃っていないのが現状です。
仮にMicrosoft公式の Secure Boot Keys が全て公開・ダウンロードできたとしても、実際にはUEFIで登録可能な形式(.auth / ESLなど)に変換してから手動登録の作業をする必要があります。
万が一将来Microsoft公式の CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)の4ファイル全て が公開されてダウンロードできるようになったら、
4ファイルとも、UEFIで登録可能な形式(.auth / ESLなど)に変換すれば
の変換手順を(場合によっては)ここに書くかもしれません。
その後に手動登録すればセキュアブート更新が可能になるはずです。
ただし以前にも書きましたが、手動登録は失敗したら起動不能(文鎮化)になりますので、注意が必要です。
メーカー製PCの場合
NEC・富士通・HP・Dellなどのメーカー製PCは Custom Mode が存在せず、USBメモリから Secure Boot Keys を登録する機能もありません。
そのため、2026年6月以降はユーザー自身によるセキュアブートの更新は基本的に行えなくなります。
※メーカーが BIOS アップデートで対応する可能性は(理論上は)あります。実際はほぼないと思います。
■注意■Microsoft OEM PK(windows oem devices pk.cer)は自作PCでは絶対に使ってはダメです!
Secure Boot の最上位キーである PK(Platform Key) は、
- そのPCの Secure Boot を誰が管理するか?
を定義する重要な鍵です。
■メーカー製PCの場合( OEM つまり、NEC・富士通・HP・Dellなど)
PK はメーカー(OEM)が所有し、工場出荷時に登録されます。
Microsoft が OEM 向けに提供している PK(Windows OEM Devices PK)は、メーカー製PCの製造工程で利用されるもので、一般ユーザーが利用することを前提としたものではありません。
ここでいう「OEM(メーカー製PC)」とは、NEC・富士通・HP・Dell などの完成品PCメーカーを指します。
ASUS や MSI などのマザーボードメーカーは、
- 完成品を販売する場合は OEM に分類され
- 普通にマザーボード単体を販売している場合は OEM ではなく、自作PCカテゴリに分類されます。
ここで説明している PK が、(Windows OEM Devices PK)つまり windows oem devices pk.cer です。
なお、自作PCの場合、PK(Platform Key)はマザーボードメーカーが工場出荷時に最初から登録しているため、ユーザーが自分で PK を用意したり取得したりする必要はありません。
■注意■
この windows oem devices pk.cer を自作PCで使うと、Secure Boot の「所有者」が Microsoft OEM になってしまい、将来の更新で予期しない挙動を起こす可能性が高いです。
windows oem devices pk.cer はメーカー製PCの更新パスを前提にしているため、自作PCのマザーボードでは整合性が取れません。
Microsoft が一般ユーザー向けに PK を提供することは仕様上ありえません。
■自作PCの場合(ASUS・Gigabyte・MSI・ASRockなど)
PK はマザーボードメーカーが設定したもの、または Custom Mode を使ってユーザー自身が生成した PK を登録できます。
ただし先ほど書いた通り、 Microsoft OEM PK つまり windows oem devices pk.cer を自作PCに登録することは仕様上不適切であり、Secure Boot の所有者が Microsoft OEM になってしまうため推奨できません。
現時点(2026/4/18)では、CA 2023 対応の PK や DBX は公開されておらず、おそらく一般ユーザーが CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)の4ファイル全て を揃えることはできません。
そのため、
- 自作PC向けの CA 2023 対応 PK を提供できるのはマザーボードメーカーのみ
となります。
■補足■
先ほど書いた通り、Microsoft が一般ユーザー向けに PK を提供することは仕様上ありえません。
そのため、 PK はマザーボードメーカーが提供するしかありません。
※おそらく古いマザーボード向けに PK が提供される可能性は極めて低いと考えられます。
一方で、KEK/DB/DBX については Microsoft が公開する可能性があります。
実際に KEK と DB はすでに公開されており、DBX も将来公開される可能性があります。
4ファイルのうち PK だけは一般ユーザーが入手できないため、 CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)の4ファイル全て を揃えられる可能性は「ゼロではないものの、実質的には極めて低い」のが現状です。
将来 CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)の4ファイル全て を揃えられる可能性がゼロではないので
- ■4月18日 追記■【未確定】自作PCは、2026年6月以降も・・・
を追加しましたが、現実的にはその可能性は極めて低いため、あくまで“補足情報”として捉えてください。
淡い期待を抱くのはやめたほうが無難です。
【Secure Boot の PK(Platform Key)の役割】
└─ Secure Boot の「所有者」を定義する最上位キー
└─ PK が誰のものかで、更新権限の所在が決まる
■ OEM(メーカー製PC)の場合
[Microsoft OEM PK] または [メーカー独自PK]
│
├─ 工場出荷時にメーカーが登録
│
└─ Secure Boot の管理者=メーカー(OEM)
● 特徴
・Microsoft が OEM 向けに提供する PK を使える
・ユーザーは PK を変更できない(Custom Mode が無い)
・更新はメーカーの BIOS アップデート頼り
■ 自作PC(ASUS / MSI / Gigabyte / ASRock など)の場合
[マザーボードメーカーの PK] または [ユーザー自身が生成した PK]
│
├─ 工場出荷時にメーカーが登録
│
└─ Secure Boot の管理者=ユーザー(Custom Mode で変更可能)
● 特徴
・Microsoft OEM PK は使用不可(所有者が Microsoft になるため)
・CA 2023 対応 PK を提供できるのは「マザーボードメーカーのみ」
・ユーザー自身が PK を作ることも可能(ただし CA 2023 とは無関係)
■ 結論
●Microsoft OEM PK(つまり windows oem devices pk.cer)は、自作PCでは絶対に使ってはいけない
●自作PC向け CA 2023 PK を提供できるのはマザーボードメーカーだけ
●現時点(2026.4.18)では CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)の4ファイル全て は公開されていない
大事なことなので再度書いておきます。
Secure Boot の PK は、そのPCの「所有者」を定義する最上位キーです。
そのため、Microsoft が OEM 向けに提供している PK(Windows OEM Devices PK)つまり windows oem devices pk.cer は、自作PCで使用することはできません。
- 自作PCの PK を提供できるのは マザーボードメーカーのみです。
- Microsoft は一般ユーザー向けに PK を配布していません。
■注意■
windows oem devices pk.cer を自作PCに登録すると、Secure Boot の所有者が Microsoft OEM になり、将来の更新で重大な問題を引き起こす可能性があります。
現時点(2026.4.18)では CA 2023 対応の Secure Boot Keys(PK/KEK/DB/DBX)の4ファイル全て は公開されていません。
したがって、「自作PCなら2026年以降も更新できるかも」という淡い期待は持たないでください!
2026年6月までに、
- UEFI CA 2023対応のBIOSへの更新
- Windows Update による自動更新
- 当ページ記載の手動更新(ps1/cmd)
のいずれかの方法で、セキュアブート関連を更新しておくことを強く推奨します。
以上でセキュアブート関連に関して全て完了です。
くどいようですが最終確認は、管理者権限でCheck Windows state.cmdを実行して
- bootmgfw signature CA : Windows UEFI CA 2023
が表示されるかどうか、だけでOKです。
この記事の手順にて無事更新できることを願っています。
参考サイト
■Microsoft:セキュアブート関連の更新とお知らせ
■Microsoft:セキュア ブート更新プロセスに関してよく寄せられる質問
■Microsoft:セキュア ブート証明書の更新: IT プロフェッショナルと組織向けのガイダンス
