Microsoftは2026年6月24日を期限として、Windows 11を含む対象PCユーザーに対しSecure Boot証明書を新しい2023年版へ更新するよう緊急呼びかけを行った。期限切れ後もPCは通常起動できるが、ブートレベルのセキュリティ保護が受けられなくなるリスクが生じる。

Secure Boot証明書とは何か

Secure Bootは2011年にWindows 8とともに登場したセキュリティ機能だ。OSが起動する前にブートローダーやドライバーが正規のデジタル署名を持つかどうかを確認し、改ざんされた悪意あるコードの実行を防ぐ。この署名の正当性を保証するのが「Secure Boot証明書」であり、当初から使われてきた証明書が2026年6月24日に失効する。

期限切れで何が起きるのか

証明書が失効しても、PCが即座に起動不能になるわけではない。しかし次のリスクが現実のものとなる。

  • 新しいブートレベルのセキュリティ更新が適用されなくなる:以後リリースされるSecure Boot関連の保護が機能しない状態になる
  • Secure Boot依存の機能が動作しなくなる可能性:BitLockerや一部のTPM連携機能、セキュリティソフトウェアに影響が出るケースがある
  • ブートキット攻撃への脆弱性が高まる:攻撃者がブートプロセスを改ざんするリスクが相対的に増す

Microsoftはフリート内の全デバイスを6月26日までに移行させることを推奨している。

対応方法

Windows Updateで対応できるケース

ほとんどのWindows 11ユーザーはWindows Updateを実行するだけで新しいSecure Boot証明書が自動適用される。設定アプリから「Windows Update」を開き、最新の更新プログラムを確認・適用すればよい。

手動対応が必要になるケース

以下の環境では、手動でのBIOSアップデートが別途必要になる場合がある。

  • Windows 10でESU(Extended Security Updates)に加入していないユーザー
  • 初期のWindows Update配信波に含まれなかった一部のWindows 11ユーザー
  • 古いUEFIファームウェアを搭載したレガシーハードウェア

Microsoftはこの問題に関して1時間のAMAセッションを開催しており、エンタープライズや旧型ハードウェアの具体的なシナリオについても詳細情報を提供している。

実務への影響

企業のIT管理者にとって、6月26日というデッドラインは即応を求めるものだ。

フリート管理のポイント

  • IntuneやGroup Policyを使い、Windows Updateの適用状況を一括確認する
  • 未適用デバイスをコンプライアンスポリシーで検出し、優先度をつけて対応する
  • 古いハードウェアはBIOSアップデートの提供有無を各メーカーサイト(ASUS・Dell・HP・Lenovo等)で個別確認する

Windows 10ユーザーへの注意

Windows 10は2025年10月にメインストリームサポートが終了しており、ESUに加入していない端末は証明書更新も受け取れない。この機会をWindows 11移行計画加速のきっかけとして捉えるべきだ。

仮想化環境の確認

Hyper-VやAzure VM上でSecure Bootが有効なゲストOSも影響を受ける可能性がある。仮想マシンのテンプレートや展開済みイメージの設定も合わせて見直しておきたい。

筆者の見解

Secure Bootそのものの仕組みは、ブートキットやルートキットに対する有効な防御ラインであり、正しい方向性だと評価している。ただ今回気になるのは、証明書の失効がわかっていた問題であるにもかかわらず、デッドライン1か月前になって改めて警告を発しなければならなかった点だ。

エンタープライズ環境では変更管理のリードタイムが長く、1か月で全デバイスを更新するのが現実的に厳しい組織も少なくない。もう少し早い段階からの積極的な情報発信と、管理ツールへの組み込みがあれば現場の負担を減らせたはずで、そこはもったいなかったと感じる。

Microsoftほどのリソースがあれば、Intuneと連携して「証明書更新が必要なデバイス一覧」をダッシュボードで可視化するといった仕組みを提供できるはずだ。セキュリティの底上げを本気で進めるなら、警告を出すだけでなく「管理者が何もしなくても安全になる」方向への投資を期待したい。

当面の対応として、まず自社フリートのWindows Update適用状況を確認し、6月24日前に更新を完了させることを最優先にしてほしい。

出典: この記事は Microsoft Warns Unpatched Windows 11 PCs Face June 2026 Secure Boot Block の内容をもとに、筆者の見解を加えて独自に執筆したものです。