Windows 10のサポート終了期日「2026年10月14日」はIT管理者の間でも周知されてきた。しかし、実はそれよりも深刻な問題が同年に潜んでいる。Secure Boot証明書の失効だ。単なるソフトウェアライフサイクルの話ではなく、物理的に起動できなくなるリスクを孕むこの問題は、まだ十分に語られていないと感じる。

2026年10月のEOLとは何か

MicrosoftはWindows 10を2015年にリリースした際、10年間のサポートを明言していた。2020年にメインストリームサポートが終了し、延長サポートは本来2025年まで——それをさらに1年延長して2026年10月までとなった経緯がある。

EOL以降は、リモートコード実行・権限昇格・情報窃取を可能にする脆弱性を含むいかなるセキュリティ更新も提供されない。OSとしての機能は動き続けるが、攻撃者にとっては「既知の穴が塞がれないまま放置されたターゲット」になる。

Secure Boot証明書失効:こちらの方が深刻かもしれない

Windows 10が使用する Microsoft Corporation UEFI CA 2011 証明書は、2026年中に有効期限を迎える。Secure Bootはブートプロセスに信頼済み署名付きソフトウェアのみをロードさせる仕組みだが、この証明書が失効すると検証に失敗し、システムが起動不能になるか、Secure Boot自体を無効化せざるを得なくなる

Secure Bootを無効化するということは、ブートキット攻撃(OSロード前にマルウェアが制御を奪う)に対して無防備になることを意味する。Microsoftが証明書を任意に延長できない理由は、暗号学的な設計上の制約と、定期的な証明書ローテーションというセキュリティベストプラクティスにある。これはMicrosoftが「やらない」のではなく「できない」話だ。

EOL後もパッチ未適用で使い続ける判断をする組織は多いが、Secure Boot失効はOSが動くかどうかという土台の問題であり、セキュリティリスクとは別の次元の話である。

Extended Security Updates(ESU):コストと限界

移行が間に合わない組織向けに、MicrosoftはESUプログラムを提供する。コンシューマー向けは初年度30ドル/デバイスとされているが、エンタープライズ向けは年々倍増する設計だ——1年目約61ドル、2年目約122ドル、3年目約244ドル(2029年まで)という試算がある。

ESUがカバーするのは重要なセキュリティ脆弱性のみであり、機能更新・非セキュリティ修正・テクニカルサポートは含まれない。年次更新が必要で、2029年以降は完全終了となる。延命策ではあるが、根本的な解決にはならない。

実務への影響——日本のIT管理者が今すぐやるべきこと

1. 台数把握と証明書確認を急げ まずWindows 10端末の棚卸しが必要だ。Get-WmiObject Win32_OperatingSystem や Microsoft Entra・Intuneのデバイスレポートで把握する。Secure Boot有効化状況も msinfo32 や PowerShell で確認できる。

2. Windows 11移行可否の判定 TPM 2.0・Secure Boot対応・CPU要件を満たさない古い端末は「更新プログラムで上げる」ではなくハードウェア更新が必要になる。調達リードタイムを考えると、2026年10月は決して遠くない。

3. ESUの費用対効果を計算する どうしても移行できない端末はESUで繋ぐが、「とりあえずESUで延命」の積み重ねは結局コストを押し上げる。Windows 10延長サポートに費やすコストをWindows 11端末の調達予算に回す判断を今から経営層に説明しておくべきだ。

4. Secure Boot無効化だけは避けよ 「起動しなくなった」問題を解決するためにSecure Bootをオフにする対処は、攻撃面を大幅に広げる。カーネルドライバーの締め出しをはじめとするWindowsのセキュリティ強化はSecure Bootを前提に設計されている。

筆者の見解

Windows 10のEOLは「ずっと前からわかっていた話」だ。しかしSecure Boot証明書の失効という問題は、エンドユーザーやSMB規模のIT担当者にはほぼ伝わっていないと感じる。「OSが動いているから大丈夫」という感覚は、この問題の前では通用しない。

Microsoftが1年の延長サポートを加えたり、コンシューマー向けESUを設けたりと、移行の猶予を作ろうとしている姿勢は評価できる。ただ、Secure Boot証明書の失効リスクについては、もっとわかりやすく・大きな声で周知してほしかったというのが本音だ。MicrosoftはWindowsのセキュリティ基盤をここ数年着実に強化してきた。その成果を正しく活かすためにも、ユーザーが「動いているから問題ない」のまま取り残されない情報発信を期待したい。

IT管理者の皆さんには、単なる「EOLのリマインダー」としてではなく、Secure Boot証明書失効という具体的な技術的タイムリミットとして今回の問題を捉え直してほしい。対応は早ければ早いほど選択肢が広い。

出典: この記事は Windows 10 End of Support 2026: Secure Boot Expiry, ESU Costs, and Critical Security Risks の内容をもとに、筆者の見解を加えて独自に執筆したものです。