この記事について
読者の方から「Secure Boot の CA 証明書は更新されているのか?」というお問い合わせを複数いただきました。
本記事では、現状可能な確認方法を資料としてまとめています。
- 本記事は「検証記事」ではなく「確認手順の資料」です。
- Secure Boot の CA 証明書は OS から完全に確認することができません。
- そのため、UI・Windows の挙動・BIOS(UEFI)の3つの観点から確認する必要があります。
- 実務的には、2026/06/16 以降の Windows Update が正常に通っている場合、更新されている可能性が非常に高いと判断できます。
Secure Boot CA証明書の更新確認方法(資料)
2026/06/16 に実施された Secure Boot の CA 証明書更新について、
「自分のPCは更新されているのか?」というお問い合わせを複数いただきました。
繰り返しになりますが、Secure Boot の CA 証明書は OS から完全に確認することができないため、
現状可能な確認方法を UI・Windows の挙動・BIOS(UEFI) の3つの観点からまとめています。
本記事は「検証記事」ではなく「確認手順の資料」です。
そのため、通常の詳細な検証ログや図表は含みません。
1. Windows の UI(設定)から確認する方法
Windows 11 の設定画面から Secure Boot の状態を確認できます。
- 設定 → プライバシーとセキュリティ → Windows セキュリティ → デバイスセキュリティ
- Secure Boot が「有効」になっているかを確認する
- Microsoft が提供する Secure Boot 証明書更新の状態表示(緑/黄/赤)が確認可能

ただし、UIでは 証明書の中身(どのCAが入っているか)までは確認できません。
あくまで「状態確認の入口」として利用します。
2. Windows の挙動から確認する方法(実務的に最も確実)
Secure Boot の CA 証明書が古いままだと、Windows Update の署名検証が失敗しやすくなります。
そのため、Windows Update の挙動は「実質的な確認手段」として非常に有効です。
- LCU(累積更新)が正常に通る
- SSU(サービススタック更新)が通る
- WinRE の更新が成功する
- SafeOS の更新が成功する
- Dynamic Update が失敗しない
Confirm-SecureBootUEFIが True を返す
これらが正常に動作している場合、
Secure Boot の署名検証が正常に機能している可能性が高く、CA証明書も更新されていると判断できます。
ただし、OSの挙動だけでは「証明書の中身を完全に証明する」ことはできません。
3. BIOS(UEFI)から確認する方法(最も深い)
BIOS(UEFI)の Secure Boot キー管理画面では、証明書領域の状態をより詳細に確認できます。
- PK(Platform Key)
- KEK(Key Exchange Key)
- db(許可証明書)
- dbx(失効証明書)
- 各項目の「サイズ」「キー数」「キーソース(既定値/混合/カスタム)」
特に重要なポイントは以下です。
- dbx のエントリ数が 400〜500台 → 2023 CA 更新後の典型的状態
- db が「混合」 → Microsoft CA が含まれている可能性が高い
- Secure Boot モードが「Standard」
- CSM が無効
- Boot Manager が「Windows Boot Manager(UEFI)」
ただし、BIOSでも 証明書の中身(X.509)そのものは一覧表示できません。
これは UEFI の仕様上、どのメーカーでも同じです。
BIOS(UEFI)の画面の一例(私のASUSマザーボード)

総合評価
Secure Boot の CA 証明書は OS から完全に確認することができないため、
UI・Windows の挙動・BIOS(UEFI)の3つを合わせて確認することで、更新されている可能性が非常に高いと判断できます。
特に、2026/06/16 以降の Windows Update が正常に通っている場合、実務的には「更新されている」とみなして問題ありません。
おまけ1:Windows Update が適用されない場合の対処
- Windows Update の署名検証が失敗している可能性
- WinRE が壊れている可能性
- SafeOS が更新できていない可能性
- 要件回避インストールによる制限
- 古いドライバ・ユーティリティの競合
- Windows Update の修復手順(DISM / SFC / WinRE再構築)
Windows Updateの修復(リセット)方法
1. Windows標準の「トラブルシューティングツール」を利用する
2. コマンドプロンプトを利用した「Windows Updateのリセット」(高度な手順)
SoftwareDistribution)をリネームし、再生成させる方法があります。net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver
上級者用参考記事

