【2026年5月】Windows Update情報まとめ ― Secure Boot証明書置き換えのラストスパート、6月期限切れまで残り40日
2026年5月13日(米国時間5月12日)、Microsoft は月例セキュリティ更新プログラム(Patch Tuesday)を公開しました。今月最大の論点は、2011年発行のSecure Boot証明書の期限切れまで残り約40日となり、置き換え未完了デバイスへの対応が待ったなしの状況に入ったことです。あわせて、NTLM段階廃止フェーズ2の影響が現場で顕在化し始め、複合機・NAS・レガシー業務アプリの認証エラーに関する問い合わせが増えています。
中小企業のIT担当者が「何を」「いつまでに」「どう動くか」を、5月時点の最新情報で整理します。
今月の更新プログラム概要
5月のPatch Tuesdayは、毎年比較的落ち着いた件数で配信される傾向がありますが、2026年5月はCritical 7件、Important 50件超と例年並みの規模となりました。Microsoftがリリースノートで明示しているとおり、ゼロデイ脆弱性は2件含まれており、いずれもクライアント側(Windows 11/10)で攻撃シナリオが成立するため、72時間以内の適用が推奨されます。
対象のWindowsバージョンとKB番号は、Windows 11 25H2/24H2、Windows 11 23H2、Windows 10 22H2(ESU)ごとに個別配信されています。ご利用環境に応じてMicrosoftのリリース情報でKB番号をご確認ください。
修正された脆弱性のカテゴリ別の傾向は次の通りです。
- リモートコード実行(RCE):Windows DWM、Windows TCP/IP、リモートデスクトップクライアント
- 特権昇格(EoP):Windows カーネル、共通ログファイルシステム(CLFS)ドライバ
- セキュリティ機能バイパス:BitLocker、Secure Boot関連
- 情報漏洩:Windows Storage、Microsoft Edge(Chromium)
特にCLFSドライバの特権昇格は、過去2年でランサムウェアグループに悪用された実績が複数あるカテゴリです。今月のパッチでも修正が入っているため、適用優先度は高めに設定してください。
Secure Boot証明書置き換え:いよいよラストスパート
6月末まで残り約40日 ― 「未対応デバイスの可視化」が今月最大のタスク
2011年発行のSecure Boot証明書(Microsoft Corporation KEK CA 2011、Microsoft Windows Production PCA 2011)は、2026年6月下旬に有効期限を迎えます。5月時点で証明書の置き換えが完了していないデバイスは、期限後に新しいUEFIファームウェア・ブートローダーを信頼できなくなるリスクがあります。
Microsoftは2026年2月から段階的に2023年版証明書(Microsoft Corporation KEK 2K CA 2023、Microsoft Windows UEFI CA 2023)への置き換えを進めていますが、現場の体感としては「6〜7割程度のデバイスは自動置き換えが進んでいるが、残り3割で問題が発生している」という声をよく聞きます。
5月中に必ずやるべきチェック
5月の更新適用後、次の手順で全台のSecure Boot証明書の置き換え状況を確認してください。
- PowerShellを管理者権限で起動
- 次のコマンドで現在の証明書を確認
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'Trueが返れば新証明書が適用済み、Falseの場合は未適用
100台規模の環境では、Intuneのコンプライアンスポリシーやカスタムスクリプトで一括確認することを推奨します。GitHub上でMicrosoftが公開しているサンプルスクリプトも活用できます。
未適用デバイスへの対応フロー
5月時点で未適用のデバイスは、以下の順序で対処してください。
- Windows Updateが最新か確認(2026年2月以降の更新がすべて適用されているか)
- OEMファームウェア(BIOS/UEFI)を最新版へ更新(Dell、HP、Lenovo各社が2025年後半〜2026年前半にかけて対応BIOSを順次リリース)
- 再起動を3〜4回繰り返す(Microsoftが言う「シグナル蓄積」のためにある程度の起動回数が必要)
- それでも置き換わらない場合は、手動でレジストリキー(MicrosoftUpdateManagedOptInなど)を設定して強制適用
