マイクロソフト、Secure Bootのデジタル証明書を更新 – 10億台超のデバイスのセキュリティを維持

マイクロソフトは、Windowsのソフトウェア検証機能であるSecure Bootのデジタル証明書を更新すると発表しました。これは、全世界で10億台を超えるデバイスのセキュリティを維持するための大規模な取り組みです。

Secure Bootは、起動時に未署名のソフトウェアが実行されるのを防ぐ機能で、デバイスのファームウェアに保存されているセキュリティ証明書に依存しています。

更新の背景と重要性

今回の更新は、2011年に発行された既存の証明書が15年以上の使用を経て今年6月に期限切れとなるために行われます。マイクロソフトのWindows Servicing and DeliveryチームのプログラムマネージャーであるNuno Costa氏は、ブログ投稿で次のように述べています。

「暗号技術の進化に伴い、強力な保護を維持するためには、証明書と鍵を定期的に更新する必要があります。古い証明書を廃止し、新しい証明書を導入することは、陳腐化した資格情報が弱点となるのを防ぎ、プラットフォームを現代のセキュリティ要件に合わせるための標準的な業界慣行です。」

この更新プロセスは、PC、ビジネスサーバー、産業機器、IoTデバイスなど、Windowsユーザーベースの規模が大きいため、マイクロソフトにとって極めて重要なプロセスとなります。

ユーザーへの影響と対応

大半の最新PCは、毎月のWindowsアップデートを通じて新しい証明書を自動的に受信します。しかし、以下のデバイスでは手動での対応が必要となる場合があります。

• サポートされていないバージョンのWindowsを実行しているマシン。
• IoTデバイスや重要インフラ環境で使用される機器など、カスタムの更新プロセスを持つ特殊なシステム。

Costa氏は、「一部のデバイスでは、Windows Update経由で提供される新しいSecure Boot証明書を適用する前に、デバイスメーカーからの個別のファームウェアアップデートが必要となる場合があります」と指摘しています。準備として、顧客はOEMのサポートページで最新のファームウェアアップデートを確認することが推奨されています。

また、Windowsセキュリティアプリは近日中に、デバイスのSecure Boot証明書のステータスに関する情報の表示を開始する予定です。

セキュリティへの貢献

マイクロソフトは、このSecure Bootの更新をWindowsの「コアとなる信頼基盤」の「世代的刷新」として評価しています。Costa氏によれば、「ブートプロセスの最も早い段階で信頼できないコードをブロックすることで、Secure Bootは後で検出することが困難な高度な脅威から防御するのに役立ちます。」

マイクロソフトは、証明書更新の展開におけるデバイスメーカーとファームウェア開発者の協力を高く評価しており、この作業には「積極的な計画、透明性、そして顧客が自信を持って移行を進めるために必要な可視性、ツール、ガイダンスの提供」が含まれていたと述べています。

---

元記事: https://www.cybersecuritydive.com/news/microsoft-secure-boot-certificate-update/811846/