Microsoftは、Windows Secure Boot証明書の期限切れとCA更新に関する説明を更新しました。重要なのは「証明書が切れたらPCが起動しなくなる」という話ではありません。2011年に発行された一連のSecure Boot証明書が2026年6月から順次期限切れになり、Windowsデバイスは2023年の新しい証明書へ移行することで、今後の起動初期段階のセキュリティ保護更新を受け続ける必要がある、という点です。
原文:Microsoft Support: Windows Secure Boot certificate expiration and CA updates。
今回の更新は何を意味するのか
Secure BootはUEFIファームウェア内のセキュリティ機能です。OSが起動する前に、ブートローダー、UEFIドライバー、Option ROMなどのコンポーネントの署名を検証し、bootkitやrootkitのような起動初期段階のマルウェアを防ぐことを目的としています。
この検証は、ファームウェア内のいくつかのデータベースと鍵に依存しています。
KEK:キー登録鍵。Secure Bootデータベースの更新を承認するために使われる。DB:許可された署名データベース。どの起動コンポーネントを信頼するかを決める。DBX:失効署名データベース。信頼できない、またはリスクがあると判明した起動コンポーネントをブロックする。
Microsoftの説明によると、Windowsデバイスで長年使われてきた2011年の証明書群が期限切れに近づいており、対応する新しい証明書は2023年版になっています。これには、DB / DBX 更新の署名に使われるKEK証明書、Windowsブートローダーの署名に使われるWindows UEFI CA、サードパーティのブートローダー、EFIアプリ、Option ROMに使われるUEFI CAが含まれます。
起動に影響するのか
多くのユーザーが気にするのは、2026年に証明書が期限切れになったあと、PCが突然起動できなくなるのかという点です。
Microsoftの結論は比較的明確です。2023年の新しい証明書を受け取っていないデバイスでも、起動と通常利用は継続でき、標準的なWindows更新も引き続きインストールされます。ただし、これらのデバイスは、Windows Boot Manager更新、Secure Bootデータベース更新、失効リスト更新、新たに見つかった起動レベル脆弱性への緩和策など、起動初期段階に関わる新しい保護を受け取れなくなります。
つまりこれは、単純な「システムがすぐ使えなくなる」問題ではなく、「セキュリティ保護の連鎖が古くなる」問題に近いものです。短期的には機器は普通に動くかもしれません。しかし長期的には、新しいbootkit、起動チェーンの脆弱性、失効されたコンポーネントに対する防御力が下がります。
一般ユーザーがすべきこと
一般ユーザーがSecure Bootの鍵を手動で編集する必要はありません。BIOS / UEFIで証明書を不用意に削除、リセット、インポートすることもおすすめしません。
より安全な対応は次の通りです。
- Windows Updateを有効にし、累積更新を適用する。
- PCメーカーが提供するファームウェア、BIOS、UEFI、ドライバー更新をインストールする。
- 一時的な互換性問題のためにSecure Bootを長期間無効にしない。
- BitLockerを有効にしている場合は、ファームウェアやSecure Boot関連の変更前に回復キーを確認する。
msinfo32で「Secure Boot State」を確認し、Secure Bootが有効になっているか見る。
家庭用PCでの主なリスクは、多くの場合「操作がわからないこと」ではなく、ファームウェアを長期間更新しないことです。多くのノートPCやメーカー製PCのSecure Boot関連変更は、最終的にOEMファームウェアの対応に依存します。
企業管理者が注意すべきこと
企業環境で難しいのは単体のPCではありません。デバイスモデル、ファームウェアバージョン、暗号化ポリシー、展開ツール、サードパーティの起動コンポーネントが混在していることです。
まず次の四つから始めるのがよいでしょう。
- デバイスモデル、Windowsバージョン、Secure Boot状態、ファームウェアバージョン、BitLocker状態を棚卸しする。
- 代表的な機種で小規模にテストし、段階的に展開を広げる。
- Windows更新、OEMファームウェア更新、回復キーのバックアップ、PXE / MDT / ConfigMgr / Intuneの流れを一つの変更計画にまとめる。
- 回復メディア、イメージングツール、サードパーティのセキュリティソフト、デュアルブートのブートローダーが正常に起動するか検証する。
Microsoftのドキュメントには、IT管理デバイス向けにレジストリ、グループポリシー、WinCS API、Intune、監視例などの手段も示されています。企業では、今回の証明書更新を普通のパッチとして扱うべきではありません。ファームウェアレベルの変更として、テスト、段階的展開、ロールバック計画と一緒に扱うべきです。
デュアルブートとサードパーティ起動ツールは特に注意
Linuxのデュアルブート、サードパーティのブートローダー、独自署名のEFIアプリ、古い回復USB、オフライン展開ツールを使っているデバイスでは、今回の更新を早めに検証する価値があります。
理由は、Microsoftが従来の信頼の一部をより細かく分けたためです。たとえば、サードパーティのブートローダーとOption ROMに対応する信頼は、以前のように完全には一体化していません。これは信頼範囲を狭めるうえで有効ですが、古い起動コンポーネント、未更新のshim / GRUB、古い回復メディア、独自起動ツールが、将来署名の信頼問題に遭遇しやすくなる可能性もあります。
原則は単純です。証明書が期限切れになってから、回復USBも起動できないと気づくのは避けるべきです。重要な機器では、少なくとも一度は実際の回復手順を事前に検証しておくべきです。
やるべきでないこと
この種の問題は「証明書の期限切れ」に見えるため、BIOSに入って手動で鍵を変更したくなりがちです。しかし、メーカーやMicrosoftのドキュメントが明確に求めていない限り、それはおすすめしません。
Secure Bootを長期間無効にしないでください。本番デバイスでSecure Boot keysを直接消去しないでください。あるデバイスのファームウェア設定を、別モデルのデバイス群にそのままコピーしないでください。Windowsだけを更新し、OEMファームウェアを更新しないまま、問題が解決したと考えるのも危険です。
より適切な見方は、Windows更新がOS側を処理し、OEMファームウェア更新がプラットフォーム側を処理し、企業の展開ポリシーが大規模な一貫性を処理する、というものです。この三つのどれかが欠けると、後で原因を追いにくい起動問題になる可能性があります。
まとめ
今回のWindows Secure Boot証明書期限切れの実際の影響は、2026年のある日にすべてのPCが同時に起動不能になることではありません。古い証明書のデバイスが、今後のSecure Bootセキュリティ更新を徐々に受けられなくなることです。
個人ユーザーはWindowsとファームウェアを最新に保ち、Secure Bootを不用意に無効化しないことが重要です。企業管理者は、棚卸し、テスト、段階的展開を早めに始めるべきです。2026年6月に近づくほど、ファームウェア互換性、回復手順、まとめて戻すための計画に使える時間は少なくなります。