Windowsのセキュアブート証明書入りBIOSについて
【Windowsのセキュアブート証明書入りBIOSについて】
ASRockが2026年2月末辺りから明確な説明を付けてBIOSにセキュアブート証明書を入れた状態で配布し始めたので説明します。
【BIOS内のセキュアブート証明書の更新はWindows経由】
【Windowsのセキュアブート証明書の期限について】で前に説明していますが、
セキュアブート証明書の更新は基本的にWindows UpdateでBIOS内のデータを書き換えるので、使用者は何もしなくても勝手に更新されるのですが、【2025年6月のWindows Updateで一部のPCが起動不能になる問題】で説明している、セキュアブート用の確認データが入っているデータベースの、起動時のメモリ容量指定がデータベースの容量より少ないと起動出来ない問題がでるので、
そのような時は指定容量を修正したBIOSに先に更新する必要がある為、Windows Updateでセキュアブート証明書が更新されない事があります。
また、そもそもWindows Updateを止めていても当らないので、手動でパッチを充てるか、Windows Updateを有効にして充てる必要が出ます。
【セキュアブート証明書入りBIOSの対象】
セキュアブート証明書は上記した様にWindows Updateを止めていない限り自動であたりますので、態々BIOSに埋め込んでから配布する必要はありません。
なので、今回出しているのはWindows Updateを止めている環境用向けのBIOSだと考えられます。
ASRockは明確にUpdate Secure Boot Key (2023 KEK/DB/PK)と書いていますが、ASUSはEnhance system stability, security, and compatibility.と匂わせた感じの説明になっていたりします。
各社2025年8月末辺りから証明書を入れたBIOSを出している様です。
【Socket AM4環境の注意】
今回のセキュアブート証明書入りBIOSはIntel、AMD両環境で出されている訳ですが、Socket AM4のMBは現状でも現役なRyzen 5xxx番台を9年前に販売された300シリーズチップセット(X370、B350、A320)のMBでも使用出来ます。
つまり9年経っていてもMBが現役な訳ですが、機種によってはBIOSが入っているEEPROMの容量の問題でCPUの認識用のマイクロコードが圧迫されるので、特定のバージョンで古いシリーズのCPUのマイクロコードを消して新しいCPUに対応するという事をしています。
X370やB350のMBでEEPROMが16MBだった場合、途中で初期のAシリーズAPU(Bristol Ridge)、Ryzen 1xxx(Summit Ridge)、Ryzen 2xxxG APU(Raven Ridge)のマイクロコードを削除して非対応にしています。
X470やB450も同様にEEPROMの容量が少ない場合に初期あたりのCPUやAPUが非対応になる事があります。
問題なのは古い初期のCPUやAPU搭載機で今回のセキュアブート証明書入BIOSを充てるとCPUやAPUが非対応になって動作不能になる事、物によってはRyzen 2xxx(Pinnacle Ridge)やRyzen 3xxxG(Picasso)まで切られている事があるので注意が必要です。
上記した様に、基本的にWindows Updateでセキュアブート証明書は当たるので、古いCPUやAPU搭載機は証明書入りBIOSが出ても充てない様にして下さい。
IntelについてはSocket互換を基本2世代で切るので関係ありません。
(3世代の様に見えて実際は只のリブランドなので)
例:Socket LGA1700はAlder Lake(Corei 12xxx)とRaptor Lake(Corei-13xxx)、Raptor Lake Refresh(Corei-14xxx)と3世代に見えるが、
Corei-14xxxはRaptor Lakeと同じシリコンウエハから切り出した最上位と隙間の製品をリブランドした物でしかないため、実態はAlder LakeとRaptor Lakeの2世代でしかない。
【心配な場合の確認方法】
Windows PowerShellから確認する方法があるので、確認して下さい。
【Windows 10】
スタートボタン
↓
スタートメニュー
↓
Windows PowerShellの項目を開く
Windows PowerShellのアイコンの上で右クリックし、管理者として実行(A)を選択して起動
【Windows 11】
スタートボタン
↓
全てのアプリ
↓
Windowsツールを選択して開く
Windows PowerShellのアイコンの上で右クリックし、管理者として実行(A)を選択して起動
PowerShellが起動したら以下の様に打ち込むか、コピペして実行して下さい。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(クリックすると拡大)
Trueと表示されている場合Windows UEFI CA 2023証明書が既に充てられているという事が分かります。