おまけ2:Windows 11 を要件回避でインストールしている人の現状
- Secure Boot 無効のまま
- TPM なし
- dbx が古い
- HVCI が無効
- Windows Update が部分的に止まる
- 24H2 以降で更新が降りない可能性
- セキュリティモデルが不完全
- CA 証明書更新が正常に適用されない可能性
おまけ3:回復環境(WinRE)が更新されていない場合について
- EFI System Partition(ESP)が不足している(100MBなど)
- OEMが独自にESPを圧縮しているケース
- WinREのパスが壊れている(reagentc /info で確認可能)
- WinREが無効化されている(reagentc /disable)
- SafeOS の更新だけが失敗しているケース
回復環境が更新されていない場合の対処(簡易版)
reagentc /infoで WinRE の状態を確認する- WinRE が無効化されている場合は
reagentc /enableで再有効化する - パスが壊れている場合は
reagentc /setreimageで再設定する - ESP が不足している場合は、最終的に EFI 領域の拡張が必要になる
参考記事
【システム領域不足】WinUpやOSアップグレードの失敗を解消する【2025/09/15】
付録:この記事の作成プロセス(AI協働・調査メモ)
更新日時:2026/07/10
1. この記事の目的と役割
2026/06/16 に実施された Secure Boot の CA 証明書更新について、
「自分のPCは更新されているのか?」という問い合わせが複数寄せられたため、
現状可能な確認方法を UI・Windows の挙動・BIOS(UEFI) の3つの観点から整理し、
読者が自身の環境で安全に確認できるようにすることを目的としています。
2. 筆者の関連経験・専門性
本記事の執筆にあたり、主筆である井上 公敬の以下の経験・知見が活かされています:
- 30年超の機材保守・OS解析経験: ワープロ時代からPC自作、OS深層構造の解析まで、実機に基づく広範な保守実績。
- Windows コミュニティへの貢献: Microsoft コミュニティのWindows部門フォーラムモデレーターおよびWiki執筆者としての長年の活動。
- 専門メディア運営: 2011年より「Win PCトラブル解決ガイド」を運営し、現場視点での技術情報を継続発信。
- 厳しい環境下での運用知見: 北海道十勝地方という冬季環境下でのPC安定運用に関する実務経験。
3. AIとの協働内容と検証プロセス
Secure Boot の CA 証明書は OS から完全に確認できないため、
複数のAIと以下の観点で議論・精査を行いました。
- Secure Boot の構造整理: PK/KEK/db/dbx の役割と、2023 CA 更新後の典型的な状態(dbxの増加など)の確認。
- Windows Update の挙動分析: LCU/SSU/WinRE/SafeOS/Dynamic Update の署名検証が、CA更新の実質的な確認手段となる点の検証。
- BIOS(UEFI)画面の比較: ASUSを含む複数メーカーのSecure Bootキー管理画面の構造差異の確認。
- 誤解防止の表現調整: Gemini・Perplexityの指摘を踏まえ、「断定しすぎない」表現に調整し、資料としての中立性を確保。
4. 参照情報と出典について
本記事は、Microsoft公式ドキュメント、海外IT管理者コミュニティ(Reddit r/sysadmin、Microsoft Learn Q&A)、
国内の技術レポート、ならびに複数AIによる最新情報の照合をもとに構成しています。
Secure Boot の CA 証明書更新は一般ユーザーが把握しづらい領域であるため、
信頼性の高い情報源をもとに慎重に検証を行いました。
この記事中の広告リンクについて
この記事中の広告リンク一覧です。
記事本文中の広告リンク
- このブログは、広告収入によって運営されていますが、この記事の本文中に個別の広告リンクは含まれていません。
- 記事には、アフィリエイトリンクが含まれる記事へのブログ内リンクが設置されている場合があります。これらのリンクを通じて商品が購入されると、当ブログに収益が還元されますが、読者の皆様の購入価格が変動することはありません。
- 外部の参考記事には広告リンクが設置されているものがあります。
サイドバーやヘッダー部分などの広告
広告が表示されています。
業者名や商品名など
この記事では明示的にプロモーションとして取り扱っているものはありません。
ただし、過去のプロモーションなどで取り扱った商品名や企業名などがプロモーション目的ではなくとも記載されている場合があります。
過去のプロモーションなどで取り扱った企業名は、できる限りステマ規制に関する表示についてのアフィリエイト等関連業者名一覧の項で記載していますので、お手数ですがそちらでご確認ください。

コメント