4月14日に80〜100件超のパッチが降ってくる前に確認すべきこと

2026年4月のパッチチューズデー(4月14日)が迫ってきた。今月は単純な脆弱性修正にとどまらず、起動不能リスクを伴う証明書更新ドライバ信頼モデルの大きな転換が含まれる可能性があり、特にエンタープライズのIT管理者にとっては見逃せない月になりそうだ。

Windows 11 プレビューパッチの混乱と修正

今月初旬、Windows 11 24H2・25H2 向けのOSプレビューパッチ(KB5079391)が問題を起こした。インストール後に「ファイルが見つからない」などのエラーが多発し、Microsoftは一度このKBを取り下げ、アウトオブバンド(OOB)パッチ KB5086672 として再発行している。

「プレビューで問題を潰しておいて、本番リリース時にはクリーンな状態で届ける」というMicrosoftの姿勢は評価できる。プレビューチャンネルを使っている組織は、このOOBパッチの適用状況を確認しておきたい。

Outlookに2件のOOB修正——Teams連携とGmail同期

今月のOOBリリースにはOutlook Classic関連の修正も2件含まれている。

1件目: 3月パッチチューズデーで更新されたTeams会議アドインが、旧バージョンのOutlook Classicと競合するケース。MicrosoftはTeams側を修正済みで、あわせてOutlookを最新版へアップデートするよう案内している。

2件目: 2月26日から発生していたOutlook ClassicのGmail・Yahooアカウント同期停止の問題。Microsoft 365側での修正は完了しているが、パスワード更新後も症状が続く場合は公式サポートページを参照のこと。

最重要: Secure Boot証明書の期限切れ(6月26日)

今月最大のトピックはここだ。Secure Boot用のMicrosoft Windows Production PCA 2011証明書が2026年6月26日に期限切れを迎える

この証明書の更新パッチを適用していないデバイスは、最悪の場合起動不能になるリスクがある。「そのうち当てればいい」と先送りにしていると手遅れになる。4月のパッチチューズデーで配信される更新が含まれていた場合、優先的に適用すること。

あわせて、クロス署名ドライバの信頼廃止も進んでいる。古いドライバ署名モデルへの依存が残っている環境では、デバイスドライバが突然動作しなくなる可能性があるため、使用しているドライバの署名状況を今のうちに棚卸ししておきたい。

Windows 11 24H2 のEOLは2026年10月13日

Microsoftは3月27日、Windows 11 24H2 Home/Pro が 2026年10月13日 にサポート終了(EOL)を迎えると発表した。IT管理によるコントロール下にないデバイスは自動的に25H2へアップグレードされる。

組織内に「野良デバイス」が存在する場合は、今すぐ管理下に置いてアップグレードポリシーを適用しないと、意図しないタイミングでOSが変わる可能性がある。棚卸しを急ぎたい。

SaRAツールが廃止——後継は「Get Help」

長年使われてきたサポートツール SaRA(Support and Recovery Assistant) が、3月のパッチチューズデーをもってすべての現行OSから廃止された。

後継ツールの Get Help は、GUIバージョンとPowerShellから呼び出せるCLI・スクリプトバージョンの両方が用意されており、Microsoft Office・Microsoft 365・Outlookのトラブルシューティングが主な用途だ。社内ヘルプデスクやチェックリストにSaRAが記載されている場合は、今すぐGet Helpに差し替えておこう。

Chrome 4月のゼロデイ更新(2026年4件目)

Googleが今年4件目となるChrome緊急更新を公開した(146.0.7680.177/178)。CVE 21件のうちHighが19件とかなり重い内容だ。Windowsデバイスへの4月パッチ適用と同時に、Chromeの更新も必ず確認したい。

実務への影響

対応項目 期限・重要度 推奨アクション

Secure Boot証明書更新 6月26日(必須) 4月PTで配信予定、優先適用

クロス署名ドライバの棚卸し 随時 使用ドライバの署名方式を確認

Win11 24H2管理外デバイスの把握 EOL 10月13日 管理下に移行・アップグレード計画

SaRA→Get Helpへの移行 廃止済み 手順書・ヘルプデスクスクリプトの更新

Outlook/Teams同期の確認 随時 OOBパッチ適用・パスワード再設定

Chrome更新 即時 146.0.7680.177以降への更新確認

4月は「大量のパッチを当てる月」であると同時に、「6月に向けた準備を始める月」でもある。

筆者の見解

Secure Boot証明書の期限切れは、セキュリティ的には正しい方向への変化だ。古い証明書・古い署名モデルを段階的に廃止し、信頼の連鎖を現代的な基準に引き上げる取り組みは、カーネルレベルのセキュリティ強化として評価できる。

ただし、こうした変更には「知らなければデバイスが死ぬ」リスクが伴う。セキュリティ改善とユーザーへの影響をどうバランスさせるかは、依然として難しい問題だと感じる。今回のようにプレビューチャンネルで問題を先に潰しておく姿勢は良いのだが、証明書期限のような「見えにくい時限爆弾」は、もっと広い範囲で積極的に告知されてしかるべきだ。

Windows Updateの適用タイミングについては、今月のプレビュー騒動を見ても「すぐに当てて壊れるリスク」は現実として存在する。とはいえ、Secure Boot証明書のように期限がある更新を先送りにするのは逆に危険だ。数日様子を見てから適用するというアプローチは個人PCなら有効だが、エンタープライズ環境ではテスト群での検証→段階展開のプロセスを組んでおくことが現実解だろう。

AIを活用するにしても、今月のように「判断が絡む更新管理」にはまだ人間の目が必要だ。自動化できる部分は自動化しつつ、判断ポイントには人間のチェックを残す——それが今の現実的なIT運用のあり方だと思う。

出典: この記事は April 2026 Patch Tuesday forecast: Spring-cleaning of a preview の内容をもとに、筆者の見解を加えて独自に執筆したものです。