MicrosoftがSecure Bootのデジタル証明書の更新を準備

Microsoftは、Windowsのソフトウェア検証機能であるSecure Bootを支えるデジタル証明書を更新しており、これは世界中の10億台以上のデバイスのセキュリティを維持するための野心的な取り組みです。

起動時に署名されていないソフトウェアの実行を防ぐSecure Bootは、デバイスのファームウェアに保存されているセキュリティ証明書に依存しています。2011年に発行された元の証明書は、15年以上の使用を経て6月に期限切れとなります。

「暗号化セキュリティが進化するにつれ、強力な保護を維持するために証明書と鍵は定期的に更新される必要があります」と、MicrosoftのWindows Servicing and DeliveryチームのプログラムマネージャーであるNuno Costaは、火曜日のブログ投稿に書きました。「古い証明書を廃止し、新しい証明書を導入することは、古い認証情報が弱点になることを防ぎ、プラットフォームを最新のセキュリティ要件に適合させる標準的な業界慣行です。」

個人用コンピュータ、ビジネスサーバー、産業機器、IoTデバイスにまたがるWindowsユーザーベースの規模により、このアップデートはMicrosoftにとって重要度の高いプロセスとなっています。

最新のコンピュータは月次のWindowsアップデートを通じて新しい証明書を自動的に受け取りますが、サポートされていないバージョンのWindowsを実行しているマシンは受け取りません。さらに、IoTデバイスや重要インフラ環境で使用される機器などの一部の特殊なシステムには、カスタムのアップデートプロセスがあり、そのため手動での介入が必要になる場合があります。

「一部のデバイスでは、Windows Updateを通じて配信される新しいSecure Boot証明書をシステムが適用できるようになる前に、デバイス製造元からの別途のファームウェアアップデートが必要になる場合があります」とCostaは書きました。「準備のため、顧客がOEMサポートページを確認し、最新のファームウェアアップデートがあることを確認することをお勧めします。」

Windowsセキュリティアプリは、まもなくマシンのSecure Boot証明書のステータスに関する情報を表示し始める予定です。

重要なサイバーセキュリティのマイルストーン

MicrosoftはSecure Bootのアップデートを、Windowsのコアとなる「信頼基盤」の「世代交代の更新」として称賛しました。

「ブートプロセスの最も早い段階で信頼されていないコードをブロックすることにより」とCostaは書きました、「Secure Bootは、後から検出することが難しい高度な脅威から防御するのに役立ちます。」

Microsoftは、証明書の更新の展開においてデバイスメーカーとファームウェア開発者の協力に感謝の意を表しました。Costaは、この作業には「プロアクティブな計画、透明性、そして顧客が自信を持って移行をナビゲートするために必要な可視性、ツール、ガイダンスの提供」が含まれていたと述べました。