Windowsのセキュアブート証明書、2026年6月に更新期日　未対応環境は将来リスクも

2011年に導入されたWindowsのオリジナルのセキュアブート証明書がライフサイクルの終わりに近づき、2026年6月下旬から順次失効する。多くのユーザーはWindows Updateを通じて自動的に移行される見通しだが、未更新のままだと、将来的にセキュリティ脆弱性に対する修正が適用できなくなったり、新しいOSをインストールできなくなったりする可能性がある。

米Microsoftは2月10日（現地時間）、公式ブログで「Refreshing the root of trust: industry collaboration on Secure Boot certificate updates」を公開し、セキュアブート証明書の更新について解説するとともに、事前の確認と対策を呼びかけた。

セキュアブートはPCの電源投入直後、Windowsが起動する前の段階で動作し、信頼された電子署名付きソフトウェアのみを実行させる仕組みである。起動プロセスに悪意のあるコードを割り込ませる攻撃（ブートキットなど）を初期段階で防ぐ役割を担う。

デジタル証明書には、暗号強度や運用要件を維持する目的で有効期限が設定されている。暗号技術の進展や脅威環境の変化に応じて、証明書や鍵を定期的に更新するのは業界標準の運用であり、プラットフォームの安全性を保つために不可欠である。Microsoftは、15年以上にわたり運用されてきたオリジナルのセキュアブート証明書を段階的に終了させ、新証明書へ移行する。
○影響を受ける可能性がある環境

Microsoftによれば、サポート対象のWindowsで、Windows Updateを有効にしている多くの個人、企業、教育機関の端末では、月例更新を通じて新証明書が自動的に配布され、追加の操作を行わなくても移行が進む見通しだとしている。一方、サポートが終了しているWindows 10では、Extended Security Updates（ESU）に加入している端末のみ新証明書の自動更新を受けられる。

注意点として、一部の端末では新証明書を適用する前提として、PCメーカー（OEM）が提供するUEFI/BIOSの更新が必要になる場合があるため、Microsoftは各メーカーのサポート情報を確認し、最新のファームウェアを適用するよう呼びかけている。
○失効後に想定される影響

旧証明書が失効しても、新証明書へ更新されていない端末が直ちに起動不能になるわけではなく、当面は正常に動作し、既存のソフトウェアも引き続き実行できる。

ただし、ブート領域の新たな脆弱性が見つかった場合に、将来的に提供される起動レベルの保護や緩和策を適用できず、セキュリティリスクが相対的に高まる可能性がある。また、将来のOSやファームウェア、ハードウェア、あるいはセキュアブートを前提としたソフトウェアにおいて、証明書が更新されていない環境では起動や動作に支障が生じるなど、互換性の問題が発生する恐れもあるとしている。
○証明書の更新を確認する方法

Microsoftは今後数カ月以内に、Windows セキュリティアプリ上でセキュアブート証明書の更新状況を確認できる通知や表示を提供し、ユーザーが自身の状態を把握できるようにする予定である。

また、コマンドレットを用いて管理者権限のPowerShellから確認することも可能である。

企業など自社で更新管理を行っている組織では、診断データに基づく段階的な展開に加え、管理ツールを用いた計画的な配布と監視が求められる。MicrosoftはIT管理者向けのプレイブックを用意し、検証・ロールアウト・トラブル対応を支援している。