Microsoft は2026年6月に迎える Secure Boot 証明書の移行期限について、Principal Security Engineer の Ardan White 氏らが登壇した「Ask Microsoft Anything(AMA)」セッションで詳細を公式に説明した。期限を無視しても PC は引き続き動作するが、セキュリティ保護が段階的に失われていくことが明らかになった。

Secure Boot とは何か、なぜ今変わるのか

Secure Boot は、PC 起動時にファームウェアが UEFI ドライバー・EFI アプリケーション・OS のブートマネージャーの暗号署名を検証するセキュリティ機構だ。2011年以来、Microsoft の証明書がこの信頼の基盤を支えてきたが、その証明書が2026年に暗号的な有効期限を迎える。

これを放置すると、BlackLotus のようなブートキットマルウェアへの脆弱性が高まる。Microsoft はこれに対応するため2023年に新しい証明書を発行し、数年かけて段階的なロールアウトを進めている。UEFI ファームウェアに直接書き込む処理が伴うため、極めてデリケートな移行作業だ。

Secure Boot の鍵階層を理解する

Secure Boot は以下の鍵の階層で成り立っている:

キー 役割

PK(Platform Key) OEM が所有する最上位キー。KEK へのアクセスを制御

KEK(Key Exchange Key) 署名データベースを更新するためのキー

DB(Signature Database) 信頼する証明書(2011年・2023年の Microsoft 証明書)を格納

DBX(Revoked Signature Database) 失効した署名のブラックリスト。新たなマルウェアが発見されると追加される

今回の移行はこの DB と DBX をマザーボードのファームウェアに書き込む処理であり、不用意に失敗すると起動不能になりかねない繊細な操作だ。

期限を無視するとどうなるか

今回の AMA で最も重要な情報がここだ。2026年6月の期限を無視しても、Windows 11 PC は引き続き正常に起動・動作する。 しかし、セキュリティは時間をかけて段階的に劣化していく。

具体的な影響は以下の通り:

  • ブートレベルのセキュリティ更新が止まる — 新証明書を持たない PC には、ブート関連の更新が配信されなくなる
  • DBX(マルウェアブラックリスト)の更新が停止する — 新たに発見されたブートキットのシグネチャが反映されなくなる
  • 将来のアップグレードがブロックされる可能性がある — Windows の次世代バージョンへの移行が制限される恐れがある

「今日は問題なく動いている」状態のまま、水面下でセキュリティリスクが蓄積し続ける、いわばサイレントデグレードの構造だ。

旧ハードウェアはどう扱われるか

AMA セッションでは旧ハードウェアの取り扱いも明確にされた。

  • Legacy BIOS のみの PC: Secure Boot が物理的に不可能なため、更新は自動的にスキップされる(SecureBootCapable = False として認識)
  • CSM(互換サポートモジュール)使用 PC: UEFI/Secure Boot の能力があれば処理が進む

つまり本当に古いマシンは自動除外されるが、「UEFI は搭載しているが Secure Boot を無効化している」環境は対処が必要になる。

実務への影響と対処ポイント

日本の IT 管理者・エンジニアが今すぐ確認すべき事項:

現状把握

  • Windows セキュリティアプリ →「デバイスのセキュリティ」→「セキュアブート」で各端末の状態を確認
  • Intune や Microsoft Endpoint Configuration Manager でインベントリし、Secure Boot が無効な端末を洗い出す
  • VDI 環境・仮想マシンの UEFI/Secure Boot 設定も忘れずに確認する

エンタープライズでの対応方針

  • Microsoft は段階的ロールアウトを採用しているため、「オプションの更新」として先行適用が可能な場合がある
  • GPO や Intune での強制適用か、Windows Update の自然な流れに委ねるかを組織として方針決定する
  • 業務用アプリのブートドライバーが新証明書環境で正常動作するかの検証を早めに実施する
  • 移行後に問題が発生した場合の切り戻し手順を用意しておく

筆者の見解

今回の Secure Boot 証明書移行は、方向性として正しい取り組みだ。2011年から続いてきた証明書の有効期限に対して、数年かけて計画的に新証明書を準備してきた姿勢は評価できる。

ただし、「無視しても動く」という事実が現場で誤解されないか懸念がある。DBX の更新が止まる、すなわちマルウェアブラックリストが更新されなくなることの意味を、正確に把握している管理者がどれだけいるだろうか。表面上は何も変わらないのに内側のセキュリティが着実に劣化していく構造は、日本の多くの IT 現場で「今動いているから大丈夫」という判断を招きやすい。

Secure Boot のようなファームウェアレベルのセキュリティは、侵害が起きてから気づいた時点ではすでに手遅れになる類のものだ。技術的には正しいことをやっているのだから、Intune や Microsoft 365 管理センターから一括で移行状況を把握・対処できる管理体験もぜひ充実させてほしい。正面から戦える力を持っているプラットフォームなのだから、管理体験の完成度もそれに見合ったレベルに仕上げてほしいと思う。

出典: この記事は Microsoft reveals what happens to Windows 11 PCs if you ignore the Secure Boot deadline in June 2026 の内容をもとに、筆者の見解を加えて独自に執筆したものです。