セキュアブート証明書の更新:主要OEMによる包括的ガイド
Microsoftの2011年セキュアブート証明書が段階的に有効期限を迎える中、主要なPCメーカーはユーザーがスムーズに移行できるよう専用のガイダンスを提供しています。HP、Dell、ASUS、Lenovo、MSI、Acer、Samsung、LG、MicrosoftのSurface部門を含むOEM各社は、証明書の更新内容、対応モデル、およびユーザーが従うべき手順を詳述したサポートページを公開しています。
セキュアブートとは?
セキュアブートは、UEFIファームウェアの機能であり、Windowsがロードされる前に動作します。これにより、信頼できるソフトウェアのみがPCにロードされ、ハッカーやマルウェアによる改ざんから保護されます。2011年からセキュアブートを支えてきた証明書が3段階で有効期限を迎えるため、ハードウェアプラットフォーム全体での更新が必要となります。
Microsoftは2023年の代替証明書をWindows Updateを通じて展開していますが、この展開はOEMがデバイスに対応したBIOS更新をリリースすることに依存しています。ほとんどのユーザーはこれらの更新を自動的に受け取っています。
OEM別セキュアブート証明書ガイド
ASUSセキュアブート証明書更新ガイド
ASUSは、消費者向けおよび商業向けデバイス向けに特化した包括的なドキュメントを公開しています:
- 消費者向けセキュアブートガイドでは、標準的なラップトップ、デスクトップ、ゲーミングPCを対象としています。ほとんどのユーザーはWindows Updateを通じて自動的に更新を受け取ります。
- Windowsセキュリティで黄色または赤色のバッジが表示されるユーザー向けに、ASUSはKEKおよびDB証明書を確認するPowerShellコマンドを提供しています。欠落している場合、手動でレジストリを更新し、Secure-Boot-Updateタスクを実行する手順を説明しています。この間には再起動が必要です。
- 商業用PCガイドでは、2024年以降にリリースされた2023年証明書があらかじめ統合された特定のモデルをリストアップしています。古いモデルはWindows Updateに依存して移行します。
ASUSはまた、一般的なエラーコードとASUSサービスセンターに連絡するタイミングについてのQ&Aページも提供しています。
Lenovoセキュアブート証明書更新ガイド
Lenovoのセキュアブート証明書有効期限ガイドは最も詳細なものの一つで、以下を提供しています:
- ThinkPad、ThinkCentre、IdeaPad、Legion、Yogaなどの製品ファミリーごとに分類されたBIOS更新の直接ダウンロードリンク。
- サービスライフ終了(End of Service Life)に達した製品を明確に特定し、それらには更新が提供されないことを明示。
- エンタープライズユーザー向けに、IntuneやSCCMデプロイメントに関する追加の注意事項が、消費者向けWindows Updateのパスに付随しています。
Dellセキュアブート証明書更新ガイドライン
Dellは、Alienware、Inspiron、XPS、Latitude、OptiPlex、Precision、Vostro、Wyse、IoTデバイスを含む全製品ラインをカバーする詳細なサポート記事を公開しています。
- 2026年1月1日以前にサービスライフ終了(End of Service Life)ステータスに達したデバイスにはBIOS更新が提供されません。
- Dellは二重証明書戦略を採用しており、2024年後半以降のすべての新プラットフォームに2011年と2023年の両方の証明書を搭載しています。
- コミュニティスレッドでは、古いモデルでのファームウェアパーティション制限のような特定の問題がハイライトされています。
HPセキュアブート証明書更新ガイド
HPは、セキュアブート更新に関するガイダンスを2つのカテゴリに分けています:
- 消費者向けPC:必要な最小BIOSバージョンがインストールされていれば、更新はWindows Updateを通じて提供されます。
- 商業用PC:サポートされているプラットフォームの詳細なリストを確認し、BIOSバージョンにSBKPFV3サブストリングが含まれていることを確認する必要があります。
HPは、2026年初期のいくつかのBIOS更新がBitLockerのリカバリループや起動障害を引き起こしたことを警告しています。修正済みのBIOSバージョンはHPのサポートサイトで利用可能です。
Microsoft Surfaceデバイス
Microsoft Surfaceデバイスは、Microsoftから直接ファームウェアおよびWindows更新を受け取り、セキュアブート更新プロセスを簡素化しています。Surface Pro、Surface Laptop、Surface Studioなどの対応モデルは、標準の更新パイプラインを通じて自動的に更新を受け取ります。
MSIセキュアブート証明書更新ガイドライン
MSIはプロセッサ世代ごとにガイダンスを分けています:
- Intel第7世代から第11世代、またはAMD Ryzen 3000H-5000Uプロセッサを搭載した古いラップトップは、BIOSフラッシュを必要とせず、Windows Updateを通じて自動的に更新を受け取ります。
- Intel第12世代またはAMD Ryzen 5000H以上を搭載した新しいプラットフォームでは、BIOS更新が必要であり、MSIのサポートポータルで利用可能です。MSIはBIOSをフラッシュする前にBitLockerリカバリーキーを保存することを推奨しています。
Acerセキュアブート証明書更新ガイド
Acerの公式ガイドはナレッジベースで利用可能で、対応モデルにはWindows Updateを通じて自動的に更新が配信されます。Acerは更新を開始する前にBitLockerリカバリーキーをバックアップすることを強く推奨しています。
Aspire TC-895シリーズなどの古いモデルはサポートされていないと報告されており、ユーザーは黄色い警告が表示され、BIOS更新が提供されていません。
Samsungセキュアブート証明書更新ガイド
Samsungは韓国語でガイダンスを公開しており、古いGalaxy Bookモデルは証明書の有効期限後も引き続き動作するものの、ブートレベルのセキュリティ更新は停止すると確認しています。Samsungは移行にはWindows Updateを使用することを推奨しています。
LGセキュアブート証明書更新ガイド
LGのガイドはgramおよびその他のPCシリーズに焦点を当てており、Windowsセキュリティアプリでステータスインジケーターを確認し、自動証明書インストールが失敗した場合にBIOS更新をダウンロードするようユーザーにアドバイスしています。
セキュアブート証明書のステータスを確認する方法
Windowsセキュリティアプリを使用して、デバイスのセキュアブートステータスを確認できます:
- 緑色のチェックマーク:証明書は最新であり、アクションは不要です。
- 黄色い警告:Windows Updateの遅延または必要なBIOS更新が原因で更新が保留中です。
- 赤いアイコン:ファームウェアの非互換性を示します。
サポートされていないハードウェアの場合、デバイスセキュリティのセキュアブートセクションが欠落している可能性があります。その場合、ユーザーはPowerShellコマンドを参照して手動で確認することができます。
最終的な注意事項
Microsoftは2026年6月時点で、すべての対象デバイスに2023年証明書をプッシュしました。2026年6月のPatch Tuesday更新をインストールしている場合、システムは既に更新されている可能性が高いです。通常のユーザーはWindowsセキュリティアプリを使用してステータスを確認できますが、上級ユーザーはPowerShellを使用して手動で確認することができます。
Windows 10ユーザーも取り残されることはなく、2026年5月の更新(KB5087544)でセキュアブート証明書ステータス報告が導入され、Windows 11と同等の機能が提供されています。
最新の更新を確実に取得するには、システムが最新の更新を実行していることを確認し、OEMのサポートページを監視して追加の指示やファームウェアリリースがないか確認してください。
