Windowsの「Secure Boot」証明書が期限切れへ 手動更新が必要なケースも：Cybersecurity Dive

Windowsのソフトウェア検証機能「Secure Boot」で使われるセキュリティ証明書が2026年6月に期限を迎え、一部の環境では手動で対応が必要になることがある。

[Eric Geller，Cybersecurity Dive]

　Microsoftは世界中に存在する10億台以上のデバイスのセキュリティを維持するため、Windowsのソフトウェア検証機能「Secure Boot」で使われるデジタル証明書の更新を決めた。

Microsoftによる大規模な取り組み

　Secure Bootは信頼されていないソフトウェアの実行を防ぐ仕組みで、デバイスのファームウェアに保存されたセキュリティ証明書に基づいて動作する。2011年に発行された証明書は2026年6月に期限を迎える。

　Microsoftのチーム「Windows Servicing and Delivery」に所属するヌノ・コスタ氏（プログラムマネジャー）は、2026年2月10日（現地時間、以下同）のブログ投稿で次のように述べた（注1）。

　「暗号技術によるセキュリティが進化するにつれて証明書や鍵を定期的に更新しなければならなくなる。証明書の更新は標準的な取り組みであり、老朽化した認証情報が弱点になるのを防ぎ、プラットフォームを現代のセキュリティ要件に適合させるのに役立つ」

　Windowsのユーザーベースは、個人用コンピュータおよび企業のサーバ、産業機器、IoTデバイスにまで広がっており、この度の更新作業はMicrosoftにとって非常に重要なプロセスとなる。

　最新のコンピュータは、毎月の「Windows Update」を通じて新しい証明書を自動的に受け取るが、サポート対象外のバージョンを実行しているデバイスには配布されない。IoTデバイスや（電力やガス、鉄道、空港などの）重要インフラ業界で使用される機器をはじめとする一部の特殊なシステムには独自の更新プロセスが採用されている場合があり、手動での対応が必要になる可能性がある。

　「Windows Updateを通じて配布される新しい証明書を適用する前に、一部のデバイスではメーカーによるファームウェアの更新が別途必要になる場合がある。準備として、顧客は各OEMのサポートページを閲覧して最新のファームウェアが適用されているかどうかを確認してほしい」（コスタ氏）

　今後、Windows SecurityのアプリはPCに搭載されているSecure Bootの証明書の状態を表示するようになる。

サイバーセキュリティにおける節目

　Microsoftは、Secure Bootに関する更新をWindowsのセキュリティの基盤となる「信頼の仕組み」を世代を超えて刷新するものだと評価している。

　「Secure Bootは信頼されていないコードを起動プロセスの最も早い段階でブロックすることで、後からの検知が難しい高度な脅威からの防御に役立つ」（コスタ氏）

　Microsoftは「証明書を更新するに当たり、デバイスメーカーやファームウェア開発者の協力に感謝している」と述べた。コスタ氏は、この度の取り組みには、事前の計画および透明性の確保、顧客が安心して移行を進められるようにするための可視性、ツール、ガイダンスの提供が含まれていると説明している。

出典：Microsoft prepares to refresh Secure Boot’s digital certificate（Cybersecurity Dive）
注1：Refreshing the root of trust: industry collaboration on Secure Boot certificate updates（Microsoft）

原文へのリンク