📱 スマートフォンでご覧の方へ

スマホでも利用しやすい動画をご用意しています。 ↓スマホで長文記事を読むのは大変ですので、記事内のダイジェスト版セクションのスライドショー動画よりご利用ください

▼ スクロールして動画をチェック ▼

【資料】本当に更新されている?2026年度版CA証明書適用の確認方法【2026/07/10】

お知らせ
必ずお読みください:

1)【急告】無料版でのパーティション操作ができない仕様に変更されました。
当サイトで紹介していたMiniTool Partition Wizard無料版によるシステムパーティション操作は無料版では利用ができなくなりました。
2026/06/17におさらい記事を作成するために、Win11(25H2)上で、MiniTool Partition Wizard無料版13.6バージョンで試行したところ、従来当サイトで公開していたようなパーティション操作ができない仕様に変更されたようです。

最低限「プロ 年次支払い 8,800円(税込9,680円)」の購入が必要になります。

購入費用がもったいないという方は、以下の方法を取ることになります。

  • クリーンインストールを実行してEFI(EPS)を新規の容量に直す。
  • クリーンインストール前に、もっと拡張したシステム領域を作成の上、OSをインストールする。
  • インストールメディアでパーティションだけを作成し、その後にツールを利用してC:を削除してからシステム領域を拡張する。その後にC:を作成しあらためてWinをインストールする。
なお、この操作では、ディスククローンツール利用による領域の拡張と調整はOS起動不能を引き起こす恐れが高くなりますのでおすすめしません。ただし、上級者が理解の上試行することは妨げません。
2)2026/04/11:当サイトの利用規約などの運営情報の変更/改定を行っています。特にサイト利用規約は必ずご一読ください。
【重要なお知らせ:情報の訂正とお詫び】
「2026年問題(セキュアブート証明書更新)」の検証方法において、筆者の認識不足による誤りがありました。詳細は以下のリンク先(お詫び記事)をご確認ください。
【お詫び】2026年問題-セキュアブートDB更新にかかる記事での錯誤について
最近、ユーザープロファイル破損が原因と考えられる障害が増えています。一度お手元のPCの状態を確認しておいてくださいね。
【どうやって確認するの?】ユーザープロファイル破損のチェック方法【2025/06/01】

 

資料
この記事は約12分で読めます。
このサイトには、広告が設置されています。また、プロモーション記事やアフィリエイトなどのリンクを設置した記事を公開しています。
最終更新日時:2026/07/10
文責:主筆 井上 公敬
この記事はあくまで判断材料の一助としてお読みください。

【重要】モバイル閲覧と当記事の検証環境について

  • モバイルでの閲覧について:
    当ブログは技術的な詳細や大きなスクリーンショット、比較表を多用しているため、
    PCなどの大画面での閲覧を推奨しております。モバイル端末では情報が十分に確認しづらい箇所があることを
    あらかじめご了承ください。
  • Copilot+ PC 機能に関するご注意:
    筆者の検証環境には Copilot+ PC が含まれていません。そのため、該当機能に関する記述は
    公式ドキュメント等に基づく構成であり、実機での動作検証は行えておりません。

記事内検索ウィジェット

🔍 記事内の項目をキーワードで探す

例:0x800f, BitLocker, 24H2... 操作方法を表示
目次について

スマホでの表示を最適化するため、目次は折りたたんでいます。詳細な項目を確認したい方は、下の [開く] ボタンをタップしてください。

この記事について

読者の方から「Secure Boot の CA 証明書は更新されているのか?」というお問い合わせを複数いただきました。
本記事では、現状可能な確認方法を資料としてまとめています。

  • 本記事は「検証記事」ではなく「確認手順の資料」です。
  • Secure Boot の CA 証明書は OS から完全に確認することができません。
  • そのため、UI・Windows の挙動・BIOS(UEFI)の3つの観点から確認する必要があります。
  • 実務的には、2026/06/16 以降の Windows Update が正常に通っている場合、更新されている可能性が非常に高いと判断できます。
Secure Boot CA 証明書の更新は一般ユーザーが確認しづらい領域であるため、この記事はその不安を解消するための資料として作成しています。

