セキュア ブートは、統合拡張ファームウェア インターフェイス (UEFI) ベースのファームウェアのセキュリティ機能であり、デバイスのブート (開始) シーケンス中に信頼されたソフトウェアのみが実行されるようにするのに役立ちます。 これは、デバイスのファームウェアに格納されている信頼されたデジタル証明書 (証明機関または CA とも呼ばれます) のセットに対して、プレブート ソフトウェアのデジタル署名を検証することによって機能します。 業界標準として、UEFI セキュア ブートは、プラットフォーム ファームウェアが証明書を管理する方法、ファームウェアを認証する方法、およびオペレーティング システム (OS) がこのプロセスとどのようにインターフェイスするかを定義します。
2026 年に有効期限が切れる Windows セキュア ブート証明書
Windows デバイスのセキュリティを維持するために、Microsoft はセキュア ブートで使用される証明書を更新しています。これは、起動時に デバイスをマルウェアから保護するのに役立つセキュリティ機能です。 2011 年に最初に発行されたこれらの証明書は、 2026 年 6 月から期限切れに設定されています。 保護を維持するには、その前にデバイスで 2023 セキュア ブート証明書の新しいセットを受け取る必要があります。 ほとんどのユーザーにとって、必要な更新プログラムは Windows Updates経由で自動的に配信され、ユーザーアクションは必要ありません。
更新プログラムが正常に適用されたかどうかは、「Windows セキュリティ アプリのセキュア ブート証明書の更新状態」で説明されているように、Windows セキュリティ アプリを通じて確認できます。 organizationの IT プロフェッショナルは、PowerShell 検出スクリプトを使用してマネージド デバイスの状態を確認することもできます。
これは Surface デバイスにどのような影響を与えますか?
2024 以降でリリースされたすべての Surface デバイスには、新しい 2023 セキュア ブート証明書を含む更新された UEFI セキュア ブート署名データベース (DB) があります。 以前の Surface デバイスの場合、必要な更新プログラムがウィンドウ更新プログラムを通じて自動的に配信されるのを待つ必要がない場合、それらのデバイスには既に IT で管理された更新プログラムが既に用意されている場合は、いくつかの展開方法を使用できます。
一部の Surface デバイスでは、これらのセキュア ブート更新プログラムを UEFI 経由で展開することもできますが、これには追加の手順とユーザーの介入が必要です。 次の表は、これらの更新プログラムを手動で展開する準備ができているデバイスを示していますが、そうすると BitLocker 回復シナリオがトリガーされるため、次の手順 を実行する場合は、BitLocker 回復キーを使用できることを確認してください 。
1. 音量を上げて電源を入れ、UEFI ファームウェア設定メニューを起動します
2. [セキュリティ ] セクションに移動し、[ セキュア ブート ] で [構成の変更] ボタンをクリックします
3. ドロップダウン メニューで [Microsoft のみ] を選択し、[OK] を選択します
4. 設定メニューの左側で、[ 終了 ] オプションを選択し、[今すぐ再起動] を選択します
セキュア ブート証明書の更新に使用する方法に関係なく、次の表 (および 2024 以降でリリースされた) のすべての Surface デバイスは、これらの証明書を必要とする Microsoft から入手できる 回復イメージを更新 しています。
| 製品名 | 利用可能なセキュア ブート更新プログラムを含む UEFI の最小バージョン |
|---|---|
| Surface Hub 31 | 6.104.143.0 |
| Surface Go 4 | 8.200.143.0 |
| Surface Laptop Go 3 | 10.200.143.0 |
| Surface Laptop Studio 2 | 16.200.143.0 |
| Surface Laptop 5 | 9.200.143.0 |
| Surface Pro 9 | 12.200.143.0 |
| Surface Pro 9 と 5G | 18.7.235.0 |
| Windows Dev Kit 2023 | 12.6.235.0 |
| Surface Studio 2+ | 20.101.143.0 |
| Surface Laptop Go 2 | 26.102.143.0 |
| Surface Laptop SE | 7.9.139.0 |
| Surface Pro X WiFi | 10.703.140.0 |
| Surface Go 3 | 11.200.143.0 |
| Surface Pro 8 | 23.200.143.0 |
| Surface Laptop Studio | 23.200.143.0 |
| Surface Laptop 4 (Intel) | 23.200.143.0 |
| Surface Laptop 4 (AMD) | 4.200.140.0 |
| Surface Pro 7+ | 23.200.143.0 |
| Surface Pro 7 | 17.200.140.0 |
| Surface Book 3 | 17.200.140.0 |
1Surface Hub 3 回復イメージは、Windows 11に移行されたハブ 2S デバイスで使用できます。
IT プロフェッショナルと組織のその他のオプション
Windows Assessment and Deployment Kit (ADK) では、バージョン 10.1.26100.2454 (2024 年 12 月) の 2023 CA のサポートが追加され、更新された証明書を使用して新しい Windows プレインストール環境 (WinPE) イメージを作成できます。 既存のイメージは、次のガイダンスに従って更新できます。 Windows ブート可能なメディアを更新して、PCA2023署名されたブート マネージャーを使用します。