Windows セキュア ブート証明書の有効期限
重要: ほとんどの Windows デバイスで使用されるセキュア ブート証明書の有効期限は、2026 年 6 月以降に設定されます。 これは、特定の個人用デバイスとビジネス デバイスが時間内に更新されていない場合に安全に起動する機能に影響する可能性があります。 中断を回避するために、ガイダンスを確認し、証明書を事前に更新するためのアクションを実行することをお勧めします。
Windows デバイス向けの詳細と準備手順については、「Windows セキュア ブート証明書の有効期限と CA 更新プログラム」を参照してください
Windows サーバー向けの詳細と準備手順については、以下のリソースを参照してください。
概要
この記事では、この累積的なセキュリティ更新プログラムに含まれるセキュリティの問題と品質の向上について説明します。
適用対象: ESU のWindows 10
重要: EKB KB5015684 を使用して、Windows 10 バージョン 22H2 に更新します。
このセキュリティ更新プログラムには、次の更新プログラムの一部である修正プログラムと品質の向上が含まれています。
この更新プログラムをインストールするときにこの更新プログラムが対処する問題の概要を次に示します。 新しい機能がある場合は、それらの機能も一覧表示されます。 角かっこ内の太字のテキストは、ドキュメント化する変更の項目または領域を示します。
-
[リモート デスクトップのセキュリティ警告 (既知の問題)] 修正済み: ディスプレイのスケーリング設定が異なるマルチモニター構成で、リモート デスクトップ接続のセキュリティ警告ダイアログが正しく表示されない問題を修正しました。 この問題は、2026 年 4 月 14 日 (KB5082200) にリリースされた Windows セキュリティ更新プログラムをインストールした後に発生する可能性があります。
-
[セキュア ブート]
-
この更新プログラムにより、Windows セキュリティ アプリのセキュア ブート状態の動的状態レポートが有効になります。
-
この更新プログラムでは、Windows 品質の更新プログラムには、データを対象とする信頼性の高いデバイスが追加され、新しいセキュア ブート証明書を自動的に受信できるデバイスの範囲が広がります。 デバイスは、十分な正常な更新シグナルを示し、制御された段階的なロールアウトを維持した後にのみ、新しい証明書を受け取ります。
-
-
[夏時間] 2023 年の政府 DST 変更順序をサポートするアラブ共和国のエジプトの更新。
以前の更新プログラムをインストール済みであれば、このパッケージに含まれる新しい更新プログラムのみがダウンロードされ、デバイスにインストールされます。
セキュリティの脆弱性の詳細については、新しいセキュリティ更新プログラム ガイドの Web サイトと 2026 年 5 月のセキュリティ Updatesを参照してください。
Windows 更新プログラムの用語については、Windows 更新プログラムの種類と毎月の品質更新プログラムの種類に関する記事を参照してください。 バージョン 22H2 Windows 10の概要については、その更新履歴ページを参照してください。
この更新プログラムの既知の問題
-
BitLocker 回復キーを入力するには、非コミット BitLocker グループ ポリシー構成のデバイスが必要な場合があります 症状
この更新プログラムをインストールした後、推奨されていない BitLocker グループ ポリシー構成を伴う一部のデバイスは、初回の再起動時に BitLocker 回復キーの入力が必要になる場合があります。
この問題は、次のすべての条件が当てはまる限られた数のシステムにのみ影響します。 これらの条件は、IT 部門によって管理されていない個人用デバイスで該当する可能性はほとんどありません。
-
OS ドライブで BitLocker が有効になっている。
-
グループ ポリシー「ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成」が設定されており、PCR7 が検証プロファイルに含まれている (または同等のレジストリ キーが手動で設定されている) 。
-
システム情報 (msinfo32.exe) が、セキュア ブート状態の PCR7 バインドを「不可能」と報告している。
-
Windows UEFI CA 2023 証明書がデバイスのセキュア ブート署名データベース (DB) に存在し、2023 年署名の Windows ブート マネージャーを既定に設定できる状態になっている。
-
デバイスが 2023 年署名の Windows ブート マネージャーをまだ実行していない。
このシナリオでは、BitLocker 回復キーは 1 回だけ入力する必要があります。グループ ポリシーの構成が変更されていない限り、以降の再起動では BitLocker 回復画面はトリガーされません。 BitLocker 回復キーを見つける方法については、「BitLocker 回復キーを見つける」を参照してください。
