Windows「セキュアブート証明書」の期限切れ迫る、“15年ぶり更新”の影響は？：更新されない場合のリスクも

Microsoftは、WindowsおよびWindows Serverの「セキュアブート」で使用される証明書の更新を開始した。2011年に導入された前回の証明書が2026年6月下旬に期限切れを迎えるため、業界全体と連携して対応を進めている。

[＠IT]

　Microsoftは2026年2月10日（米国時間）、OS「Windows」「Windows Server」の「セキュアブート」で使用される証明書の更新開始を発表した。

　セキュアブートは2011年に導入されたセキュリティ機能で、デバイス起動時にWindowsの読み込み前の段階で、信頼されたデジタル署名済みソフトウェアのみを実行する。これによって、高度な脅威からデバイスを保護する。15年以上使用されてきた前回の証明書はライフサイクルの終了を迎え、2026年6月下旬に期限切れとなる。

Windows「セキュアブート証明書」の期限切れ、その影響は

　新しい証明書は、Microsoft管理のアップデートを利用する個人ユーザーや企業、教育機関向けに、通常の月例更新「Windows Update」の一部として展開されている。組織は既存のデバイス管理ツールを使用して更新プロセスを管理することも可能だ。

　今回の証明書更新は、Windowsの更新・保守、ファームウェアアップデート、OEM各社が提供する数百万のデバイス構成にまたがる、Windowsエコシステム全体での大規模なセキュリティメンテナンスの取り組みとなる。セキュアブートはファームウェアレベルで動作し、PCの起動方法に影響するため、セキュリティとデバイスの信頼性を維持しながら影響を最小化するよう慎重な準備が進められた。

　デバイスメーカーやファームウェアプロバイダーとの緊密な連携の下、UEFI（Unified Extensible Firmware Interface）に基づく標準的な更新アプローチが採用された。OEM各社は新規デバイスに更新済み証明書のプロビジョニングを進めており、2024年以降に製造されたPCの多くと、2025年に出荷されたほぼ全てのデバイスには既に新証明書が含まれており、顧客側の対応は不要だ。

期限切れでどうなる？

　新証明書を受信しないまま2011年証明書が期限切れになったとしても、PCは引き続き正常に動作し、既存ソフトウェアも稼働し続ける。ただし、ブートレベルのセキュリティは低下し、将来の保護更新を適用する能力が制限される。

　新たなブートレベルの脆弱（ぜいじゃく）性が発見された場合、緩和策をインストールできなくなるため、リスクが増大する。新しいOS、ファームウェア、ハードウェア、セキュアブート依存ソフトウェアとの互換性に問題が生じる可能性もある。

　サポート対象外のバージョン（「Windows 10」以前。Extended Security Updatesに登録したものを除く）を実行しているデバイスはWindows Updateを受信せず、新しい証明書も配信されない。

ユーザーに求められる対応

　Microsoft管理のアップデートを利用している個人およびビジネスユーザーの大半は、通常の月例Windows Updateプロセスを通じて新証明書が自動的にインストールされる。

　一部の特殊なシステム（特定のサーバやIoT＜モノのインターネット＞デバイスなど）は別の更新プロセスが必要となる場合がある。一部デバイスでは、新しいセキュアブート証明書を適用する前に、デバイスメーカーからの個別のファームウェアアップデートが必要となる可能性もある。