↑のコマンドはBIOS内のSecureBootUEFIのデータベースの内容をテキストとして抽出し、その中にWindows UEFI CA 2023の文字列はあるのか確認するものです。
証明書が更新されていない場合2026年6月に切れるバージョンのWindows UEFI CA 2011になっているので、見つからないとしてFalseと返してきます。
(クリックすると拡大)
因みにデータベース内だけ見るとエンコードの問題で文字化けしまくっていますが、Windows UEFI CA 2023の表示がある事が分かります。
尚、Microsoft Corporation UEFI CA 2011やWindows Production PCA 2011という表記も見えますが、これはOS側のWindows Boot Managerが旧バージョンという事を示しています。
恐らくWindows 10をESUで延長しているからだと考えられますが、現状BIOS側の証明書とズレていても問題なく起動できるのと、問題になる場合は6月までにWindows Updateで対処されると考えられるので、気にする必要は無いと考えて下さい。
(クリックすると拡大)
PowerShellで確認したPCのMBは↑の画像の様にB450M Steel Legendですが、CPUがRyzen 1700なので前のMBが故障した時に緊急で買った時の状態で止めている為、3.30になっています。
上記した様にBIOS側の証明書自体は更新されているので、製品ページの証明書が入った10.44に更新する必要はありません。
昨年8月末以降から証明書入りBIOSが出されていますが、CPUを更新してまでBIOSを最新にする必要は無いので、よく確認する様にして下さい。
尚、BIOSをメモリに展開する時のDB、DBXの容量指定に問題があるBIOSであった場合は、旧CPUが対応しているBIOSでも一番新しい物にしてみて下さい。
それでも証明書がWindows Updateで降りてこなかった場合のみ最新のBIOSに上げてからRyzen 5xxx番台に交換して下さい。
また、メーカーPCやBTO PCの場合はメーカーからBIOSを上げる様にツールが来た場合は容量指定修正だったりするので、指示に従ってBIOSを更新する様にして下さい。
【関連記事】
【Windowsのセキュアブート証明書の期限について】
このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。
総合情報に戻る
TOPに戻る
ASRockが2026年2月末辺りから明確な説明を付けてBIOSにセキュアブート証明書を入れた状態で配布し始めたので説明します。
【BIOS内のセキュアブート証明書の更新はWindows経由】
【Windowsのセキュアブート証明書の期限について】で前に説明していますが、
セキュアブート証明書の更新は基本的にWindows UpdateでBIOS内のデータを書き換えるので、使用者は何もしなくても勝手に更新されるのですが、【2025年6月のWindows Updateで一部のPCが起動不能になる問題】で説明している、セキュアブート用の確認データが入っているデータベースの、起動時のメモリ容量指定がデータベースの容量より少ないと起動出来ない問題がでるので、
そのような時は指定容量を修正したBIOSに先に更新する必要がある為、Windows Updateでセキュアブート証明書が更新されない事があります。
また、そもそもWindows Updateを止めていても当らないので、手動でパッチを充てるか、Windows Updateを有効にして充てる必要が出ます。
【セキュアブート証明書入りBIOSの対象】
セキュアブート証明書は上記した様にWindows Updateを止めていない限り自動であたりますので、態々BIOSに埋め込んでから配布する必要はありません。
なので、今回出しているのはWindows Updateを止めている環境用向けのBIOSだと考えられます。
ASRockは明確にUpdate Secure Boot Key (2023 KEK/DB/PK)と書いていますが、ASUSはEnhance system stability, security, and compatibility.と匂わせた感じの説明になっていたりします。
各社2025年8月末辺りから証明書を入れたBIOSを出している様です。
【Socket AM4環境の注意】
今回のセキュアブート証明書入りBIOSはIntel、AMD両環境で出されている訳ですが、Socket AM4のMBは現状でも現役なRyzen 5xxx番台を9年前に販売された300シリーズチップセット(X370、B350、A320)のMBでも使用出来ます。
つまり9年経っていてもMBが現役な訳ですが、機種によってはBIOSが入っているEEPROMの容量の問題でCPUの認識用のマイクロコードが圧迫されるので、特定のバージョンで古いシリーズのCPUのマイクロコードを消して新しいCPUに対応するという事をしています。