企業は、この更新プログラムをインストールする前に、BitLocker グループ ポリシーを監査して PCR7 が明示的に含まれているか確認し、msinfo32.exe の PCR7 バインド状態をチェックすることを推奨します。
解決策
現在、解決に向けて取り組んでおります。準備ができ次第、詳細をお伝えいたします。
この問題を一時的に回避するには、更新プログラムをインストールする前にグループ ポリシー構成を削除してください (推奨)
-
グループ ポリシー エディター (gpedit.msc) またはグループ ポリシー管理コンソールを開きます。
-
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブの暗号化] > [オペレーティング システム ドライブ] に移動します。
-
「ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成」を「未構成」に設定します。
-
影響を受けるデバイスで次のコマンドを実行し、ポリシーの変更を反映させます: gpupdate /force
-
BitLocker が C: ドライブで有効になっている場合、次のコマンドを実行して BitLocker を一時停止します: manage-bde -protectors -disable C:
-
BitLocker が C: ドライブで有効になっている場合、次のコマンドを実行して BitLocker を再開します: manage-bde -protectors -enable C:
-
これにより、BitLocker のバインドが Windows が選択した既定の PCR プロファイルを使用するように更新されます。
-
適用対象: Windows 10 Enterprise LTSC 2021 および Windows 10 IoT Enterprise LTSC 2021
重要: EKB KB5003791を使用して、サポートされているエディションのバージョン 21H2 Windows 10に更新します。
このセキュリティ更新プログラムには、次の更新プログラムの一部である修正プログラムと品質の向上が含まれています。
この更新プログラムをインストールするときにこの更新プログラムが対処する問題の概要を次に示します。 新しい機能がある場合は、それらの機能も一覧表示されます。 角かっこ内の太字のテキストは、ドキュメント化する変更の項目または領域を示します。
-
[リモート デスクトップのセキュリティ警告 (既知の問題)] 修正済み: ディスプレイのスケーリング設定が異なるマルチモニター構成で、リモート デスクトップ接続のセキュリティ警告ダイアログが正しく表示されない問題を修正しました。 この問題は、2026 年 4 月 14 日 (KB5082200) にリリースされた Windows セキュリティ更新プログラムをインストールした後に発生する可能性があります。
-
[セキュア ブート]
-
この更新プログラムにより、Windows セキュリティ アプリのセキュア ブート状態の動的状態レポートが有効になります。
-
この更新プログラムでは、Windows 品質の更新プログラムには、データを対象とする信頼性の高いデバイスが追加され、新しいセキュア ブート証明書を自動的に受信できるデバイスの範囲が広がります。 デバイスは、十分な正常な更新シグナルを示し、制御された段階的なロールアウトを維持した後にのみ、新しい証明書を受け取ります。
-
-
[夏時間] 2023 年の政府 DST 変更順序をサポートするアラブ共和国のエジプトの更新。
以前の更新プログラムをインストール済みであれば、このパッケージに含まれる新しい更新プログラムのみがダウンロードされ、デバイスにインストールされます。
セキュリティの脆弱性の詳細については、新しいセキュリティ更新プログラム ガイドの Web サイトと 2026 年 5 月のセキュリティ Updatesを参照してください。
Windows 更新プログラムの用語については、Windows 更新プログラムの種類と毎月の品質更新プログラムの種類に関する記事を参照してください。 バージョン 22H2 Windows 10の概要については、その更新履歴ページを参照してください。
この更新プログラムの既知の問題
-
BitLocker 回復キーを入力するには、非コミット BitLocker グループ ポリシー構成のデバイスが必要な場合があります 症状
この更新プログラムをインストールした後、推奨されていない BitLocker グループ ポリシー構成を伴う一部のデバイスは、初回の再起動時に BitLocker 回復キーの入力が必要になる場合があります。
この問題は、次のすべての条件が当てはまる限られた数のシステムにのみ影響します。 これらの条件は、IT 部門によって管理されていない個人用デバイスで該当する可能性はほとんどありません。
-
OS ドライブで BitLocker が有効になっている。
-
