リード
Microsoftが2011年以来 Windows PC のブートセキュリティを支えてきた「Secure Boot 2011証明書」が段階的に失効し、Dell・HP・Lenovo・ASUS・Acer・MSI・Samsung・LG・Microsoft Surface の各社が自社製品向けの移行ガイドを相次いで公開した。Windows Updateによる自動適用が基本だが、BIOSアップデートが必要なモデルや企業向けの手動対応が必要なケースも存在する。
Secure Boot証明書とは何か、なぜ今これが問題なのか
Secure Boot は UEFI ファームウェアレベルで動作するセキュリティ機能だ。Windows が起動する前に「このソフトウェアは信頼された署名を持つか」を検証し、ルートキットやブートキットによる改ざんを防ぐ。この仕組みの信頼の根拠となっているのが「証明書」であり、今回問題になっているのは 2011年に発行されたルート証明書群だ。
失効スケジュールは以下の3段階に分かれている:
| 証明書 | 失効日 |
|---|---|
| Microsoft Corporation KEK CA 2011 | 2026年6月24日(失効済み) |
| Microsoft UEFI CA 2011 | 2026年6月27日(失効済み) |
| Microsoft Windows Production PCA 2011 | 2026年10月19日(予定) |
最後の「Windows Production PCA 2011」はまだ失効していないが、今年10月までに対処が必要という意味では猶予は多くない。
Microsoftは2023年版の新証明書を Windows Update 経由で配布中だが、ここで重要なのが「証明書の更新にはBIOSアップデートが必要なモデルがある」という点だ。WindowsだけアップデートしてもBIOSが古ければ完全に対応できないため、OEMごとの対応ガイドの確認が必要になる。
各OEMの対応状況
ASUS
ASUSはコンシューマー向けと法人向けで別ページを用意しており、ガイドの完成度はOEM中でも高い。Windows Security に黄色や赤のバッジが表示されている場合、PowerShellコマンドで KEK・DB 証明書の有無を確認し、不足している場合はレジストリ(AvailableUpdatesを0x5944に設定)+スケジュールタスクの手動実行という手順が示されている。イベントログのエラーコード1801〜1808の意味と対処法も掲載されており、細かいトラブルシューティングまでカバーされている。
Lenovo
ThinkPad・ThinkCentre・IdeaPad・Legion・Yogaといった製品ラインごとに対応BIOSバージョンと直接ダウンロードリンクが掲載されており、汎用ドライバーページを探し回る手間が省ける。IntuneおよびSCCMを使った企業展開向けの注記も含まれており、エンタープライズ環境での活用がしやすい。
ただし、End of Service Life(EOSL)を迎えた製品はBIOSアップデートの対象外となる。このあたりはどのOEMも共通の方針だ。
Dell
Alienwares・Inspiron・XPS・Latitude・OptiPlex・Precision・Vostro・Wyse・IoTデバイスと、製品ラインごとに整理されたサポート記事を公開。法人向け製品(Latitude・OptiPlex等)については特に詳細な手順が用意されている。
その他
HP・MSI・Acer・Samsung・LG・Microsoft Surfaceもそれぞれのサポートページで対応ガイドを公開済み。基本的には「Windows Updateを適用すれば自動対応される」が、BIOSのバージョンによっては追加手順が必要なケースがある。
実務への影響——日本のエンジニア・IT管理者が今すぐすべきこと
一般ユーザー(個人PC): Windows Update が有効であれば多くの場合は自動的に対応済み。念のため Windows セキュリティ → デバイスセキュリティ → コアの分離 を開き、警告表示がないかを確認しておこう。
企業端末管理者(Intune/SCCM運用者): 以下の3点をチェックすること。
- 対象モデルの棚卸し: 自社フリートに含まれる機種が各OEMの「対応リスト」に載っているか確認する
- BIOSバージョンの確認: BIOSアップデートが必要なモデルにはWindowsUpdateだけでは対応不十分。LenovoやDellのガイドには対応BIOSバージョン番号が明記されている
- EOSL端末の扱い: 保証切れ・サポート終了済み端末はBIOSアップデートが提供されない。該当端末のリプレース計画を前倒しで検討すべきだ
2026年10月19日までに Microsoft Windows Production PCA 2011 も失効する。そこから逆算すると企業内のBIOSアップデート展開を「今月中に着手」しないと間に合わないケースもある。
筆者の見解
Secure Boot の証明書更新は地味に見えて、実はブートセキュリティの根幹に関わる重大な変更だ。ルートキットやブートキットによる攻撃はアンチウイルスが介入するよりも深いレイヤーで行われるため、この層の信頼性が揺らぐのは困る。その意味で、今回のOEMによる対応ガイド公開は「正しいことを正しくやっている」と評価したい。
ただ、個人的に気になる点がある。今回の失効スケジュールはずいぶん前から決まっていたはずなのに、ガイド公開が「期限後」になったOEMが少なくないことだ。証明書が実際に失効してから動くのでは、エンタープライズ展開のリードタイムを考えると綱渡りになってしまう。
Windows Updateによる自動適用が機能していれば一般ユーザーへの影響は小さいが、企業環境では「Windowsは最新でもBIOSが古い」という状況が珍しくない。OEM各社には今後、こうした証明書移行のスケジュールをより早い段階でフリート管理ツールと連携させる仕組みを提供してほしいと思う。
セキュリティ対策において「今動いているから大丈夫」は通用しない。10月の最終失効日まで残り4ヶ月を切った今、自社環境の棚卸しを先延ばしにしている余裕はない。
出典: この記事は OEMs reveal Windows 11 Secure Boot fix after deadline passes, here’s how to update your PC の内容をもとに、筆者の見解を加えて独自に執筆したものです。