Secure Boot CA証明書の更新確認方法(資料)

2026/06/16 に実施された Secure Boot の CA 証明書更新について、
「自分のPCは更新されているのか?」というお問い合わせを複数いただきました。
繰り返しになりますが、Secure Boot の CA 証明書は OS から完全に確認することができないため、
現状可能な確認方法を UI・Windows の挙動・BIOS(UEFI) の3つの観点からまとめています。

本記事は「検証記事」ではなく「確認手順の資料」です。
そのため、通常の詳細な検証ログや図表は含みません。


1. Windows の UI(設定)から確認する方法

Windows 11 の設定画面から Secure Boot の状態を確認できます。

  • 設定 → プライバシーとセキュリティ → Windows セキュリティ → デバイスセキュリティ
  • Secure Boot が「有効」になっているかを確認する
  • Microsoft が提供する Secure Boot 証明書更新の状態表示(緑/黄/赤)が確認可能

セキュアブート正常の確認画面

緑/黄/赤表示の意味

  • 緑:Secure Boot 証明書は最新状態
  • 黄:注意が必要(更新が必要な可能性)
  • 赤:Secure Boot が無効、または証明書が古い可能性

ただし、UIでは 証明書の中身(どのCAが入っているか)までは確認できません。
あくまで「状態確認の入口」として利用します。


2. Windows の挙動から確認する方法(実務的に最も確実)

Secure Boot の CA 証明書が古いままだと、Windows Update の署名検証が失敗しやすくなります。
そのため、Windows Update の挙動は「実質的な確認手段」として非常に有効です。

  • LCU(累積更新)が正常に通る
  • SSU(サービススタック更新)が通る
  • WinRE の更新が成功する
  • SafeOS の更新が成功する
  • Dynamic Update が失敗しない
  • Confirm-SecureBootUEFI が True を返す

これらが正常に動作している場合、
Secure Boot の署名検証が正常に機能している可能性が高く、CA証明書も更新されていると判断できます。
ただし、OSの挙動だけでは「証明書の中身を完全に証明する」ことはできません。


3. BIOS(UEFI)から確認する方法(最も深い)

BIOS(UEFI)の Secure Boot キー管理画面では、証明書領域の状態をより詳細に確認できます。

  • PK(Platform Key)
  • KEK(Key Exchange Key)
  • db(許可証明書)
  • dbx(失効証明書)
  • 各項目の「サイズ」「キー数」「キーソース(既定値/混合/カスタム)」

特に重要なポイントは以下です。

  • dbx のエントリ数が 400〜500台 → 2023 CA 更新後の典型的状態
  • db が「混合」 → Microsoft CA が含まれている可能性が高い
  • Secure Boot モードが「Standard」
  • CSM が無効
  • Boot Manager が「Windows Boot Manager(UEFI)」

ただし、BIOSでも 証明書の中身(X.509)そのものは一覧表示できません。
これは UEFI の仕様上、どのメーカーでも同じです。

BIOS(UEFI)の画面の一例(私のASUSマザーボード)

BIOS(UEFI)の画面例画像


総合評価

Secure Boot の CA 証明書は OS から完全に確認することができないため、
UI・Windows の挙動・BIOS(UEFI)の3つを合わせて確認することで、更新されている可能性が非常に高いと判断できます。

特に、2026/06/16 以降の Windows Update が正常に通っている場合、実務的には「更新されている」とみなして問題ありません。


おまけ1:Windows Update が適用されない場合の対処

  • Windows Update の署名検証が失敗している可能性
  • WinRE が壊れている可能性
  • SafeOS が更新できていない可能性
  • 要件回避インストールによる制限
  • 古いドライバ・ユーティリティの競合
  • Windows Update の修復手順(DISM / SFC / WinRE再構築)
対処方法(簡易まとめ)
Windows Update が正常に通らない場合は、まず DISM /RestoreHealthSFC /scannow による基本修復を行い、WinRE が壊れている場合は再構築が必要です。要件回避インストールの場合は、Secure Boot 無効やTPM非搭載が原因で署名検証が失敗することがあるため、更新が降りない状況が発生します。

