Security

Windows Secure Boot証明書更新 2026年期限切れ対策

3分で読める

概要

Microsoftは、Windows Secure Bootを支える2011年導入の証明書が2026年6月下旬から期限切れになるため、サポート対象デバイスへ新しい証明書を月例更新で段階的に配布すると案内しました。更新に失敗しても当面は起動できる可能性がありますが、将来のブートレベル防御や互換性を失う恐れがあるため、特にサポート対象外のWindows 10端末は優先的にアップグレードやESU、OEMファームウェア更新の確認が重要です。

Securityでお困りですか?専門家に相談する

はじめに: なぜ重要なのか

Secure Boot は Windows における最重要クラスの起動時保護の 1 つで、OS が読み込まれる前に信頼されたデジタル署名済みコンポーネントのみが実行されることを保証します。この信頼は UEFI ファームウェアに格納された証明書によって支えられており、Microsoft は 2011 年に導入された元の Secure Boot 証明書がライフサイクル末期に達し、2026 年 6 月下旬から期限切れが始まることを確認しています。IT チームにとってこれは期限のある、エコシステム全体のセキュリティ保守イベントです。デバイスが証明書更新を取り逃がした場合、起動自体は継続できても、将来のブート レベル保護を取り込めなくなる可能性があります。

変更点

Secure Boot の「root of trust」が更新されます

  • 長期運用されてきた Secure Boot 証明書は、2026 年 6 月下旬以降に期限切れとなります。
  • 新しい証明書は、サポート対象の Windows デバイスに対して通常の月次 Windows 更新プログラムのサイクルで配信されます。
  • リスクと中断を最小化するため、Windows のサービス、OEM ファームウェア、UEFI プロバイダーが連携して取り組む調整済みの施策です。

幅広い OEM 側の準備状況(特に新しいデバイス)

  • 2024 年以降に製造された多くの PC、ならびに 2025 年出荷のほぼ全デバイスには、すでに更新済み証明書が含まれています。
  • 市場稼働中デバイスの一部では、新しい証明書の適用に先立って OEM ファームウェア更新が必要になる場合があります。

可視性の向上と段階的ロールアウト

  • Microsoft は、テストとテレメトリに基づく準備状況を踏まえ、慎重な段階的アプローチで変更を展開しています。
  • 証明書更新のステータスに関するメッセージは、今後数か月以内に Windows Security アプリに表示され、ユーザーが進捗を追跡できるようになる見込みです。

IT 管理者とエンド ユーザーへの影響

デバイスが期限内に新しい証明書を取得できない場合

  • デバイスは引き続き動作し、既存ソフトウェアも稼働し続ける可能性が高いです。
  • しかし セキュリティが低下した状態 (degraded security state) に入り、将来のブート レベルの緩和策(例: 新しいブート脆弱性が見つかった場合)を受け取れなくなる恐れがあります。
  • 時間の経過とともに互換性リスクが増大します。より新しい OS/ファームウェア/ハードウェア、または Secure Boot 依存のソフトウェアが読み込めなくなる可能性があります。

サポート対象外の Windows バージョンが主要リスク

  • サポート対象外バージョン上のデバイス(特に 2025 年 10 月 14 日にサポートが終了した後の Windows 10。ESU 登録がない場合)は、Windows Update 経由では更新を受け取りません。
  • これらのエンドポイントは、優先度の高い是正対象(アップグレード/入れ替え、または ESU 適用可否と更新戦略の確保)として扱う必要があります。

推奨アクション / 次のステップ

  1. インベントリとスコープ定義
    • 対象となる Windows および Windows Server エンドポイントをすべて特定します。これには、キオスク、特殊用途サーバー、IoT/エッジ デバイスなど、通常と異なるサービス形態のものも含めます。
  2. 更新経路(サービス パス)の検証
    • デバイスが最新の月次累積更新プログラムを受け取っていることを確認します(該当する場合は Microsoft 管理)。
    • 準備状況の検証に用いられる診断/テレメトリ要件が、組織のポリシーに合致していることを確認します。
  3. ファームウェア準備状況チェック
    • OEM のアドバイザリおよびサポート ページ(Dell/HP/Lenovo など)を事前に確認し、必要な UEFI/ファームウェア更新を計画して適用します。
    • 広範展開の前に、代表的なハードウェア モデルでファームウェア更新をパイロット実施します。
  4. 例外への対応計画
    • Microsoft の段階的アプローチで十分に検証できないデバイスについては、Microsoft の IT 管理者向けプレイブックのガイダンスと、既存ツール(Intune、Configuration Manager、またはサードパーティ)を用いて展開および監視します。
  5. サポート手順書(runbooks)の準備
    • 一次対応手順: 最新の Windows 更新プログラムを適用し、最新の OEM ファームウェアを確認したうえで、問題が継続する場合は Microsoft/OEM のサポート窓口へエスカレーションします。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Nuno Costaの元の記事を読む
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。