BitLocker環境での「6月最大の山場」を回避する
BitLockerを有効にしている環境では、Secure Boot設定の変更タイミングでBitLocker回復キーの入力を求められるケースが多数報告されています。これが6月の期限切れ直前にまとめて発生すると、サポートデスクが完全にパンクします。
5月のうちに必ず以下を完了させてください。
- 全台のBitLocker回復キーがEntra ID(またはAD)にエスクローされていることを確認
- 回復キー一覧をCSVエクスポートしてオフライン保管
- 社員向けに「青い画面で48桁のキーを求められたら、IT部門に連絡」の周知メールを配信
- リモートワーカー向けには、スマホからアクセスできる回復キー取得手順を別途案内(在宅勤務中にロックされると詰む)
**「5月のうちに置き換え完了 → 6月は緊急対応のみに専念」**が、現実的な落としどころです。
NTLM段階廃止:フェーズ2の影響が現場で顕在化
5月時点で起き始めている具体的な障害
4月号でお伝えしたNTLM段階廃止フェーズ2の影響が、5月に入って具体的な業務影響として顕在化してきました。情シス365のお客様からも以下のような問い合わせが急増しています。
- 複合機からの「スキャンしてフォルダに保存」が突然失敗(Canon、Ricoh、Fuji Xerox、Konica Minolta、Sharp など各社の中堅機種で報告)
- Windows Server 2012 R2上のファイル共有にアクセスできない
- 10年以上前に導入された業務アプリ(AD連携のクライアントサーバー型)の認証エラー
- 古いNASのCIFS/SMB接続失敗(Buffalo TeraStation の古い世代、I-O DATA、QNAP の旧モデル)
「とりあえずNTLMを再有効化」は短期的な逃げ道としてアリ
業務が完全に止まる場合の応急処置として、グループポリシーまたはレジストリでNTLMフォールバックを一時的に再有効化することは可能です。ただし、これはあくまで**「Kerberos移行までの猶予時間を稼ぐための応急処置」**であり、Microsoftが2027年以降にさらに強い制限を入れる方針を示しているため、根本対応を先送りしないことが重要です。
5月中に進めるべき棚卸し
- Windows Server 2025 / Windows 11 24H2以降のイベントログ(イベントID 8001〜8004)でNTLM使用箇所を洗い出し
- NTLM依存している機器・アプリのKerberos対応版へのアップグレード見積もりを取得
- 複合機ベンダーに「最新ファームウェアでKerberos対応しているか」を確認
- Buffalo・I-O DATAなどのコンシューマ寄りNASは、業務用NAS(Synology、QNAPの新モデル、Windows Server)への置き換えを検討
NTLM廃止は数年単位の長期テーマですが、「動いているうちはOK」を続けると、ある月のWindows Updateで突然動かなくなるという性質のものです。5月時点での棚卸しを強くお勧めします。
Windows 10 ESU年度更新の判断タイミング
2026年10月で1年目契約終了 ― 残り約5ヶ月
Windows 10は2025年10月14日に公式サポートが終了し、その後はESU(拡張セキュリティ更新プログラム)契約デバイスのみセキュリティ更新が継続提供されています。法人向けESUの1年目(2025年10月〜2026年10月)の契約終了まで残り約5ヶ月となり、次の判断を5〜6月のうちに確定させる必要があります。
判断フロー
5月時点で意思決定すべきは次の3択です。
- 2年目ESUを契約する(料金は1年目の約2倍、デバイスあたり年額約122米ドル)
- 10月までにWindows 11へ完全移行する(移行作業に5ヶ月、現実的なギリギリのライン)
- デバイス入れ替え+Windows 11購入で対応する(ハードウェア要件を満たさないPCの場合)
1台あたり費用試算(50台規模の例)
| 選択肢 | 5ヶ月で必要な作業 | 概算費用 |
|---|---|---|
| 2年目ESU継続 | 契約更新のみ | 約122ドル × 50台 = 約90万円 |
| Windows 11移行(既存PC再利用) | OS再イメージ、業務アプリ検証、データ移行 | 約3〜5万円/台 × 50台 = 150〜250万円 |
| デバイス入れ替え | 新PC調達、キッティング、データ移行 | 約15〜20万円/台 × 50台 = 750〜1,000万円 |
「2年目ESU+段階的なPC入れ替え」のハイブリッド戦略が、多くの中小企業で現実解となっています。3年目(2027-2028)はESU料金がさらに2倍(年額約244ドル)になるため、3年目契約は基本的に避ける前提で計画を立ててください。
