Microsoftは2026年6月から10月にかけて、WindowsのSecure Boot信頼チェーンを支えるCA証明書(Certificate Authority)を2011年版から2023年版へ段階的に切り替える計画を進めている。コンシューマー向けには影響が限定的な一方、エンタープライズ環境ではカスタムブートローダーや独自署名チェーンを持つ組織が特に注意を要する。
なぜ今、証明書を刷新するのか
Secure Bootは、PCの電源投入からOSカーネル起動までの過程で「署名済みのソフトウェアのみを実行する」ことを保証するUEFIの仕組みだ。その信頼の根拠となるのがUEFI CAと呼ばれるルート証明書であり、現在市場に流通している多くのPCには2011年発行の証明書が使われている。
2011年は15年以上前だ。当時設計された暗号強度やアルゴリズムが現代の脅威モデルに対して十分かという観点から、見直しの時期を迎えている。Microsoftは2023年に次世代のSecure Boot向け証明書を準備しており、今回の移行はその本格展開にあたる。
移行スケジュールと影響範囲
発表されたタイムラインは以下の通り:
- 2026年6月〜: 移行フェーズ開始。Windows Update経由で2023年版証明書への信頼設定が段階的に配布される
- 2026年10月: 移行フェーズ完了
影響を受けにくい環境:2024年以降に製造されたPCの多くはファームウェアレベルで2023年版証明書をすでに搭載しており、自動更新の対象外となる。これらの機器のユーザーはほぼ意識しなくて良い。
影響を受ける可能性がある環境:
- 2023年以前製造の古いハードウェア — 2011年版証明書のみを持つ機器は、更新後に信頼チェーンの再構築が必要になるケースがある
- カスタムブートローダーを持つエンタープライズ環境 — 独自のPXEブート、WinPEイメージ、署名ツールチェーンを運用している組織は構成の再評価が必要
- Linux + Windowsのデュアルブート構成 — GNU GRUBなど独立したブートローダーを持つ環境では、過去の移行作業でも起動不能になる事例が報告されており注意が必要
エンタープライズ向け:今すぐやるべき確認リスト
2026年6月の本番展開まで時間はまだある。今のうちに動くことで、展開後の障害リスクを大幅に減らせる。
インベントリの確認
- 社内の機器が2011年版・2023年版どちらの証明書を搭載しているかを把握する
- IntuneのデバイスコンプライアンスレポートやMECM(SCCM)のハードウェアインベントリを活用して棚卸しを行う
カスタム構成の再評価
- BitLocker + カスタムPXEブートのような構成では、証明書チェーンの検証が必要
- 独自署名済みドライバーやブートローダーを持つ場合、新しいCAとの互換性を確認し、必要なら再署名を行う
テスト環境での事前検証
- 移行フェーズ開始前に、代表的な機器構成でWindows Updateを適用してテストしておく
- 特に「更新を当てたら起動しなくなった」というシナリオを事前に潰しておくことが重要だ
MDMポリシーの見直し
- IntuneのデバイスコンプライアンスポリシーでSecure Bootの有効化を要件としている場合、移行前後で評価結果が変わる可能性がある。ポリシーの動作確認を合わせて行う
筆者の見解
Secure Boot証明書の更新は地味なニュースに見えるが、PCのセキュリティ基盤の根幹に関わる正しい判断だと評価している。2011年のルート証明書を15年以上使い続けること自体がリスクであり、更新のタイミングとしてはむしろ遅いくらいだ。セキュリティの改善として着実に前進しており、この方向性は支持できる。
懸念するのはエンタープライズ側の準備体制だ。「今動いているから大丈夫」という判断は、こういう場面では通用しない。カスタムブートローダーや独自の署名チェーンを積み上げた複雑な環境ほど、更新後に静かに壊れるリスクがある。情報を追うよりも自分の環境で実際に検証することの価値を改めて感じる場面だ。
6月まで数週間ある。インベントリの把握とテスト環境での事前検証に、今から時間を割く価値は十分にある。
出典: この記事は Secure Boot Certificate Updates: 2011 to 2023 Trust Change (June–Oct 2026) | Windows Forum の内容をもとに、筆者の見解を加えて独自に執筆したものです。