セキュアブートの状態を確認したいときに、「有効かどうか」だけを見て終わってしまう方は少なくありません。ですが、実際には証明書やキー情報が正しく登録されているかまで確認できると、Windows 11の要件確認やUEFI設定の見直し、トラブル切り分けがしやすくなります。
この記事では、Windowsでセキュアブート証明書を確認する方法について整理しています。
手早く確認したい場合は「システム情報」でセキュアブートの有効状態を確認し、さらに詳しく見たい場合はPowerShellでPK・KEK・db・dbxの情報を確認する流れが確実です。
セキュアブート証明書を確認する前に知っておきたいこと
セキュアブートは、PC起動時に信頼された署名のあるソフトウェアだけを読み込むための仕組みです。
このとき使われるのが、UEFIに登録されたキーや証明書情報です。
確認時によく出てくる項目は、次の4つです。
| 項目 | 内容 |
|---|---|
| PK | Platform Key。管理の最上位にあたるキーです |
| KEK | Key Exchange Key。更新や管理に使われるキーです |
| db | 許可された署名データベースです |
| dbx | 拒否された署名データベースです |
「セキュアブートが有効」になっていても、証明書情報の確認まではしていないケースがあります。状態確認と証明書確認は分けて考えると整理しやすいです。
システム情報でセキュアブートの有効状態を確認する方法
まずは、Windows上でセキュアブートが有効かどうかを確認します。
システム情報を開く手順
スタートメニューの検索で「システム情報」と入力し、表示された「システム情報」を開きます。
または、Windowsキー + R を押して「msinfo32」と入力しても開けます。
確認する項目
「システムの要約」にある以下の項目を確認してください。
| 項目名 | 見るポイント |
|---|---|
| BIOS モード | UEFI になっているか |
| セキュア ブートの状態 | 有効 / 無効 / サポートされていません |
ここで「セキュア ブートの状態」が「有効」なら、セキュアブートは動作しています。
ただし、この記事のテーマである証明書の確認までは、この画面だけではできません。
PowerShellでセキュアブート証明書を確認する方法
証明書やキー情報を詳しく確認したい場合は、PowerShellを管理者として起動して確認します。
PowerShellを管理者として開く
スタートボタンを右クリックし、「ターミナル(管理者)」または「Windows PowerShell(管理者)」を選びます。
環境によって表示名が異なることがありますが、管理者権限で開くことが大切です。
セキュアブートが有効か確認するコマンド
以下のコマンドを実行します。
|
1 |
Confirm-SecureBootUEFI |
結果がTrueなら有効、Falseなら無効です。 エラーになる場合は、UEFI起動ではないか、セキュアブート非対応の可能性があります。
PKを確認するコマンド
|
1 |
Get-SecureBootUEFI -Name PK |
KEKを確認するコマンド
|
1 |
Get-SecureBootUEFI -Name KEK |
dbを確認するコマンド
|
1 |
Get-SecureBootUEFI -Name db |
dbxを確認するコマンド
|
1 |
Get-SecureBootUEFI -Name dbx |
これらのコマンドで、セキュアブートに関係する署名データベースの情報を確認できます。
表示内容はバイナリ情報を含むため見慣れない形ですが、少なくとも値が取得できれば、UEFI変数が存在しているかの確認には役立ちます。
コマンド実行時に確認できない原因
セキュアブート証明書の確認がうまくできないときは、次の原因が多いです。
BIOSモードがUEFIではない
レガシーBIOSやCSM有効の状態では、セキュアブート関連コマンドが正しく確認できないことがあります。
システム情報の「BIOS モード」が「UEFI」になっているか確認してください。
管理者権限で起動していない
PowerShellを通常権限で開いていると、コマンドが失敗することがあります。
必ず管理者として実行してください。
セキュアブート自体が無効
UEFI設定画面でセキュアブートが無効になっていると、状態確認はできても証明書情報の扱いが想定どおりでない場合があります。
その場合は、BIOS/UEFI設定側も見直します。
UEFIやセキュリティ設定の影響で、デバイスが正常に認識されないケースもあります。USB機器のトラブルについては、こちらで詳しく解説しています。
セキュアブート確認時の見方のポイント
確認作業では、次の順番で見ると判断しやすいです。
| 確認順 | チェック内容 |
|---|---|
| 1 | システム情報で「BIOS モード」が UEFI か |
| 2 | 「セキュア ブートの状態」が 有効 か |
| 3 | PowerShellで Confirm-SecureBootUEFI の結果が True か |
| 4 | Get-SecureBootUEFI -Name PK などでキー情報が取得できるか |
この順で確認すれば、「単に無効なのか」「そもそもUEFI条件を満たしていないのか」を切り分けやすくなります。
よくある質問(Q & A)
- セキュアブート証明書とセキュアブートの有効状態は同じですか?
-
同じではありません。
有効状態は機能のオン・オフ確認で、証明書確認はUEFIに登録されているキーや署名データベースの確認です。 - Windows 11で必ず確認したほうがよいですか?
-
Windows 11の要件確認や、アップグレード前の事前チェックでは確認しておくと安心です。
特に「有効になっているはずなのに判定で引っかかる」場合に役立ちます。 - コマンドで文字化けのような表示になるのは異常ですか?
-
異常とは限りません。
Get-SecureBootUEFIでは人がそのまま読みにくい形式で出ることがあります。重要なのは、項目が取得できるかどうかです。
まとめ
セキュアブート証明書の確認方法は、まず「システム情報」で有効状態を確認し、その後にPowerShellでPK・KEK・db・dbxを確認する流れが基本です。
単に「有効」と表示されているだけでは、詳細な確認としては不十分な場合があります。
Windows 11の要件確認や起動周りのトラブル切り分けを行うなら、状態確認と証明書確認の両方を押さえておくと判断しやすくなります。
まずは「msinfo32」で現在の状態を見て、必要に応じてPowerShellのコマンドで詳しく確認してみてください。
