更新されたSecure Boot証明書は、既存の証明書がライフサイクルの終了に近づいているため、6月からWindowsシステムに展開される予定であるとMicrosoftが火曜日に発表しました。
2011年以来、Secure Bootは、デバイスの電源が入れられた瞬間から、Windowsが起動する前でさえも、信頼された、デジタル署名されたソフトウェアのみが実行されることを保証することで、高度な脅威に対する保護を提供してきました。
これは、デバイスのファームウェアに保存されているデジタル証明書に依存しており、現在の証明書は10年以上使用されており、6月に有効期限が切れ始めると、この技術大手は説明しています。
業界のベストプラクティスに沿って、古い証明書は廃止され、新しい証明書が自動更新を通じて、サポートされているすべてのWindowsバージョンに展開されます。
この変更に備えて、Microsoftはファームウェアプロバイダーと協力して、段階的な展開と安全な証明書更新を保証するためのサービス機能とツールを追加してきました。
「OEMは新しいデバイスに更新された証明書をプロビジョニングしており、2024年以降に製造された多くの新しいPC、そして2025年に出荷されたほぼすべてのデバイスには既に証明書が含まれており、顧客による対応は不要です」とMicrosoftは説明しています。
この技術大手によると、自動更新を有効にしているほとんどのユーザーと企業は、通常のWindows更新プロセスを通じて新しい証明書を受け取りますが、特定のサーバーやIoTデバイスなどの専門的なシステムでは、異なる更新プロセスが必要になります。
「一部のデバイスでは、Windows Update経由で配信される新しいSecure Boot証明書をシステムが適用する前に、デバイス製造元からの個別のファームウェア更新が必要になる場合があります。準備のため、顧客はOEMサポートページを確認して、最新のファームウェア更新プログラムがインストールされていることを確認することをお勧めします」とMicrosoftは述べています。
古い証明書が期限切れになる前に更新されたSecure Boot証明書を受信しないシステムは正常に動作し続けますが、将来のブートレベルの保護を受けられない可能性があると、この技術大手は述べています。
「新しいブートレベルの脆弱性が発見されると、影響を受けるシステムは新しい緩和策をインストールできなくなるため、ますます脆弱になります。時間の経過とともに、これは互換性の問題につながる可能性もあり、新しいオペレーティングシステム、ファームウェア、ハードウェア、またはSecure Bootに依存するソフトウェアが読み込みに失敗する可能性があります」と説明しています。
Windows 10以前のOSバージョンを実行しているシステムはサポートされなくなり、Extended Security Updatesに登録されていない限り、新しい証明書を受け取ることはないとMicrosoftは指摘しています。
組織は、展開計画の一環としてシステムを評価し、システムが更新のために検証されていることを確認し、証明書監視ツールを実装することが推奨されます。また、デバイスが利用可能な最新のWindows更新プログラムとファームウェアバージョンを実行していることを確認する必要があります。
「私たちは、広範なテスト、段階的なデータベースの展開、デバイス製造元との調整に基づいた、慎重で段階的なアプローチで、エコシステムパートナーと協力してこれらの新しい証明書を展開しています。それでも、デバイスモデル、ファームウェアバージョン、使用シナリオの多様性を考慮すると、限られた数のデバイスが更新プロセス中に追加のサポートを必要とする場合があります」とMicrosoftは述べています。
翻訳元: https://www.securityweek.com/microsoft-to-refresh-windows-secure-boot-certificates-in-june-2026/
