【2026年4月】Windows Update情報まとめ ― Secure Boot証明書更新の最終月、NTLM監査フェーズ本格化
2026年4月14日(米国時間4月14日)、Microsoft は月例セキュリティ更新プログラム(Patch Tuesday)を公開しました。今月の最大のトピックは、2011年発行のSecure Boot証明書の置き換えが大詰めを迎えていること、そしてNTLM段階的廃止の次フェーズが進行していることです。
中小企業のIT担当者が「何を」「いつまでに」「どう対応すべきか」を整理してお伝えします。
今月の更新プログラム概要
4月のPatch Tuesdayは、例年Q1の累積的な修正と年度替わりのタイミングでの機能更新が重なり、パッチの件数・影響範囲が大きくなる傾向があります。2026年4月も例外ではなく、複数のCriticalクラスの脆弱性修正とゼロデイ対応が含まれています。
対象のWindows バージョンとKB番号については、Windows 11 25H2/24H2、Windows 11 23H2、Windows 10 22H2(ESU)ごとに個別のKBが配信されています。ご利用環境に応じてMicrosoftのリリース情報でKB番号をご確認ください。
脆弱性のカテゴリとしては、リモートコード実行(RCE)、特権昇格(EoP)、セキュリティ機能バイパス、情報漏洩の4類型が中心で、リモートデスクトップ関連・印刷スプーラー関連・スクリプティングエンジン関連のコンポーネントで修正が入っています。
Secure Boot証明書の置き換えが”最終局面”に
6月末の期限切れを前に、4月〜5月が実質的な対応期限
本サイトでも繰り返しお伝えしていますが、2011年に発行されたSecure Boot証明書は2026年6月下旬に期限切れとなります。Microsoftは2026年2月から段階的に新しい2023年版の証明書への置き換えを進めており、4月は置き換え対象デバイスが大きく拡大する月です。
対応状況の確認方法
4月の更新適用後、次の手順でSecure Boot証明書の置き換え状況を確認できます。
- PowerShellを管理者権限で起動
Get-SecureBootUEFI dbなどのコマンドで現在の証明書リストを確認- 新証明書(2023年版)がdbに含まれているかを確認
置き換えが進んでいないデバイスが多数ある場合は、以下の原因が考えられます:
- Windows Updateが長期間適用されていない
- BIOSファームウェアが古く、新証明書に対応していない
- サードパーティ製のセキュリティブートローダーを使用している
- デバイスの起動頻度が低く、十分な「シグナル」が蓄積されていない
BitLocker環境での注意点
BitLockerを有効にしているPCでは、Secure Boot設定の変更や証明書の更新タイミングで、BitLocker回復キーの入力を求められるケースがあります。次の事前準備を強く推奨します。
- 全台のBitLocker回復キーがEntra ID(またはAD)にエスクローされていることを確認
- 社員向けに「BitLocker回復画面が出た場合の対処方法」を周知
- 回復キー一覧を別途エクスポートして保管(オフライン障害時用)
**「4月〜5月のうちに全台の証明書置き換えを完了させる」**のが、6月の期限切れで慌てないための現実解です。
NTLM段階的廃止:フェーズ2の本格化
監査から”制限”のフェーズへ
2026年2月に発表されたNTLM段階的廃止計画は、4月以降**フェーズ2(制限の段階的強化)**に入りました。具体的には、
- Windows Server 2025 / Windows 11 24H2 以降のデフォルト設定で、一部のNTLMフォールバック経路が制限される
- NTLMv1の完全無効化が既定値に
- 特定のコンポーネント(RPC、SMB)でKerberos優先度が引き上げられる
中小企業が直面する典型的な問題
NTLM制限が強化されると、次のような業務影響が発生する可能性があります。
- 古いNAS・ファイルサーバーへのアクセス失敗
- レガシー業務アプリ(AD連携のオンプレ製品)の認証エラー
- 複合機・スキャナーからの「スキャンしてフォルダに保存」機能の失敗
- Windows Server 2012 R2以前のサーバーとの接続問題
監査ログで使用状況を把握
4月時点では、まだ完全な強制無効化は段階的ですので、今のうちに自社環境のNTLM使用状況を把握することが重要です。Windows Server 2025またはWindows 11 24H2以降で、次のイベントログを確認できます。
- イベントID 8001:成功したNTLM認証の詳細
- イベントID 8002〜8004:失敗・エラー情報