グループ ポリシー「ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成」が設定されており、PCR7 が検証プロファイルに含まれている (または同等のレジストリ キーが手動で設定されている) 。
-
システム情報 (msinfo32.exe) が、セキュア ブート状態の PCR7 バインドを「不可能」と報告している。
-
Windows UEFI CA 2023 証明書がデバイスのセキュア ブート署名データベース (DB) に存在し、2023 年署名の Windows ブート マネージャーを既定に設定できる状態になっている。
-
デバイスが 2023 年署名の Windows ブート マネージャーをまだ実行していない。
このシナリオでは、BitLocker 回復キーは 1 回だけ入力する必要があります。グループ ポリシーの構成が変更されていない限り、以降の再起動では BitLocker 回復画面はトリガーされません。 BitLocker 回復キーを見つける方法については、「BitLocker 回復キーを見つける」を参照してください。
企業は、この更新プログラムをインストールする前に、BitLocker グループ ポリシーを監査して PCR7 が明示的に含まれているか確認し、msinfo32.exe の PCR7 バインド状態をチェックすることを推奨します。
解決策
現在、解決に向けて取り組んでおります。準備ができ次第、詳細をお伝えいたします。
この問題を一時的に回避するには、更新プログラムをインストールする前にグループ ポリシー構成を削除してください (推奨)
-
グループ ポリシー エディター (gpedit.msc) またはグループ ポリシー管理コンソールを開きます。
-
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブの暗号化] > [オペレーティング システム ドライブ] に移動します。
-
「ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成」を「未構成」に設定します。
-
影響を受けるデバイスで次のコマンドを実行し、ポリシーの変更を反映させます: gpupdate /force
-
BitLocker が C: ドライブで有効になっている場合、次のコマンドを実行して BitLocker を一時停止します: manage-bde -protectors -disable C:
-
BitLocker が C: ドライブで有効になっている場合、次のコマンドを実行して BitLocker を再開します: manage-bde -protectors -enable C:
-
これにより、BitLocker のバインドが Windows が選択した既定の PCR プロファイルを使用するように更新されます。
-
Windows 10 サービス スタック更新プログラム (KB5084130) - バージョン 19041.7183
Microsoft では、お使いのオペレーティング システム用の最新のサービス スタック更新プログラム (SSU) を最新の累積更新プログラム (LCU) と組み合わせて提供するようになりました。 SU は更新プロセスの信頼性を向上させ、Windows 更新プログラムをインストールするコンポーネントであるサービス スタックの修正プログラムを含みます。
注: このサービス スタック更新プログラム (SSU) には、検証のために更新された証明書チェーンを利用して、デバイスがAzureでホストされているかどうかを確認するための強化されたロジックが含まれています。 デバイスが必要な証明書更新ドメインにアクセスして証明書の更新プログラムを正常にダウンロードおよびインストールできるようにするには、「証明書のダウンロードと失効リスト」および「証明機関の詳細Azure」を参照してください。 SU の詳細については、「 サービス スタックの更新プログラム」を参照してください。
この更新プログラムの入手方法
この更新プログラムをインストールする前に
重要 最新のサービス スタック更新プログラム (SSU) がインストールされている必要があります。 Windows 更新プログラムを適用する前に最新の SSU をインストールしないと、最新の SSU がインストールされるまで Windows 更新プログラムが提供されない可能性があります。
展開
この更新プログラムを展開する場合は、インストール シナリオに基づいて次のいずれかを選択します。
オフライン OS イメージ サービスの場合
-
イメージに 2023 年 7 月 25 日 (KB5028244) 以降の LCU がない場合は、この更新プログラムをインストールする前に、特別なスタンドアロンの 2023 年 10 月 13 日 SSU (KB5031539) をインストールする必要があります。
Windows Server Update Services (WSUS) の展開の場合、または Microsoft Update Catalog からスタンドアロン パッケージをインストールする場合