Windows Updateの修復(リセット)方法

Windows Updateが正常に完了しない場合、更新プログラムのダウンロード情報を一時保存している「キャッシュ」が破損していることが多いため、これを再生成させるリセット作業が有効です。
以下の2つの段階があります。

1. Windows標準の「トラブルシューティングツール」を利用する

操作に不安がある場合は、まずWindows標準の「トラブルシューティングツール」を利用した自動リセットをおすすめします。多くの一時的なエラーはこれで解消されます (「設定」>「システム」>「トラブルシューティング」>「その他のトラブルシューティング ツール」からWindows Updateを実行します。)

2. コマンドプロンプトを利用した「Windows Updateのリセット」(高度な手順)

トラブルシューティングツールで解決しない場合、手動で更新キャッシュフォルダ(SoftwareDistribution)をリネームし、再生成させる方法があります
【手順】 スタートボタンから「コマンドプロンプト」を検索し、**「管理者として実行」**で開きます。 以下のコマンドを1行ずつ入力し、Enterキーを押して実行してください
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver
※かなり高度な手順ですので、この説明でよくわからない場合は実行を控えてください

上級者用参考記事

【SFCとDISM】究極奥義「オフライン実行」でOSを徹底修復-完全解説版【2025/08/12】
「なんとなくPCの調子が悪い」「SFCやDISMで直らない」そんな悩みを解決する究極の修復手法。クリーンインストール前に試すべき、Windowsの「オフライン実行」を完全解説。OSが起動しない場合も安心です。

おまけ2:Windows 11 を要件回避でインストールしている人の現状

  • Secure Boot 無効のまま
  • TPM なし
  • dbx が古い
  • HVCI が無効
  • Windows Update が部分的に止まる
  • 24H2 以降で更新が降りない可能性
  • セキュリティモデルが不完全
  • CA 証明書更新が正常に適用されない可能性
だからどうしたらよい?(簡易まとめ)
要件回避インストール環境では、Secure Boot や TPM が無効のため、今回の CA 証明書更新が正しく適用されない可能性があります。長期的には Windows 11 の正式要件を満たす構成への移行が推奨されます。更新が降りない場合は、業務環境では特にリスクが高いため、早期のハードウェア更新を検討してください。

おまけ3:回復環境(WinRE)が更新されていない場合について

  • EFI System Partition(ESP)が不足している(100MBなど)
  • OEMが独自にESPを圧縮しているケース
  • WinREのパスが壊れている(reagentc /info で確認可能)
  • WinREが無効化されている(reagentc /disable)
  • SafeOS の更新だけが失敗しているケース
簡易まとめ:
Secure Boot の CA 証明書は UEFI 側に書き込まれるため正常に更新されますが、回復環境(WinRE)はディスク上の EFI System Partition に配置されているため、ESPの容量不足やパス破損があると WinRE の更新だけが失敗し、「Secure Boot は最新なのに回復環境は古い」という状態が発生します。特に古いPC(ESP 100MB)は注意が必要です。

回復環境が更新されていない場合の対処(簡易版)

  • reagentc /info で WinRE の状態を確認する
  • WinRE が無効化されている場合は reagentc /enable で再有効化する
  • パスが壊れている場合は reagentc /setreimage で再設定する
  • ESP が不足している場合は、最終的に EFI 領域の拡張が必要になる
補足:
ESPの拡張は高度な作業になるため、操作に不安がある場合は無理に行わず、最新の Windows インストールメディアを事前に用意しておき、回復環境の起動に失敗した際にはそちらを利用する方法が安全です。

参考記事

【システム領域不足】WinUpやOSアップグレードの失敗を解消する【2025/09/15】


付録:この記事の作成プロセス(AI協働・調査メモ)

