Windows 11

Windows 11、セキュアブート証明書の更新状況を可視化へ

情報の灯台

情報の灯台

Windows 11、セキュアブート証明書の更新状況を可視化へ

2026年6月から古いセキュアブート証明書が順次失効する中、Windows 11の4月更新で「Windows セキュリティ」アプリが証明書の更新状況を信号色で示すようになる。技術者しか見えなかった状態が、一般ユーザーの目の前に降りてきた。

6月の期限切れに向けて、ようやく可視化される

セキュアブートの証明書は、PCの起動時に読み込まれるソフトウェアが正規のものかを検証するための鍵だ。2011年にMicrosoftが発行した証明書が今も広く使われているが、2026年6月から順次失効する。

失効後にそのまま使い続けるとどうなるか。Microsoftが公開している説明はこうだ。

セキュア ブートが提供するブートレベル機能の低下という影響がある。新しいブートレベルの攻撃をブロックできなくなり、新しい証明書で署名されたOSやドライバーが読み込めなくなる。

最悪の場合、BlackLotusのような「ブートキット(bootkit)」と呼ばれるマルウェアに起動プロセスを乗っ取られる余地が広がる。OS起動前の段階で仕込まれるため、Windowsが立ち上がってからアンチウイルスを走らせても検知が難しい種類の脅威だ。

Microsoftは後継のSecure Boot 2023証明書(Microsoft Corporation KEK 2K CA 2023など)をWindows Update経由で自動配信しているが、これまで厄介だったのは、自分のPCで更新が適用されたかを普通のユーザーが確認する手段が事実上なかったことだ。PowerShellコマンドを叩くか、イベントビューアーのログを読むか。どちらも一般ユーザーの世界ではない。

失効する2011年証明書と、置き換え先の2023年証明書
役割 2011年発行(失効側) 2023年発行(置き換え先)
DB/DBX 更新鍵 Microsoft Corporation
KEK CA 2011		 Microsoft Corporation
KEK 2K CA 2023
Windows Boot
Manager 署名		 Microsoft Windows
Production PCA 2011		 Windows UEFI CA 2023
サードパーティ
署名		 Microsoft Corporation
UEFI CA 2011		 Microsoft UEFI CA 2023 /
Microsoft Option ROM UEFI CA 2023
失効時期 2026年6月 〜 10月 置き換え後も継続運用
出典:Microsoft「Secure Boot Certificate updates: Guidance for IT professionals and organizations」および「Windows Secure Boot Key Creation and Management Guidance」。

「デバイス セキュリティ > セキュア ブート」で一目でわかる

Windows 11 April 2026 Update(KB5083769、日本時間4月15日配信)以降、Windows セキュリティアプリの「デバイス セキュリティ」→「セキュア ブート」に、証明書の更新状態を示す緑・黄・赤のバッジが追加される。Microsoftが4月2日付で公開したサポート文書KB5087130で明らかになったものだ。

意味は直感的だ。緑なら新しい証明書がすべて適用済みで何もする必要はない。黄は更新が適用されておらず、ファームウェアハードウェアの制約で自動更新がブロックされている可能性がある。赤は起動プロセスに関わる脆弱性が発覚したが古い証明書のままの環境には配信できない状態で、即時の対応が必要になる。

Windows セキュリティで表示されるバッジの意味と対応
バッジ 状態名 意味 推奨される対応
完全に更新済み 2023証明書が適用され、
ブートマネージャーも更新済み		 対応不要
未更新 古い証明書のまま。
ファームウェア制限で
自動更新が止まっている可能性		 Windows Update を最新化、
またはメーカーに問い合わせ
要対応 脆弱性の修正が配信されているが、
現在の構成には届かない		 すぐに対応が必要。
原則として
aka.ms/getsecureboot を参照
出典:Microsoft「Secure Boot certificate update status in the Windows Security app(KB5087130)」。バッジ色の判定には本文メッセージの確認が必要で、色だけでは証明書の更新状態を確定できないとMicrosoftが注意書きを添えている。

