Microsoftは2026年6月のPatch Tuesday更新プログラム(KB5094126)において、Secure Boot 2023証明書の配布対象を大幅に拡大し、これまでの段階的ロールアウトから一気に大多数の家庭向けWindows 11・Windows 10 PCへの自動適用フェーズへと移行した。2011年発行の旧証明書は2026年6月24日を皮切りに順次失効を迎えるため、IT管理者にとっては対応の残り時間が急速に縮まっている。

Secure Bootとは何か、なぜ今更新が必要なのか

Secure BootはPC起動時にUEFIファームウェアがOS・ブートローダーの電子署名を検証し、改ざんや不正なコードの実行を防ぐ仕組みだ。ルートキットやブートキットといった、OSが起動してから動くセキュリティソフトでは検出困難なマルウェアをブートプロセスの段階で遮断できる。Windows 11のシステム要件として必須化されており、すべての対応PCでデフォルト有効になっている。

この信頼の根幹を支える証明書(KEK:Key Enrollment Key)が2011年発行のものを使い続けていた。証明書には有効期限があり、2026年6月24日から10月にかけて旧証明書が段階的に失効する。その前に後継の「Secure Boot 2023」証明書へ切り替えなければ、将来的なセキュリティ更新がブートレベルで受け取れなくなるリスクがある。

Microsoftは2年近くかけてファームウェア互換性データを収集し、問題が起きないと確認できたPCから順に配布を進めてきた。今回の6月更新でMicrosoftが診断データを持つ大多数の家庭向けPCが「高信頼カテゴリ」に分類され、自動適用対象となった。

一般ユーザーがやること——Windows Securityアプリで状態確認

大多数の一般ユーザーは何も手動でやる必要はない。Windows Updateが有効になっていれば、バックグラウンドで証明書が更新される。ただし、自分のPCが更新済みかどうかの確認は推奨する。

2026年4月更新以降のWindows 11では、Windows Securityアプリ内でSecure Boot証明書のステータスを直接確認できる。

  • 「Windowsセキュリティ」を開く
  • 「デバイスのセキュリティ」→「セキュア ブート」セクションを確認

表示されるアイコンの意味は以下のとおり:

アイコン 意味 対応

🟢 緑のチェックマーク 更新済み 対応不要

🟡 黄色の警告 適用待ち(互換性データ収集中) Windows Updateを有効にして待つ

🔴 赤のアラート ファームウェア非互換 PC製造元のBIOS/UEFIアップデートを適用

黄色の場合、焦る必要はない。Microsoftがその機種のファームウェア互換性を確認でき次第、自動的に適用される。

赤の場合は深刻度が上がる。HP・Dell・Lenovo・ASUSなどPC製造元のサポートページで対象機種のBIOSアップデートを確認し、ファームウェアを更新した後、Windows Updateを再実行すれば証明書の適用が試みられる。

IT管理者・企業フリートへの影響

企業環境では話が変わってくる。

KEK失効のタイムラインは容赦ない。6月24日が最初の失効日であり、その後10月にかけて追加の失効が続く。対応が遅れたデバイスは将来のセキュリティパッチの適用でエラーが出る可能性がある。

フリート管理の観点では以下を確認したい:

  • Windows Updateを一時停止・ブロックしている端末が対象外になっていないか。グループポリシーやWSUSで更新を制御している環境では、KB5094126の配布状況を意図的に確認する必要がある
  • 古いBIOSのまま放置されているPCが赤アイコンになっていないか。特に5年以上前の法人向けPCは要注意。MicrosoftのIntune・Endpoint Analyticsを活用すれば、フリート全体のSecure Bootステータスを一覧で把握できる
  • BitLockerとの組み合わせでUEFIアップデート後に回復キーが要求されるケースがある。事前に回復キーのバックアップを確認しておくこと

BIOS更新を伴う対応が必要な機種は、アップデート前にADまたはAzure AD上で回復キーを確認・エクスポートしておくのが安全策だ。

実務での活用ポイント

  • 今すぐやること: 管理下の主要PCでWindows Securityアプリを開き、Secure Bootのアイコン色を確認する
  • IT管理者向け: Intuneのデバイス準拠ポリシーにSecure Bootチェックを追加し、赤アイコン端末を自動検知するレポートを設定する
  • BIOSアップデート前の必須確認: BitLocker回復キーのAD/Entra ID保存を確認。更新後の回復画面でパニックにならないための予防措置
  • Windows UpdateをWSUSで管理している環境: KB5094126を承認・配布済みか確認する。非承認のまま放置するとこの更新が届かない

筆者の見解

Secure Boot証明書の更新は、地味だが正しい方向の取り組みだと思っている。2011年発行の証明書を使い続けること自体が時限爆弾だったわけで、段階的に互換性を検証しながら配布してきたMicrosoftの慎重さは評価できる。派手さはないが、こういう地道なセキュリティ基盤の整備こそWindows の信頼性を支えている。

一方で、企業IT担当者にとっては「また証明書の話か」と疲弊感があるのも正直なところだろう。特に赤アイコンが出た端末のBIOS更新対応は現場負荷が高い。製造元ごとにファームウェアの品質差があり、BIOS更新自体がリスクになるケースもある。その点では、数日様子を見てから適用するという判断も立派なセキュリティ管理だと思っている。

今後MicrosoftがIntune・Endpoint Analytics側でこういったセキュリティ基盤ステータスの可視化をさらに充実させてくれることを期待している。フリート全体のSecure Bootステータスをダッシュボードで一覧できれば、IT管理者の対応コストは大幅に下がる。証明書更新の配布はできた。次は管理ツールの充実でその先を支えてほしい。

出典: この記事は Microsoft released the Windows 11 Secure Boot update for all PCs, how to verify yours の内容をもとに、筆者の見解を加えて独自に執筆したものです。