はじめに
Microsoftは、期限切れが近づいているSecure Boot証明書の自動更新を、対象となるWindows 11 24H2および25H2システム向けに開始しました。この措置は、システムのセキュリティを維持し、マルウェアからの保護を強化することを目的としています。
セキュアブートとは
セキュアブートは、UEFIファームウェアを備えたコンピューターにおいて、起動時に悪意のあるソフトウェア(ルートキットマルウェアなど)が実行されるのをブロックする重要なセキュリティ機能です。これは、ソフトウェアのデジタル署名をデバイスのファームウェアに保存された信頼できるデジタル証明書のセットと照合することで機能し、信頼されたブートローダーのみがロードされることを保証します。
更新の背景と重要性
この発表は、Microsoftが昨年11月にIT管理者に対し、UEFIファームウェアの検証に使用されるセキュリティ証明書が期限切れになる前に更新するよう警告していたことを受けてのものです。Microsoftは、「ほとんどのWindowsデバイスで使用されているセキュアブート証明書は、2026年6月を皮切りに期限切れになる予定です。この更新が間に合わない場合、特定の個人およびビジネスデバイスのセキュアブート機能に影響を与える可能性があります」と述べていました。
今回のアップデートにより、Windowsの品質更新プログラムには、新しいSecure Boot証明書を自動的に受け取る資格のあるデバイスを特定するためのデータが含まれるようになります。デバイスは、十分な更新成功シグナルが確認された後にのみ新しい証明書を受け取るとされており、安全で段階的な展開が保証されます。
更新を怠った場合、Windows Boot ManagerとSecure Bootの保護が失われる可能性があり、プリブートコンポーネントに対するセキュリティアップデートがセキュアブート対応デバイスに提供されなくなるリスクがあります。Microsoftは、「更新がない場合、セキュアブートが有効なWindowsデバイスは、セキュリティアップデートを受け取れないか、新しいブートローダーを信頼できなくなり、保守性とセキュリティの両方が損なわれます」と説明しています。
展開方法と管理者への推奨事項
Microsoftは、信頼性の高いデバイスに対してはWindows Updateを通じて自動的に更新を展開しますが、組織はレジストリキー、Windows構成システム(WinCS)、およびグループポリシー設定を使用してSecure Boot証明書を展開することも可能です。
MicrosoftのSecure Bootプレイブックによると、管理者はまずデバイスフリートのインベントリを作成し、PowerShellコマンドまたはレジストリキーを使用してSecure Bootのステータスを確認することが推奨されています。その後、Microsoftの証明書更新プログラムをインストールする前に、メーカーのファームウェア更新プログラムを適用する必要があります。