重要なのは、緑のチェックマークだけでは証明書が更新済みとは限らない点だ。Microsoftはこのサポート文書でわざわざ念を押している。

緑色のチェックマークだけでは、証明書が更新されていることを確認できません。

アイコンの色だけでなく、「セキュア ブートがオンで、必要なすべての証明書更新が適用されています」と添えられる一文まで読まないと、正確な状態はわからない設計になっている。

ここは少し引っかかる。せっかく視覚的な信号を用意したのに、文章を読ませないと誤読が起きる余地を残した。一般ユーザー向けの機能としては、もう一段わかりやすくする余地があったはずだ。

5月にはシステム通知も追加、段階的な展開

ロールアウトはすぐに全PCで始まるわけではない。Microsoftは窓の杜の取材に対し、Controlled Feature Rollout(CFR)と呼ばれる段階的配信の仕組みで、不具合を確認しながら一部のデバイスから順に展開すると説明している。Windows Latestによれば4月末までに一通りのロールアウトが完了する見込みだ。

Microsoftはさらに、2026年5月から通知機能も追加すると予告している。タスクトレイのWindows セキュリティアイコンにバッジが反映され、アプリ外部のシステムアラートでも状態変化が知らされるようになる。つまり「気が向いたときに開いて確認」ではなく、問題があれば向こうから知らせてくる構造に変わる。

法人向け・IT管理デバイスでは既定で無効化されており、通知の氾濫を防ぐ形になっている。組織で一元管理する前提だ。

2026年、セキュアブート移行の主要ポイント
4月 Windows セキュリティに
バッジ表示を追加
5月 タスクトレイ通知・
システムアラートを追加
6月 KEK・UEFI の
2011証明書が失効開始
10月まで Windows Production PCA
2011 も失効
フェーズ1(4月〜) 可視化
フェーズ2(5月〜) 通知
フェーズ3(6月〜) 失効と移行完了
出典:Microsoft「Secure Boot certificate update status in the Windows Security app(KB5087130)」および「Windows Secure Boot certificate expiration and CA updates」。

ファームウェアの壁を越えられないPCがある

Microsoftは「ほとんどのユーザーは何もしなくていい」と繰り返しているが、実態はやや濁っている。Windows Latestが3月末に報じたところによれば、一部のPCではセキュアブート2023証明書の更新がファームウェア側の制限で失敗している。Windows Update経由では新しい証明書を書き込めない領域に問題がある。

Microsoftも公式FAQでこの存在を認めている。

一部のデバイスは、ハードウェアまたはファームウェアの制限により、自動化されたセキュア ブート証明書の更新を受け取ることができません。その場合は、デバイスの製造元にお問い合わせください。

こうしたPCでは、今回の可視化機能は黄または赤のバッジを表示し続けることになる。表示は「PCメーカーに問い合わせて最新ファームウェアを入手せよ」と促すが、古いマザーボードやサポートが打ち切られたOEMモデルでは、そもそも更新版ファームウェアが提供されない可能性が高い。

つまりこの新機能は、問題が解決する機能ではない。問題の在り処を指し示す機能だ。緑なら安心、黄や赤なら自分で動かなければならない。Microsoftが全部面倒を見てくれる話ではなく、ユーザーとメーカーに判断を投げ返す仕組みでもある。

見えなかったものが見えるようになった、それ自体は確かな前進

それでも、この変更の価値は小さくない。これまでセキュアブート証明書の更新状況は、PowerShellでGet-SecureBootUEFIを叩いてバイナリを読むような世界に閉じ込められていた。それが画面上の色一つで判別できるようになる。技術的な正しさと可視性が、今回ようやく噛み合った。

期限切れが始まる6月まで、残り約2か月。自分のPCのバッジが何色なのか、一度確認しておく価値はある。

参照元

他参照

関連記事

Read more