【緊急】Secure Boot証明書が2026年6月に失効——企業IT管理者は今すぐ移行準備を

Secure Boot証明書、2026年6月に失効——企業は今すぐ対応を

Microsoftは、2011年に発行された「Microsoft UEFI CA 2011」などのSecure Boot証明書が2026年6月に失効すると警告している。企業のIT管理者にとって、早急な対応が求められる重要な問題だ。

Secure Bootとは

Secure Boot（セキュアブート）は、PCの起動時にOSやブートローダーが正規のものであることを検証するUEFIの機能。悪意あるソフトウェアがOSより前の段階で起動するのを防ぎ、ルートキットやブートキットと呼ばれる高度なマルウェアへの防御として機能する。Windowsでは特に企業環境での重要なセキュリティ基盤となっている。

失効後も起動は可能——ただしリスクは増大

証明書が失効しても、既存のWindowsマシンは通常どおり起動できる。しかし問題はセキュリティ保護の面にある。

失効後は、新たに発見されたブートレベルの脆弱性（CVE等）に対する修正プログラムの適用が受けられなくなる。つまり、将来のセキュリティアップデートが証明書チェーンに依存している場合、古い証明書のままでは適用できないケースが生じる。攻撃者がブートプロセスを標的にした新たな手法を開発した場合、対策が打てなくなるリスクがある。

2023年版証明書への移行が必要

Microsoftはすでに「Microsoft UEFI CA 2023」を発行しており、企業はこの新しい証明書への移行を進める必要がある。移行作業には以下が含まれる。

• UEFIファームウェアの更新: デバイスメーカー（Dell、HP、Lenovoなど）が提供するファームウェアアップデートの適用
• セキュアブートデータベースの更新: 新しい証明書をUEFI DBに追加し、古い証明書を失効リスト（DBX）に登録
• 動作確認: 移行後にブートが正常に完了することの検証

日本企業への影響と対応の優先度

日本国内でも多くの企業がWindows環境を利用しており、特に金融・医療・製造業などのセキュリティ要件が高い業種では早急な対応が必要だ。BitLockerやWindows Defender等と組み合わせたセキュリティ構成を採用している環境では、移行計画の策定を急ぐべきだろう。

2026年6月まで一見余裕があるように見えるが、大規模な企業環境での検証・展開には相応の時間がかかる。MicrosoftはIT管理者に対し今すぐ移行準備を始めるよう強く促している。

まずは社内の対象デバイスを棚卸しし、デバイスメーカーのサポートサイトで対応ファームウェアの提供状況を確認することから始めたい。

元記事: Act now: Secure Boot certificates expire in June 2026 - Windows IT Pro Blog