Windows Server「セキュアブート証明書」“2011年版”が順次失効、2026年6月から：IT管理者による手動対応が必要

Microsoftは、Windows Serverの「セキュアブート」証明書が2026年6月から順次期限切れを迎えると警告した。

[＠IT]

　サーバOS「Windows Server」の2011年に導入された「セキュアブート証明書」は、計画されたライフサイクルの終了を迎えており、2026年6月下旬から順次期限切れとなる。Microsoftは2026年2月23日（米国時間）、サーバOS「Windows Server」のセキュリティ機能「セキュアブート」の証明書更新に関するガイダンスを公開した。

　証明書が期限切れになるとセキュアブートによる起動時の信頼性検証に影響する可能性があるため、期限切れ前に証明書を更新する必要がある。

既存Windows Serverに求められる対応は？

　Microsoftは移行に伴う運用リスクを最小限に抑えることを目的に、サーバのパートナー各社と連携した取り組みを行う。具体的には、2024年以降に製造された多くの新しいサーバハードウェアとVM（仮想マシン）の大半、また2025年にリリースされたほぼ全ての製品には、あらかじめ2023年版の新しい証明書が組み込まれている。

　一方、2011年版の証明書を使用している既存のWindows Server環境では、Microsoftとパートナー各社が提供するガイダンスに従って、更新を実施する必要がある。

自動更新の対象外

　「Windows」を搭載するPCでは、「制御された機能ロールアウト」（CFR）を通じて2023年版セキュアブート証明書が配布されるが、Windows Serverインスタンスは対象外となる。そのため、IT管理者は対象サーバで手動更新を実行する必要がある。

　IT管理者は標準メンテナンスの一環として、まず累積更新プログラムをインストールしてサーバを完全に最新の状態にする必要がある。その後、セキュアブートが有効で、2023年版証明書が未適用のWindows Serverシステムで、セキュアブート証明書の更新を開始する必要がある。

　MicrosoftはIT管理者に向けて、有効期限が切れる前に公式の手順ガイドを確認して行動する必要があると促している。