その他の5月の主要トピック
Windows 11 26H2(次期メジャー更新)のプレビュー版が登場
Windows Insider Programで、Windows 11 26H2のプレビュー版が公開され始めました。一般リリースは2026年秋(10〜11月想定)です。情シス担当者として注目すべきポイントは以下の通り。
- AI機能のさらなる統合(Copilot+ PCの機能拡張、ローカルLLMの常時起動)
- 新しいデバイス暗号化方式(BitLocker次世代版)
- Entra ID連携の強化(パスキー認証のさらなる標準化)
社内の検証環境では、6〜7月頃からプレビュー版での先行検証を開始することを推奨します。
Intune Suite新機能:エンドポイント特権管理(EPM)の機能拡張
5月の更新で、Intune Suiteのエンドポイント特権管理(EPM)機能が大きく拡張されました。「ユーザーは標準権限で運用、必要時のみ特定アプリを管理者権限で実行」という最小権限の原則を、Intuneだけで実現できるようになっています。
「業務アプリのインストール・アップデートのたびに、ローカル管理者権限を一時的に付与する」運用をしている企業は、EPMへの移行を検討する価値があります。
Microsoft Defender for Business:ランサムウェアの「事前拡散」検知ルール
5月の定義更新で、ランサムウェア攻撃の事前拡散フェーズ(攻撃者が暗号化前にネットワーク内を横展開する段階)を検知する新ルールが追加されました。攻撃検知から実際の暗号化開始までの平均約4時間という最近の傾向に対応した強化です。
Defender for Businessを契約済みの企業は、自動修復機能(Auto-Investigation & Response、AIR)の有効化を必ず確認してください。AIRが無効だと、検知しても自動隔離が動かず、検知の意味が半減します。
中小企業の情シス担当者がやるべきこと
今すぐ(72時間以内)
5月のパッチを、すべてのWindows端末・サーバーに72時間以内に適用してください。特にゼロデイ2件、CLFSドライバの特権昇格、リモートデスクトップ関連は最優先です。
今週中
- Secure Boot証明書の置き換え状況を全台で確認(コマンドまたはIntuneコンプライアンス)
- 未適用デバイスのOEMファームウェア更新を発注・着手
- BitLocker回復キーのエスクロー状況を再棚卸し
- リモートワーカー向けにスマホからの回復キー取得手順を配信
今月中
- NTLM使用箇所の洗い出しと、Kerberos対応版へのアップグレード見積もり取得
- 複合機ベンダーへのKerberos対応問い合わせ
- Windows 10 ESU 2年目契約 vs Windows 11完全移行の意思決定
- Windows 11 26H2プレビューの検証環境構築
6月末までに
- Secure Boot証明書の全台置き換え完了(最重要)
- BitLocker回復キー対応訓練(IT部門内ロールプレイ)
- NTLM依存アプリ・機器の置き換え計画策定(2026年下期実行)
これらのセキュリティ機能(条件付きアクセス・Intune・Defender for Business・Purview)をフル活用するには、Microsoft 365 Business Premium 以上のライセンスが必要です。Basic や Standard ではパッチ管理以上の防御が難しいため、まだ移行していない企業は早急にプランの見直しをおすすめします。
6月の山場に向けて、情シス365がお手伝いします
6月のSecure Boot証明書期限切れは、多くの中小企業にとって過去数年で最大級のWindows関連イベントです。情シス365では、お客様の環境に応じて以下をワンストップで支援しています。
- Intuneによる全台の証明書置き換え状況の可視化
- 未適用デバイスへの個別対応(OEMファームウェア更新代行含む)
- BitLocker回復キーの一元管理体制構築
- NTLM依存箇所の棚卸しとKerberos移行計画策定
- Windows 10 ESU年度更新 vs Windows 11移行の費用試算とロードマップ作成
毎月のPatch Tuesday対応を、情シス1名・兼任担当者で回すのは年を追うごとに難しくなっています。Support365 にて、貴社の環境に合わせたパッチ管理・段階配信設計をご提案します。
詳しくは Support365サービスページ または お問い合わせフォーム からお問い合わせください。