X370やB350のMBでEEPROMが16MBだった場合、途中で初期のAシリーズAPU(Bristol Ridge)、Ryzen 1xxx(Summit Ridge)、Ryzen 2xxxG APU(Raven Ridge)のマイクロコードを削除して非対応にしています。
X470やB450も同様にEEPROMの容量が少ない場合に初期あたりのCPUやAPUが非対応になる事があります。
問題なのは古い初期のCPUやAPU搭載機で今回のセキュアブート証明書入BIOSを充てるとCPUやAPUが非対応になって動作不能になる事、物によってはRyzen 2xxx(Pinnacle Ridge)やRyzen 3xxxG(Picasso)まで切られている事があるので注意が必要です。
上記した様に、基本的にWindows Updateでセキュアブート証明書は当たるので、古いCPUやAPU搭載機は証明書入りBIOSが出ても充てない様にして下さい。
IntelについてはSocket互換を基本2世代で切るので関係ありません。
(3世代の様に見えて実際は只のリブランドなので)
例:Socket LGA1700はAlder Lake(Corei 12xxx)とRaptor Lake(Corei-13xxx)、Raptor Lake Refresh(Corei-14xxx)と3世代に見えるが、
Corei-14xxxはRaptor Lakeと同じシリコンウエハから切り出した最上位と隙間の製品をリブランドした物でしかないため、実態はAlder LakeとRaptor Lakeの2世代でしかない。
【心配な場合の確認方法】
Windows PowerShellから確認する方法があるので、確認して下さい。
【Windows 10】
スタートボタン
↓
スタートメニュー
↓
Windows PowerShellの項目を開く
Windows PowerShellのアイコンの上で右クリックし、管理者として実行(A)を選択して起動
【Windows 11】
スタートボタン
↓
全てのアプリ
↓
Windowsツールを選択して開く
Windows PowerShellのアイコンの上で右クリックし、管理者として実行(A)を選択して起動
PowerShellが起動したら以下の様に打ち込むか、コピペして実行して下さい。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(クリックすると拡大)Trueと表示されている場合Windows UEFI CA 2023証明書が既に充てられているという事が分かります。
↑のコマンドはBIOS内のSecureBootUEFIのデータベースの内容をテキストとして抽出し、その中にWindows UEFI CA 2023の文字列はあるのか確認するものです。
証明書が更新されていない場合2026年6月に切れるバージョンのWindows UEFI CA 2011になっているので、見つからないとしてFalseと返してきます。
(クリックすると拡大)因みにデータベース内だけ見るとエンコードの問題で文字化けしまくっていますが、Windows UEFI CA 2023の表示がある事が分かります。
尚、Microsoft Corporation UEFI CA 2011やWindows Production PCA 2011という表記も見えますが、これはOS側のWindows Boot Managerが旧バージョンという事を示しています。
恐らくWindows 10をESUで延長しているからだと考えられますが、現状BIOS側の証明書とズレていても問題なく起動できるのと、問題になる場合は6月までにWindows Updateで対処されると考えられるので、気にする必要は無いと考えて下さい。
(クリックすると拡大)PowerShellで確認したPCのMBは↑の画像の様にB450M Steel Legendですが、CPUがRyzen 1700なので前のMBが故障した時に緊急で買った時の状態で止めている為、3.30になっています。
上記した様にBIOS側の証明書自体は更新されているので、製品ページの証明書が入った10.44に更新する必要はありません。
昨年8月末以降から証明書入りBIOSが出されていますが、CPUを更新してまでBIOSを最新にする必要は無いので、よく確認する様にして下さい。
尚、BIOSをメモリに展開する時のDB、DBXの容量指定に問題があるBIOSであった場合は、旧CPUが対応しているBIOSでも一番新しい物にしてみて下さい。
それでも証明書がWindows Updateで降りてこなかった場合のみ最新のBIOSに上げてからRyzen 5xxx番台に交換して下さい。
また、メーカーPCやBTO PCの場合はメーカーからBIOSを上げる様にツールが来た場合は容量指定修正だったりするので、指示に従ってBIOSを更新する様にして下さい。
【関連記事】
【Windowsのセキュアブート証明書の期限について】
このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。
総合情報に戻る
TOPに戻る
| ソフトウェア | 14:00 | comments:0 | trackbacks:0 | TOP↑
