Microsoft、セキュアブート期限が近づく中で重要な質問に回答

2026年6月24日に元のMicrosoft Secure Boot KEK証明書の期限が迫る中、Microsoftは6月4日に2回目のライブ「Ask Microsoft Anything（AMA）」セッションを開催し、IT管理者や企業顧客の残る懸念に対応しました。このセッションでは、セキュアブートの更新についての詳細な洞察が提供され、企業展開、仮想マシンの互換性、PXEブートのシナリオなどについて説明されました。

2026年6月24日に何が変わるのか？

最も重要な質問は、6月24日がSecure Boot KEK CA 2011証明書の使用停止を意味するかどうかという点でした。Scott Shellによると、この期限は全ての機能が停止する厳密な締め切りではありません。KEKキーの有効期限切れは、レジストリベースの手動展開プロセスや既存のアップデートペイロードには即座に影響を与えず、これらは従来通り機能し続けます。

ただし、6月24日以降、Microsoftは新しいDBXペイロードの署名ができなくなり、これらは危険なブートローダーを取り消すために重要です。更新されたKEK証明書を持たないデバイスは、将来の取り消しを逃し、時間と共に安全性が低下する可能性があります。しかし、DB証明書は10月まで有効であり、この間にMicrosoftは追加のブートマネージャーに署名を行うことができます。

6月のアップデートで高信頼性カバレッジが拡大

6月のPatch Tuesdayアップデートでは、Microsoftの診断データに基づいて、大多数の主流デバイスが高信頼性として分類されます。Kevin Sullivanは、デバイスの分類は製造元やモデル名だけでなく、ファームウェアのバージョンと日付も考慮することを明らかにしました。これにより、同一モデルでもファームウェアによって分類が異なる場合があります。

IT管理者を支援するために、Intuneモニタリングレポートはデバイスのステータス、更新適用状況、高信頼性分類の詳細を提供します。また、PowerShell修復スクリプトが柔軟性を補完します。

「一時停止中」のデバイスへの対応

一部の企業顧客は「一時停止中」のステータスで停止したデバイスを報告しました。Microsoftは、これはファームウェアレベルでの互換性問題が更新をリスクにする場合に発生すると説明しました。このような場合、OEMファームウェアの更新が必要です。ファームウェアが更新されると、デバイスは新しい分類バケットに移動します。

管理者は、IntuneやGitHubのCSVからのライブデータを使用してデバイスのステータスを正確に追跡する必要があります。一時停止バケットは遡及的に更新されません。MicrosoftのSecure Bootランディングページには、ファームウェア更新を見つけるためのOEMサポートページへのリンクが含まれています。

手動展開のガイダンス

高信頼性バケットに入らないデバイスについて、Microsoftは自動分類を待たずに手動展開を開始することを推奨しました。レジストリ値を設定するか、Intuneポリシー設定を使用することで実行できます。推奨されるワークフローは以下の通りです：

1. Intuneモニタリングレポートを取得し、未更新デバイスを特定する。
2. 各モデルまたはファームウェアバリアントの代表的なデバイスで更新プロセスをテストする。
3. テストが成功した後、展開を段階的に拡大する。

Microsoftは、手動更新がテレメトリデータに貢献し、同様のデバイスを持つ他の組織のシステム改善に役立つと強調しました。

セキュアブートが無効なデバイス

セキュアブートが無効になっているデバイスでは、証明書の更新を適用できません。セキュアブートが後で再有効化された場合、ファームウェア信頼データベースとブートマネージャー署名の不一致によりブート障害が発生する可能性があります。この問題を解決するには、2023年証明書をファームウェアに手動でインストールする必要があります。

セキュアまたは信頼された起動を有効にしたAzure Gen 2 VMにはすでに2023年証明書が設定されていますが、Gen 1 VMはセキュアブートと互換性がありません。

高信頼性分類の基準

古いデバイスは、人口が少ないため統計的検証が速く、高信頼性分類に早く達することがよくあります。広く展開されている新しいモデルについては、6月のアップデートにより高信頼性バケットが大幅に拡大すると予想されています。

PXEブート環境の慎重な管理が必要

PXEブート環境では、2011年証明書を持つデバイスは、証明書がDBXリストで無効化されていない限り、引き続きブートできます。ただし、2023年証明書で署名されたブートローダーへの移行には、環境内の全デバイスが新しい証明書を信頼することを保証する必要があります。移行中は、両方の証明書で署名されたブートメディアを維持することを推奨します。

Windows 10および古いOSバージョン

セキュアブートの更新メカニズムは、Windows 10（ESU対象）、Windows 11、および古いサーバーバージョンで同一です。ただし、古いデバイスはテレメトリデータが欠如している場合があり、手動での更新が必要です。

診断ツールとリソース

イベントログ、特にTPM-WMIイベントログは、セキュアブートの問題を診断する上で重要です。主な指標には以下が含まれます：

• 無効または署名されていないプラットフォームキーのエラー1803。
• 2023年版のKEKおよびDB証明書の確認。

Microsoftの中心的なリソースであるaka.ms/GetSecureBootでは、包括的なプレイブック、診断スクリプト、OEMファームウェアリンクが提供されています。管理者は、スムーズな更新を確保するためにMicrosoftの「最初に1つテストする」というアドバイスに従うことを推奨します。

まとめとして、Microsoftの段階的な展開と診断ツールは、セキュアブートコンプライアンスを確保しつつ中断を最小限に抑えるよう設計されています。KEKの有効期限が近づく中、IT管理者は潜在的なセキュリティリスクを回避するために迅速に行動することを推奨します。