-
デバイスに 2021 年 5 月 11 日 (KB5003173) 以降の LCU がない場合は、この更新プログラムをインストールする前に、特別なスタンドアロンの 2021 年 8 月 10 日、SSU (KB5005260) をインストールする必要があります。
この更新プログラムを取得してインストールする
この更新プログラムを取得してインストールするには、次のいずれかの Windows および Microsoft リリース チャネルを使用します。
|
使用可能 |
次の手順 |
|
|
この更新プログラムは、Windows Update から自動的にダウンロードおよびインストールされます。 |
|
利用可能 |
次の手順 |
|
|
この更新プログラムは、構成されたポリシーに従って、Windows Update for Business から自動的にダウンロードおよびインストールされます。 |
|
使用可能 |
次の手順 |
|
|
この更新プログラムのスタンドアロン パッケージを取得するには、 Microsoft Update Catalog Web サイトにアクセスします。 更新プログラム カタログから更新プログラムをダウンロードしてインストールする方法については、「Windows Update カタログからドライバーと修正プログラムを含む更新プログラムをダウンロードする方法」を参照してください。 |
|
使用可能 |
次の手順 |
|
|
製品と分類を次のように構成すると、この更新プログラムはWindows Server Update Services (WSUS) と自動的に同期されます。
製品と分類に基づいて同期するように WSUS サーバーを設定するには、「製品と 分類による更新プログラムの同期」を参照してください。 WSUS に更新プログラムを手動でインポートするには、「 PowerShell を使用して WSUS に更新プログラムをインポートする」を参照してください。 |
ファイル情報
この更新プログラムに含まれるファイルの一覧は、CSV (コンマ区切り) (*.csv) ファイルで提供されます。 ファイルは、メモ帳などのテキスト エディターや Microsoft Excel で開くことができます。
注: このソフトウェア更新プログラムの英語 (米国) バージョンには、追加の言語用のファイルが含まれている場合があります。
関連情報
この更新プログラムを削除する場合
注意 この更新プログラムを削除する前に、「 リスクについて: セキュリティ更新プログラムをアンインストールしない理由」を参照してください。
SSU と LCU の統合パッケージをインストールした後に LCU を削除するには、DISM/Remove-Package コマンド ライン オプションに LCU パッケージ名を引数として指定します。 パッケージ名を調べるには、次のコマンドを使用します。DISM /online /get-packages。
複合パッケージの /uninstall スイッチを使用して Windows Update スタンドアロン インストーラー (wusa.exe) を実行しても、複合パッケージに SSU が含まれているため動作しません。 インストール後に SSU をシステムから削除することはできません。
Microsoft Store アプリケーションの更新に関する通知
Windows 更新プログラムでは、Microsoft Store アプリケーションの更新プログラムはインストールされません。 エンタープライズ ユーザーの場合は、「Microsoft Store アプリ - Configuration Manager」を参照してください。 コンシューマー ユーザーの場合は、「 Microsoft Store でアプリとゲームの更新プログラムを取得する」を参照してください。
サポート終了情報
Windows 10、バージョン 21H2/22H2 および Windows 10 Enterprise LTSC 2021 のサポート終了
以下の終了日をもって Windows Update を介した無料ソフトウェア更新プログラム、テクニカル サポート、セキュリティ修正プログラムが Microsoft から提供されなくなります。
♦ Windows 10バージョン 21H2: サポートは 2023 年 6 月 13 日に終了しました
♦ Windows 10バージョン 22H2: サポートは 2025 年 10 月 14 日に終了しました
♦ Windows 10 Enterprise LTSC 2021: 2027 年 1 月 12 日
♦ Windows 10 IoT Enterprise LTSC 2021: 2032 年 1 月 13 日
注: Windows 10 の重要で重要なセキュリティ更新プログラムを引き続き受け取る場合は、「Windows 10 拡張セキュリティ更新プログラム (ESU)」を参照してください。 それ以外の場合は、新しいバージョンの Windows にアップグレードすることをお勧めします。
