Secure Boot証明書の2026年問題とは
Microsoftは、2026年に発生するSecure Boot(セキュアブート)証明書の失効問題に対応するための公式ガイド「Secure Boot playbook」を公開した。2011年に発行されたSecure Boot関連の証明書が、2026年6月を皮切りに順次有効期限を迎えることが背景にある。
Secure Bootとは、PCの起動時にOSやブートローダーのデジタル署名を検証し、マルウェアや不正なソフトウェアによる改ざんを防ぐUEFIの機能だ。Windows 11の必須要件にもなっており、企業・個人を問わず広く使われている。
失効後はどうなる?
証明書が失効しても、Windowsは引き続き起動する。ただし、失効した証明書に依存していたセキュリティ保護の一部が適用されなくなる。具体的には、DBX(失効署名データベース)の更新や特定のセキュリティパッチが正しく機能しなくなる可能性があり、セキュリティ水準の低下を招く恐れがある。
対象となるPCは?
2024年以降に製造されたPCは、すでに2023年発行の新しい証明書が組み込まれており、対応不要だ。問題になるのは、古いUEFIファームウェアを搭載した旧世代のPCで、特に企業の現場では長期利用が多いため注意が必要だ。
必要な対応手順
Microsoftが公開したプレイブックでは、以下の対応フローが案内されている。
- 現状確認 — デバイスのUEFIファームウェアバージョンと、搭載されているSecure Boot証明書のバージョンを確認する
- ファームウェア更新の確認 — PCメーカー(OEM)が2023年証明書対応のファームウェアアップデートを提供しているか確認する
- 手動更新の実施 — アップデートが提供されている場合、Windows Updateまたはメーカーのサポートページからファームウェアを更新する
- エンタープライズ環境での管理 — Microsoft IntuneやConfigMgrなどのデバイス管理ツールを活用して、組織内の対象デバイスを一括把握・対応する
企業IT担当者への影響
日本の企業環境でも、PCの長期運用は珍しくない。特にWindows 10の延長サポート終了(2025年10月)を控えた移行期にあたるため、ハードウェアの棚卸しと並行してSecure Boot証明書の確認を進めることが望ましい。
期限まで時間的な余裕があるうちに対応デバイスを洗い出し、ファームウェア更新の計画を立てておくことを強くお勧めする。