Microsoft、セキュアブート証明書を2月パッチで更新──放置すればセキュリティリスクに

Microsoftは、Windowsの「セキュアブート（Secure Boot）」で使用されているデジタル証明書が2026年後半に期限切れとなることを受け、2月の月例セキュリティアップデート（Patch Tuesday）を通じて新しい証明書の配布を開始しました。セキュアブートはPCの起動時に不正なソフトウェアの実行を防ぐ重要なセキュリティ機能であり、この証明書の更新は多くのWindowsユーザーに影響を及ぼす可能性があります。

この記事のポイント
セキュアブートとは何か
なぜ今、証明書の更新が必要なのか
影響を受けるPCと対応方法
Windows 10ユーザーへの影響
知っておくと便利なTips
まとめ

この記事のポイント

セキュアブート証明書が2026年後半に期限切れとなるため、Microsoftが2月の月例パッチで新証明書を配布開始
古いPCでは手動での更新が必要になる場合があり、放置するとセキュリティ低下や互換性問題が発生するリスク
Windows 10ユーザーはESU（拡張セキュリティ更新プログラム）登録者のみが更新対象

セキュアブートとは何か

セキュアブート（Secure Boot）は、UEFI（Unified Extensible Firmware Interface）の機能の一つで、PCの電源を入れてからOSが起動するまでの過程で、信頼されたソフトウェアのみが実行されることを保証する仕組みです。具体的には、ブートローダーやドライバーなどの起動時に読み込まれるコンポーネントがデジタル署名で検証され、改ざんや不正なコードの混入を防ぎます。

このセキュアブートが正しく機能するためには、有効なデジタル証明書が必要です。証明書には有効期限が設定されており、期限が切れると署名の検証が正常に行えなくなる可能性があります。今回の更新は、まさにこの証明書の期限切れに対応するためのものです。

なぜ今、証明書の更新が必要なのか

現在使用されているセキュアブート証明書は2026年後半に有効期限を迎えます。証明書が失効すると、セキュアブートによる検証プロセスが正常に動作しなくなり、以下のような問題が発生する恐れがあります。

第一に、セキュリティレベルの低下です。セキュアブートが正しく機能しない状態では、ブートキットやルートキットといった起動時を狙うマルウェアに対する防御が弱まります。これらのマルウェアはOSが完全に起動する前に動作するため、通常のウイルス対策ソフトでは検出が困難です。

第二に、互換性の問題です。一部のソフトウェアやドライバーはセキュアブートが有効であることを前提に設計されており、証明書の期限切れによってこれらが正常に動作しなくなる可能性があります。特にエンタープライズ環境では、BitLockerなどのセキュリティ機能との連携に影響が出ることも考えられます。

Microsoftはこうしたリスクを回避するため、期限切れに先立って2月の月例アップデートから段階的に新しい証明書の配布を開始しました。

影響を受けるPCと対応方法

今回の証明書更新は、Windows Updateを通じて自動的に配布されます。比較的新しいPCであれば、通常の月例アップデートを適用するだけで対応が完了します。しかし、古いPCの中にはファームウェア（UEFI/BIOS）側の対応が必要なケースもあり、その場合はPCメーカーが提供するファームウェアアップデートの適用が求められることがあります。

特に注意が必要なのは、長期間Windows Updateを適用していないPCです。証明書の更新は段階的に行われるため、過去のアップデートが適用されていないと、新しい証明書への移行がスムーズに進まない可能性があります。企業のIT管理者は、管理下のPCが最新のアップデート状態にあるかを事前に確認しておくことが重要です。

Windows 10ユーザーへの影響

Windows 10は2025年10月にサポートが終了しており、通常のセキュリティ更新は提供されていません。今回のセキュアブート証明書の更新についても、Windows 10ユーザーの中でESU（Extended Security Updates：拡張セキュリティ更新プログラム）に登録しているユーザーのみが対象となります。

ESUは有償のプログラムであり、サポート終了後も最大3年間セキュリティ更新を受け取ることができます。ESUに登録していないWindows 10ユーザーは、今回の証明書更新を受け取ることができないため、セキュアブートの証明書が期限切れとなった際にセキュリティリスクを抱えることになります。

この点からも、Windows 10を継続利用しているユーザーに対しては、Windows 11へのアップグレードまたはESUへの登録が強く推奨されます。

知っておくと便利なTips

セキュアブートが有効かどうかは「msinfo32」コマンド（システム情報）で「セキュアブートの状態」の項目から確認できる
Windows Updateの適用状況は「設定」→「更新とセキュリティ」→「Windows Update」から確認し、保留中の更新がないか定期的にチェックするとよい
企業環境ではWSUS（Windows Server Update Services）やIntune経由での配布状況を管理者が確認することが推奨される

まとめ

今回のセキュアブート証明書の更新は、Windowsのセキュリティ基盤を維持するために不可欠な対応です。多くのユーザーにとっては通常のWindows Updateを適用するだけで完了しますが、古いPCを使用している場合やWindows 10をESUなしで利用している場合は注意が必要です。特にWindows 10ユーザーはESU登録の有無によって対応が分かれるため、自身の環境を確認しておきましょう。セキュアブートはPCのセキュリティの根幹を支える機能であり、証明書の期限切れを放置することはセキュリティリスクに直結します。2月のパッチを確実に適用し、安全な環境を維持することをお勧めします。

📎 元記事: https://www.itmedia.co.jp/news/articles/2602/11/news028.html