セキュアブート証明書が2026年6月に失効、古いグラボは起動不能になるのか|誤解と本当の対処法
本記事にはアフィリエイト広告(Amazon・楽天市場等)のリンクが含まれています。
2026年6月、Microsoftの「UEFI CA 2011」をはじめとするセキュアブート関連の証明書が有効期限を迎えます。ネットでは「古いグラフィックボードが起動不能になる」「画面が真っ暗になる」といった情報が広まりましたが、これは仕組みを誤解した不正確な情報です。
重要な事実として、UEFIセキュアブートは証明書の有効期限を検証しません。署名がファームウェア内の信頼された証明書につながっているかだけを見る仕組みのため、2011年の証明書が期限切れになっても、その証明書で署名済みのGPU vBIOSやブートローダーは引き続き信頼され、PCはこれまで通り起動します。Microsoftをはじめ主要なPCメーカーやOSベンダーも「デバイスが起動しなくなることはない」と明言しています。
では何が問題なのか。本当の影響は「ブリック」ではなく 「今後セキュアブートのセキュリティ更新が届かなくなる」ことです。この記事では、なぜブリックしないのかの仕組み、本当に注意すべきリスク、そして新しい2023証明書を適用する具体的な手順までを、煽らずに正確にまとめます。
目次
30秒で分かるまとめ
セキュアブートは証明書の期限を見ないため、失効後も既存の署名は有効。古いグラボもこれまで通り起動します。買い替えを迫られるものではありません。
証明書失効後はWindows Updateがブート部分の許可・拒否リストを更新できなくなり、長期的にブートキット対策が弱まります。
対策は買い替えではなくWindows Updateの適用です。新しい「2023証明書」を取り込めば、これまで通りの保護が続きます。
なぜブリックしないのか——セキュアブートの仕組み
「証明書が期限切れになると、それで署名されたものは無効になる」── ウェブサイトのSSL証明書ならその通りですが、UEFIセキュアブートは違う動き方をします。ここを理解すると、騒動の正体が見えてきます。
本当のリスクは「ブリック」ではなく「更新の停止」
では、何も気にしなくていいのかというと、そうではありません。証明書失効には長期的なセキュリティ上の実害があります。放置すべきではない理由を整理します。
更新を承認する鍵(KEK)も2026年6月に失効します。これによりWindows Updateが許可・拒否リスト(DB/DBX)を更新できなくなり、新しいブートキット(起動時マルウェア)への対策が届かなくなります。
2023証明書のみで署名された新しいWindowsインストールUSBは、2023証明書を信頼していない古いファームウェアでは起動しないことがあります。再インストール時に詰まる可能性があります。
普段のゲームプレイやPCの起動そのものには影響しません。今使っているグラボもCPUも、これまで通り動き続けます。
つまり脅威は「今すぐ動かなくなる」ではなく「気づかないうちにブート段階のセキュリティが古いまま取り残される」という、じわじわ効くタイプのものです。だからこそ、慌てず・でも確実に2023証明書を適用しておくのが正解になります。
ゲーマーへの影響は限定的——アンチチートはそのまま使える
当初は「セキュアブートを切ると映るが、VALORANTが起動できなくなる」というジレンマが心配されました。しかしブリックしない以上、セキュアブートを無効にする必要はありません。この心配自体が、誤った前提から生まれたものでした。
セキュアブートは有効のままでよい
VALORANTのRiot VanguardやBattlefield、Call of Dutyなど、セキュアブートとTPM 2.0を必須とするアンチチートは年々増えています。今回の証明書失効でセキュアブートを無効化する必要はないため、これらのタイトルはこれまで通りプレイできます。むしろ2023証明書を適切に入れておけば、セキュアブートを有効に保ったまま保護も最新化できます。
いまやるべきこと5ステップ
難しい作業はありません。多くのPCはWindows Updateだけで自動的に移行が完了します。優先度の高い順に進めてください。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' を実行し、Trueが返れば適用済みです。2024年以降に購入したPCは最初から入っていることが多いです。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40 を実行し、タスクスケジューラの \Microsoft\Windows\PI\Secure-Boot-Update を実行します。数回の再起動を経て段階的に適用されます。
自分の状態を確認する方法
「自分のPCは対応済みなのか」は、次の2点を見れば判断できます。難しい操作は不要です。
セキュアブートの状態を確認する
2023証明書の有無を確認する
管理者権限のPowerShellで以下を実行します。Trueなら新しい証明書が適用済みで、今後の更新も届く状態です。Falseなら上のステップ4で適用を促してください。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'結果が True = 適用済み / False = 未適用(Windows Updateの適用と手動トリガーで対応)
タイムラインと今後の見通し
繰り返しになりますが、これらの失効でPCが起動しなくなることはありません。Microsoftは2024年から段階的に移行を進めており、Windows Updateを当てていれば多くの環境で自動的に2023証明書への移行が完了します。やるべきは「適用されているかの確認」だけです。
よくある質問
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' を実行し、Trueが返れば適用済みです。2024年以降に購入したPCの多くは最初から対応しています。そろそろ世代交代を考えているなら|2023証明書対応の最新世代GPU
今回の件は買い替えを迫るものではありません。ただ、GTX世代やRTX 20など数年前の構成を使っていて性能面で世代交代を検討しているなら、最新世代は2023証明書を最初から備えていて、DLSS 4のマルチフレーム生成など新機能も使えます。あくまで性能アップを目的とした選択肢として、コスパの良い2機種を紹介します。
まとめ
2026年6月のセキュアブート証明書(UEFI CA 2011など)の失効は、ネットで言われたような「古いグラボが起動不能になる」問題ではありません。UEFIセキュアブートは証明書の有効期限を検証しないため、失効後も既存の署名は有効で、PCはこれまで通り起動します。これはMicrosoftをはじめ主要ベンダーが公式に認めている事実です。
本当に注意すべきは、失効後にブート部分のセキュリティ更新(DB/DBXの更新)が届かなくなることです。対策は買い替えではなく、Windows Updateで新しい2023証明書を適用すること。多くのPCは更新を当てるだけで自動的に移行が完了します。一度PowerShellで対応状況を確認し、未適用なら手動で適用を促しておけば、慌てる必要はまったくありません。セキュアブートは無効にせず、有効のまま最新化するのが正解です。
あわせて読みたい
※価格は2026年6月時点の目安・変動あり
※価格は2026年6月時点の目安・変動あり
