Windows Windowsドライバーセキュリティ強化：Microsoftがクロス署名プログラムへの信頼を廃止、2026年4月更新で適用開始

Microsoftがクロス署名ドライバープログラムへの信頼を廃止へ

Microsoftは2026年4月のWindowsアップデートにおいて、旧来の**クロス署名カーネルドライバープログラム（Cross-Signed Driver Program）への信頼を削除すると発表した。この変更により、今後はMicrosoftが認定するWindows Hardware Compatibility Program（WHCP）**を通じて署名されたドライバーのみがデフォルトで読み込まれるようになる。

クロス署名ドライバーとは

クロス署名ドライバーとは、MicrosoftのルートCA（認証局）ではなく、サードパーティの認証局によって署名されたカーネルモードドライバーを指す。過去にWindowsのドライバーエコシステムが拡大していく過程で広く利用されてきたが、その反面、マルウェアがドライバーに悪意あるコードを仕込んで署名を通過させる「ドライバー署名の悪用」が攻撃手法として確立されてしまった背景がある。

近年、ランサムウェアや高度な脅威アクター（APT）がカーネルレベルのドライバーを悪用するケースが増加しており、Microsoftはドライバーのセキュリティ強化を優先課題として取り組んできた。

段階的な適用で互換性への影響を監視

今回の変更は一度に完全適用されるわけではなく、まず**評価モード（Evaluation Mode）**として展開される。評価モードでは、クロス署名ドライバーが読み込まれた場合にイベントログへの記録や管理者への通知が行われるが、実際のブロックは行われない。これにより、企業やOEMが既存の環境への影響を把握し、対応を進める猶予期間が設けられる。

Microsoftは互換性への影響を監視しながら段階的に適用を進める方針で、最終的にはクロス署名ドライバーのデフォルト読み込みを完全に無効化する予定だ。

企業・開発者が取るべき対応

ハードウェアベンダーやドライバー開発者は、WHCPを通じた署名取得へ移行することが求められる。WHCPの認定プロセスはMicrosoftのHardware Dev Centerポータルから申請でき、Microsoftによる技術的なテストと審査を経て署名が付与される。

企業のIT管理者は、社内で使用しているサードパーティ製ハードウェアのドライバーがWHCP署名済みかどうかを確認し、未対応のベンダーに対してアップデートを要求する必要がある。特に、古いプリンターや特殊な計測機器、産業用デバイスのドライバーは対応が遅れる可能性があるため、早期の棚卸しが推奨される。

セキュリティ強化の流れの一環

この変更は、MicrosoftがWindows 11以降で推進しているSecured-core PCやVulnerable Driver Blocklist（脆弱ドライバーブロックリスト）の強化と同じ方向性を持つ。カーネルへのアクセスを厳しく制限することで、マルウェアがOSの深部に潜り込むことを根本から防ぐ設計思想だ。

Windowsのセキュリティ基盤を強化する上で重要なマイルストーンとなる今回の変更を前に、ハードウェアベンダーとIT担当者は早めの対応準備を進めておくべきだろう。

元記事: Advancing Windows driver security: Removing trust for the cross-signed driver program