更新日時:2026/07/10

筆者の専門性とAI(Gemini+Perplexity+Microsoft Copilot)との協働について
この記事は、Windowsトラブルシューティング20年以上の筆者が日々の実務経験をもとに、AI(Google Gemini、Perplexity、Microsoft Copilot)との協働により執筆されました。
Secure Boot の CA 証明書更新は一般ユーザーが確認しづらい領域であるため、複数のAIによる最新情報の照合、技術的妥当性の検証、構造的整理を行い、記事の正確性と透明性を確保しています。

1. この記事の目的と役割

2026/06/16 に実施された Secure Boot の CA 証明書更新について、
「自分のPCは更新されているのか?」という問い合わせが複数寄せられたため、
現状可能な確認方法を UI・Windows の挙動・BIOS(UEFI) の3つの観点から整理し、
読者が自身の環境で安全に確認できるようにすることを目的としています。

2. 筆者の関連経験・専門性

本記事の執筆にあたり、主筆である井上 公敬の以下の経験・知見が活かされています:

  • 30年超の機材保守・OS解析経験: ワープロ時代からPC自作、OS深層構造の解析まで、実機に基づく広範な保守実績。
  • Windows コミュニティへの貢献: Microsoft コミュニティのWindows部門フォーラムモデレーターおよびWiki執筆者としての長年の活動。
  • 専門メディア運営: 2011年より「Win PCトラブル解決ガイド」を運営し、現場視点での技術情報を継続発信。
  • 厳しい環境下での運用知見: 北海道十勝地方という冬季環境下でのPC安定運用に関する実務経験。

3. AIとの協働内容と検証プロセス

Secure Boot の CA 証明書は OS から完全に確認できないため、
複数のAIと以下の観点で議論・精査を行いました。

  • Secure Boot の構造整理: PK/KEK/db/dbx の役割と、2023 CA 更新後の典型的な状態(dbxの増加など)の確認。
  • Windows Update の挙動分析: LCU/SSU/WinRE/SafeOS/Dynamic Update の署名検証が、CA更新の実質的な確認手段となる点の検証。
  • BIOS(UEFI)画面の比較: ASUSを含む複数メーカーのSecure Bootキー管理画面の構造差異の確認。
  • 誤解防止の表現調整: Gemini・Perplexityの指摘を踏まえ、「断定しすぎない」表現に調整し、資料としての中立性を確保。

4. 参照情報と出典について

本記事は、Microsoft公式ドキュメント、海外IT管理者コミュニティ(Reddit r/sysadmin、Microsoft Learn Q&A)、
国内の技術レポート、ならびに複数AIによる最新情報の照合をもとに構成しています。
Secure Boot の CA 証明書更新は一般ユーザーが把握しづらい領域であるため、
信頼性の高い情報源をもとに慎重に検証を行いました。

免責事項:
本記事は最新情報に基づき作成されていますが、OSやファームウェアの仕様は日々更新されます。
実務運用に際しては、必ずご自身の環境でテストを行い、バックアップ運用を確実に実施してください。

この記事中の広告リンクについて

この記事中の広告リンク一覧です。

記事本文中の広告リンク

  • このブログは、広告収入によって運営されていますが、この記事の本文中に個別の広告リンクは含まれていません。
  • 記事には、アフィリエイトリンクが含まれる記事へのブログ内リンクが設置されている場合があります。これらのリンクを通じて商品が購入されると、当ブログに収益が還元されますが、読者の皆様の購入価格が変動することはありません。
  • 外部の参考記事には広告リンクが設置されているものがあります。

サイドバーやヘッダー部分などの広告

広告が表示されています。

業者名や商品名など

この記事では明示的にプロモーションとして取り扱っているものはありません。

ただし、過去のプロモーションなどで取り扱った商品名や企業名などがプロモーション目的ではなくとも記載されている場合があります。

過去のプロモーションなどで取り扱った企業名は、できる限りステマ規制に関する表示についてのアフィリエイト等関連業者名一覧の項で記載していますので、お手数ですがそちらでご確認ください。

コメント

タイトルとURLをコピーしました