これらのログを集約し、NTLM依存箇所を洗い出した上で、Kerberosへの移行またはレガシーシステムのリプレースを計画的に進めましょう。
Windows 10 ESUの残り期間を意識する
2026年4月時点でのESU状況
Windows 10は2025年10月14日に公式サポートが終了し、その後はESU(拡張セキュリティ更新プログラム)契約の対象デバイスのみセキュリティ更新が提供されています。
- 個人向けESU:2026年10月まで(1年間)
- 法人向けESU:最大3年間(年度ごとに契約更新、料金も年々倍増)
4月時点でESU契約中の企業は、残りの契約期間とWindows 11移行計画の整合を確認するタイミングです。
ESU延長のコスト感
法人向けESUの料金は、初年度と比べて2年目・3年目で大きく上がる設計になっています。
| 年度 | 1デバイスあたり年額(目安) |
|---|---|
| 1年目(2025-2026) | 約61米ドル |
| 2年目(2026-2027) | 約122米ドル |
| 3年目(2027-2028) | 約244米ドル |
100台の企業で3年間ESUを継続すると、**総額で数万ドル(数百万円規模)**になります。Windows 11移行にかかるハードウェア・リプレース費用と比較して、どちらが合理的かを改めて試算するのが重要です。
その他の4月の主要トピック
Copilot for Microsoft 365 のガバナンス機能強化
Microsoft Purview連携で、Copilotが参照するデータソースのより細かい制御が可能になりました。これまで「SharePointサイト単位」でしか制限できなかったものが、機密情報ラベル単位で細かく制御できるようになっています。
社内でCopilotを展開中の企業は、4月以降のPurview設定画面で新しい制御オプションを確認しましょう。
Intune新機能:Autopilot v2の本格展開
Windows Autopilotの次世代版(v2)が、4月の更新で安定版として提供開始されました。従来のAutopilotよりもプロビジョニング速度が改善され、オフライン対応も強化されています。
新規PCのキッティング標準化を進めている企業は、v2への移行を検討する価値があります。
Microsoft Defender for Business の新検知ルール
4月の定義更新で、AIエージェント経由の不正操作を検知する新ルールが複数追加されました。生成AI・MCP・Agenticシステムを社内で活用する企業が増える中、Defender側でも対応が進んでいます。
中小企業の情シス担当者がやるべきこと
今すぐ(優先度:緊急)
4月のパッチを、すべてのWindows端末・サーバーに72時間以内に適用してください。特にリモートデスクトップ関連・印刷スプーラー関連のCriticalパッチは、放置すると社内での横展開攻撃のリスクがあります。
今週中
- Secure Boot証明書の置き換え状況を主要デバイスで確認
- BitLocker回復キーのエスクロー状況を棚卸し
- 社員向けに「BitLocker回復画面が出た場合の対処方法」を周知
今月中
- NTLM監査の有効化と使用箇所の棚卸し
- Kerberos移行計画の策定(NTLM依存アプリケーション・NASの洗い出し)
- Windows 10 ESU契約の年度更新判断とWindows 11移行計画の確認
今四半期(6月までに)
- Secure Boot証明書の全台置き換え完了
- Windows 10 → Windows 11 移行の大部分を完了
- Intune+Autopilot運用の標準化
これらのセキュリティ機能(条件付きアクセス・Intune・Defender for Business)をフル活用するには、Microsoft 365 Business Premium 以上のライセンスが必要です。Basic や Standard ではパッチ管理以上の防御が難しいため、まだ移行していない企業は早急にプランの見直しをおすすめします。
パッチ管理の標準化、情シス365がお手伝いします
毎月のPatch Tuesday対応を、情シス1名・兼任担当者で回すのは年を追うごとに難しくなっています。
- ゼロデイ対応の即時判断が必要
- Secure Boot / NTLM / Copilot 等、テーマが多岐に
- テスト展開→段階展開→本番展開のオペレーションが煩雑
- Intune・WSUS・Autopilotの設計が複雑化
情シス365では、Intuneによるパッチ管理・段階配信設計と、毎月のパッチレビュー・適用サポートをSupport365 にてご提供しています。貴社の環境に合わせた更新プログラムの展開戦略をご提案します。
詳しくは Support365サービスページ または お問い合わせフォーム からお問い合わせください。