Windows 11、セキュアブート2023証明書の更新を2026年6月のパッチ火曜日アップデートで自動展開

2026年6月のパッチ火曜日アップデート（KB5094126）により、Microsoftはセキュアブート2023証明書の更新の展開をWindows 11およびWindows 10デバイスのより広範な範囲に拡大しました。約2年間、この展開はファームウェア互換性チェックのため慎重かつ段階的に行われてきました。しかし、この最新のアップデートにより、Microsoftが診断データを持つサポートされているほとんどの消費者向けPCが高い信頼性カテゴリに分類されました。これは、証明書がすでに適用されているか、ユーザーの操作を必要とせずに自動的に適用されていることを意味します。

セキュアブートは、多くのWindowsユーザーにとって誤解されているトピックです。IT専門家には馴染みがあるかもしれませんが、一般の家庭ユーザーは対応が必要かどうかをよく疑問に思います。ほとんどのユーザーにとっての短い答えはいいえです。ただし、特定のシナリオでは追加の注意が必要な場合があります。以下で詳しく説明します。

セキュアブートとは何か、そしてPCにとってなぜ重要なのか？

セキュアブートは、PCのファームウェアに組み込まれたセキュリティ機能であり、特に旧BIOSシステムに代わるUEFI（統一拡張ファームウェアインターフェイス）内にあります。コンピュータの電源を入れると、セキュアブートはWindowsが起動する前にソフトウェアの暗号署名を検証します。このプロセス中にルートキットやブートキットなどの不正なソフトウェアが実行されようとすると、セキュアブートがそれをブロックします。この機能はWindows 11のリリース以来必須であり、ほとんどの最新のPCでデフォルトで有効になっています。

セキュアブートをサポートする元の証明書は2011年に発行されましたが、2026年6月24日から10月にかけて期限切れとなるため段階的に廃止されています。Microsoftは、古い証明書の期限切れ後もPCが安全でブートレベルの更新を受け取れるようにするために、セキュアブート2023と呼ばれる新しい証明書を配信しています。

通常のWindows 11または10ユーザーがすべきこと

ほとんどの家庭ユーザーにとって手動での操作は必要ありません。セキュアブート2023証明書はWindows Updateを通じて配信されます。デバイスが対象であり、Windows Updateが一時停止していない場合、アップデートはバックグラウンドで自動的に行われます。ただし、アップデート状況を確認することをお勧めします:

1. Windowsセキュリティアプリを開きます。
2. デバイスセキュリティ > セキュアブートに移動します。
3. 状態インジケータを確認します:
   • 緑のチェックマーク: PCは完全に更新されており、追加の操作は不要です。
   • 黄色の警告: 証明書の更新が保留中です。Windows Updateが実行中であることを確認し、待機してください。
   • 赤い警告: ファームウェアの互換性問題を示します。デバイスメーカーのサポートページを訪れ、最新のBIOS/UEFIアップデートをダウンロードしてインストールしてください。

一部のユーザーは、最近のアップデート中にPCが複数回再起動することを観察しています。Microsoftは、セキュアブート証明書の更新プロセスが複数の段階を含むため、これが予想される動作であることを確認しました。これには、証明書のステージング、適用、およびブートローダーを更新するための再起動が含まれます。

C:\Windows内に新しいSecureBootフォルダを見つけた場合、それを削除しないでください。このフォルダは、Windowsがファームウェアにフラッシュする前に暗号化ファイルをステージングするために使用されます。削除すると、アップデートプロセスが中断する可能性があります。

古いPCと互換性

古いPCはさまざまなカテゴリに分類されます:

• 最近のPC（2020年以降）: 6月のアップデートはこれらのデバイスに自動的に適用される可能性が高いです。
• 中期のPC（2015年～2019年）: Microsoftが互換性データを収集するのに追加の時間が必要な場合があります。
• 非常に古いPC: 一部では未解決のファームウェア問題のため、アップデートを受け取らない可能性があります。その場合、手動でのトラブルシューティングまたはメーカーのサポートが必要になる場合があります。

家庭ユーザーは、BIOS設定やレジストリキーを手動で変更する必要はありません。Microsoftは、Windows Updateを通じてアップデートを受け取るデバイスの場合、プロセスが自動的であると述べています。

HPデバイス – 特定の問題

HPユーザーは、2026年4月の一部のBIOSアップデートが特定のプレミアムノートPCやワークステーションでBitLockerリカバリーループやブート失敗を引き起こしたことに注意してください。HPはこの問題に対処するため、更新されたファームウェアをリリースしました。このような問題が発生した場合、HPのサポートページで最新のBIOSアップデートを確認し、インストールしてから続行してください。

IT管理者が知っておくべきこと

2026年6月のアップデートにより、Microsoftの高信頼性データベース内のデバイスリストが大幅に拡大され、ほとんどの管理システムで自動的な証明書更新が可能になりました。Intuneを通じてデバイスを管理する管理者は、Intuneセキュアブート監視レポートを使用してアップデートの進行状況を監視できます。このレポートでは、管理対象デバイスのステータスがハイライト表示されます。

高信頼性カテゴリ外のデバイスについては、手動での対応が必要になる場合があります。これには、Intuneポリシー設定やレジストリキーを介したアップデートのトリガーが含まれます。管理者には以下を推奨します:

1. セキュアブート監視レポートを取得します。
2. まだアップデートされていないデバイスを特定します。
3. 少数のデバイスでアップデートをテストします。
4. テストが成功した後にのみ展開を拡大します。

ファームウェア互換性の問題で一時停止しているデバイスについては、OEMファームウェアアップデートが必要です。Microsoftはそのようなケースに対処するための詳細なガイダンスを提供しており、ライブデータの監視を強調し、古いレポートに基づいて行動しないよう推奨しています。

トラブルシューティング用の主要イベントログ

IT管理者は、Windowsイベントビューアーを使用してセキュアブート更新の問題を診断できます:

• イベントID 1801: デバイスが観察中で、さらなるデータを待っています。
• イベントID 1802: ファームウェアレベルの互換性問題を示します。
• イベントID 1808: セキュアブート証明書の更新が正常に完了したことを示します。

結論

セキュアブート証明書の更新は、Windowsデバイスのブートレベルセキュリティを維持するための重要なステップです。ほとんどのユーザーにとって、このプロセスはシームレスで自動的です。大規模なフリートを管理しているIT管理者は、互換性を確保し、アップデートを慎重に監視する必要があります。詳細については、Microsoftの中央リソースaka.ms/GetSecureBootをご覧ください。