セキュア ブート証明書を更新できない場合
適用先
元の発行日: 2026 年 6 月 29 日
KB ID: 5105943
概要
Microsoft は、進化するブート レベルの脅威に対する保護を維持するために、更新されたセキュア ブート証明書を Windows デバイスに展開しています。 ほとんどのデバイスは、Windows Updateを介してこれらの更新プログラムを自動的に受信します。 この記事では、一部のデバイスがセキュア ブート証明書の更新をブロックされる理由、この意味、および考慮できるアクションについて説明します。
注: IT プロフェッショナル向けの一般的なセキュア ブートのトラブルシューティング ガイダンスについては、セキュア ブートのトラブルシューティング ガイドを参照してください。
セキュア ブートの概要
セキュア ブートは、起動するたびに PC をチェックする Windows 機能です。 Windows が読み込まれる前に、セキュア ブートは、実行しようとしているソフトウェアが信頼できるソースによって署名されていることを確認します。 署名が認識されない場合、PC はそのソフトウェアを起動しません。 これにより、Windows が起動する前に読み込もうとする可能性がある主要なマルウェア クラスがブロックされます。
デバイスを保護するために、セキュア ブートは、元の機器メーカー (OEM) のみがこのルート レベルで PC への変更を承認できるように設計されています。
完全な更新プログラムを受け取っていない理由
Windows セキュリティ アプリは、デバイスのセキュア ブート状態が最新かどうか、または製造元からのファームウェアの更新が必要かどうかをチェックする最も簡単な方法です。
ほとんどの PC では、セキュア ブート証明書の完全なセットは、Windows Updateを介して自動的にインストールされます。 一部のデバイスでは、必要なセキュア ブート更新プログラムをインストールする前に、PC の製造元からのファームウェア更新プログラムが必要です。 多くの OEM は、標準の更新プログラム チャネルを通じてこれらのファームウェア更新プログラムを積極的にリリースしています。 ファームウェアの更新が必要な場合は、次の手順のために OEM のセキュア ブート サポート ページをチェックします。
場合によっては、Windows セキュリティは、次のいずれかのメッセージを表示することで、セキュア ブート証明書の更新が一時的に一時停止またはブロックされていることを示す場合があります。
|
メッセージ |
必要なアクション |
|---|---|
|
このグループ内のデバイスは、既知の問題の影響を受けます。 リスクを軽減するために、Microsoft とパートナーがサポートされている解決に向けて取り組んでいる間、セキュア ブート証明書の更新が一時的に一時停止されます。 サポートについては、デバイスの製造元にお問い合わせください。 |
ファームウェアの更新が必要ですが、まだ使用できない場合があります。 使用可能になると、ファームウェアの更新プログラムがリリースされ、OEM の標準更新プログラム チャネルを通じてインストールされます。 次の手順については、デバイスの製造元のセキュア ブート サポート ページを確認してください。 |
|
メッセージ |
必要なアクション |
|---|---|
|
セキュア ブートはオンですが、ハードウェアまたはファームウェアの制限により、デバイスで自動セキュア ブート証明書の更新がサポートされていません。 サポートについては、デバイスの製造元にお問い合わせください。 |
PC モデルが OEM でサポートされなくなった場合や、デバイスのセキュア ブート信頼構成を更新するために必要なファームウェア更新プログラムを OEM が提供できなくなった可能性があります。 OEM のセキュア ブート サポート ページを確認して、デバイスがサポートされていないか、ファームウェアの更新プログラムが利用可能かどうかを確認します。 |
新しいセキュア ブート証明書をインストールできない場合はどうなりますか?
デバイスが新しい証明書なしで有効期限に達した場合は、引き続き正常に起動して動作します。 Standard Windows 更新プログラムは引き続きインストールされます。 ただし、初期ブート プロセスに対する脅威に対処する新しいセキュリティ更新プログラムがリリースされると、デバイスはそれらを受け取ることができず、最新の保護を受け取ることができません。
時間が経つにつれて、新しい脅威が発生すると、この期限切れの状態のデバイスは徐々に保護されなくなります。 セキュア ブートに依存する機能 (デバイスの暗号化や特定のスタートアップ ソフトウェアなど) も、更新されたセキュリティ保護が必要な場合に正常に動作しなくなる可能性があります。
引き続き機能するもの
-
デバイスは引き続き正常に起動します。
-
更新された証明書を必要とするブート関連のセキュリティ コンポーネントを除き、毎月のセキュリティ更新プログラムを含む Windows 更新プログラム (機能と品質の更新プログラム) は引き続きインストールされます (以下の一覧を参照)。
-
アプリの使用、ネットワーク、閲覧などの日常的なタスクは変更されません。
-
セキュア ブートは引き続き有効であり、以前に知られていた脅威に対する保護を提供し続けます。
機能しなくなったもの
-
新しいセキュア ブートとブート マネージャーの保護を適用することはできません。
-
新しく検出された悪意のあるブートローダーまたは脆弱なブートローダーはブロックされない可能性があります。 将来の脅威に対する保護は、完全に更新されたデバイスとは徐々に異なる場合があります。
-
Microsoft Secure Boot 信頼に依存する Microsoft 以外のコンポーネントの中には、新しい証明書エントリが必要な場合に更新できない場合があります。
デバイスが新しいセキュア ブート証明書をインストールできない場合、即時のリスクやシステム障害ではなく、長期的なセキュリティが段階的に低下します。 引き続き、Windows 更新プログラムの最新の状態を維持するなど、標準的なセキュリティ プラクティスに従ってください。
重要: セキュア ブートを無効にすることはお勧めしません。 これにより、保護が減り、現在の構成を変更しないよりもセキュリティが低い状態になります。