ITインフラ

Secure Boot証明書が2026年6月に期限切れ ― 情シスが今すぐ確認・対応すべきこと

#Secure Boot#Windows#UEFI#セキュリティ#情シス

2026年6月、MicrosoftのSecure Boot用証明書「Microsoft Windows Production PCA 2011」が有効期限を迎えます。この証明書はWindows PCのセキュアブートプロセスで使用されており、期限切れ後に適切な対応がされていないPCでは、起動時の検証に問題が発生する可能性があります。

「うちのPCは大丈夫か?」と不安な情シス担当者向けに、影響範囲の確認方法と対応手順を解説します。

Secure Bootとは

Secure Bootは、PCの起動時に署名されたソフトウェアのみを実行する仕組みです。UEFIファームウェアに格納された証明書を使って、ブートローダーやOSの署名を検証し、マルウェアによる改ざんを防ぎます。

Windows 11ではSecure Bootが必須要件であり、多くの企業PCで有効になっています。

何が起きるのか

MicrosoftのSecure Boot署名に使用されている証明書「Microsoft Windows Production PCA 2011」が2026年6月に有効期限を迎えます。

影響:

  • この証明書で署名されたブートローダーを使用しているPCは、証明書更新後に新しい署名に対応する必要がある
  • Microsoftは段階的に新しい証明書(PCA 2023)への移行を進めている
  • Windows Updateを通じて自動的に新しい証明書が配布される予定だが、一部の環境では手動対応が必要

影響を受ける可能性があるPC:

  • 2023年以前に製造されたWindows PC
  • UEFIファームウェアが古いバージョンのまま更新されていないPC
  • カスタムSecure Bootキーを使用している環境
  • デュアルブート環境(Windows + Linux)

影響を受けるか確認する方法

ステップ1:Secure Bootの状態を確認

PowerShellで以下のコマンドを実行します。

Confirm-SecureBootUEFI

True が返ればSecure Bootが有効です。有効なPCが対象となります。

ステップ2:現在の証明書を確認

PowerShellで以下を実行して、Secure Bootデータベースに格納されている証明書を確認します。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) | Select-String "Production PCA 2011"

「Production PCA 2011」が含まれている場合、新しい証明書への更新が必要です。

ステップ3:UEFIファームウェアのバージョンを確認

Get-WmiObject -Class Win32_BIOS | Select-Object SMBIOSBIOSVersion, ReleaseDate

ファームウェアが2024年以降に更新されていれば、新しい証明書に対応している可能性が高いです。

対応手順

対応1:Windows Updateを最新に保つ(最優先)

Microsoftは2025年後半からWindows Updateを通じて段階的にSecure Boot DBの更新を配布しています。以下を確認してください。

  • Windows Updateが正常に動作しているか
  • KB5043083(Secure Boot DB更新)が適用されているか
  • WSUSやIntuneで該当KBがブロックされていないか
Get-HotFix | Where-Object { $_.HotFixID -match "KB5043083" }

対応2:UEFIファームウェアの更新

PCメーカーからUEFIファームウェアの更新が提供されている場合は適用します。特に以下のメーカーは対応ファームウェアをリリース済み(2026年3月時点)です。

  • Dell: 2024年Q4以降のBIOS更新で対応
  • Lenovo: 2025年Q1以降のBIOS更新で対応
  • HP: 2025年Q2以降のBIOS更新で対応

Intuneを使用している場合、Intuneによるデバイス管理の仕組みを活用してファームウェア更新を展開できます。

対応3:BitLockerの回復キーを事前に確保

Secure Boot証明書の更新時に、BitLockerが回復モードに入る場合があります。対応前に必ずBitLockerの回復キーを確保しておいてください。

# BitLocker回復キーの確認
(Get-BitLockerVolume -MountPoint C:).KeyProtector | Where-Object { $_.KeyProtectorType -eq "RecoveryPassword" }

Entra ID(Azure AD)に回復キーが保存されているか確認する方法:

  1. Microsoft Entra管理センターにログイン
  2. デバイス → すべてのデバイス → 対象デバイスを選択
  3. BitLockerキーを確認

対応4:デュアルブート環境の対応

Windows + Linuxのデュアルブート環境では、Secure Boot証明書の更新によりLinuxのブートローダーが起動しなくなる可能性があります。

  • Linux側のGRUB/shimの署名が新しい証明書に対応しているか確認する
  • 主要ディストリビューション(Ubuntu 24.04以降、RHEL 9.3以降)は対応済み
  • 古いディストリビューションを使用している場合は事前にアップグレードする

Intuneでの一括対応

Microsoft Intuneを使用している場合、以下のアプローチで組織全体の対応状況を管理できます。

  1. コンプライアンスポリシーでSecure Bootの有効化を必須にする
  2. Windows Update for Businessで該当KBの配布を確認する
  3. レポート機能で対応済み/未対応のデバイスを可視化する
  4. **デバイスファームウェア構成インターフェイス(DFCI)**対応PCではIntuneからファームウェア設定を管理可能

対応スケジュール

時期やること
今すぐ社内PCのSecure Boot状態と証明書を確認する
2026年4月までWindows UpdateでKB5043083の適用状況を確認する
2026年5月までUEFIファームウェアの更新を展開する
2026年5月までBitLocker回復キーの確保を完了する
2026年6月証明書期限切れ。対応済みPCは影響なし

まとめ

Secure Boot証明書の期限切れは、Windows Updateとファームウェア更新を適切に管理している環境であれば大きな問題にはなりません。しかし、Windows Updateが滞っている環境やファームウェアが古いままのPCでは、起動トラブルが発生する可能性があります。

対応の鍵は「事前確認」と「BitLocker回復キーの確保」です。6月を迎える前に、組織内のPCの状況を確認しておきましょう。

PC管理やWindows Update運用でお困りの方は、情シス365の無料相談をご活用ください。

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談