元の発行日: 2025 年 9 月 15 日
KB ID: 5068008
一般的なセキュア ブートに関する FAQ
セキュア ブート証明書は、2026 年 6 月の有効期限より前に更新することをお勧めします。
デバイスが Microsoft によって管理され、診断データを Microsoft と共有している場合、ほとんどの場合、Microsoft はセキュア ブート証明書を自動的に更新しようとします。 Microsoft はセキュア ブートの更新に最善を尽くしますが、更新プログラムの適用が保証されず、顧客の操作が必要になる場合があります。 お客様は、セキュリティで保護されたブート証明書を更新する責任を最終的に負います。
診断データが共有されている Microsoft マネージド デバイスが更新されない状況の例を次に示します。
-
Microsoft Secure Boot の更新プログラムは、サポートされている一部のバージョンの Windows でのみ動作します。
-
デバイスで有効になっている診断データは、organizationのファイアウォールによってブロックされ、Microsoft に到達しない可能性があります。
-
デバイスのファームウェアに問題がある可能性があります。
注 "Microsoft によって管理される" とはどういう意味ですか? システムは診断データを共有し、Microsoft Cloud または Intune によって管理されます。
デバイスが Microsoft と診断データを共有せず、organizationの IT 部門または顧客によって管理されている場合、IT 部門は、Windows Secure Boot 証明書の有効期限と CA 更新に関する Microsoft のガイダンスに従ってシステムを更新できます。
コンピューターが Microsoft によって管理されている場合、セキュア ブート証明書はWindows Updateによって更新されます。
コンピューターがorganizationまたはビジネス IT 管理者によって管理されている場合、IT 部門には、Windows セキュア ブート証明書の有効期限と CA の更新に関するガイダンスを使用してシステムを更新する方法があります。
セキュア ブート証明書が更新されていない場合でも、コンピューターは Windows を正常に起動します。 コンピューターは最終的に、ブート マネージャーやセキュア ブート コンポーネントのセキュリティ更新プログラムなど、Microsoft から特定の Windows セキュリティ更新プログラムの受信を停止します。 これにより、コンピューターを完全に制御できる BootKit の危険にさらされます。
Windows 10 サポートは 2025 年 10 月 14 日に終了します。 詳細については、2025 年 10 月 14 日Windows 10サポート終了に関するページを参照してください。
この日以降も引き続きセキュリティ Updatesを受け取るために、Windows 10に残っているお客様は次のユーザーにサインアップできます。
-
拡張セキュリティ Updates (ESU) プログラムWindows 10、「拡張セキュリティ Updates (ESU) プログラムのWindows 10」を参照してください。
-
または、サポートされている LTSC バージョンのWindows 10がある場合は、LTSC の有効期限が切れるまでセキュリティ Updatesが引き続き取得されます。 たとえば、Windows 10の拡張セキュリティ Updates (ESU) プログラムに関するページを参照してください。
注:
-
Windows 10 Enterprise LTSC は、スタンドアロン SKU として、または Windows Enterprise E3 サブスクリプションの一部として購入できます。
-
Windows IoT Enterprise LTSC は、OEM から直接購入することも、スタンドアロン SKU としてベンダー ライセンスを通じて購入することもできます。
カスタマー/IT マネージド システムのセキュア ブートに関する FAQ
次の 2 つのパスが考えられます。
-
コンピューターが診断データを共有して Microsoft によって管理されていて、OS がサポートされている場合、Microsoft は更新を試みます。
-
デバイスが IT 管理者によって管理または管理されている場合、IT 部門は、 Windows Secure Boot 証明書の有効期限と CA 更新プログラムに関する Microsoft ガイダンスに従って更新プログラムを安全に取得できる、検証済みの一連のコンピューターに更新プログラムを適用できます。
これらの手順は、OEM からのファームウェア更新を必要とせずに、ほとんどのお客様に対応することが期待されます。 ただし、デバイス ファームウェアの既知または不明な問題が原因で更新プログラムが適用されない場合があります。 このような場合は、ファームウェアの更新に関する OEM ガイダンスに従ってください。
注 上記のプロセスでは、OS を介してセキュア ブート アクティブ変数が適用されます。 セキュア ブート ファームウェアの既定値は、OEM によってリリースされるファームウェアに保持されます。 ガイダンスは、OEM がファームウェアの既定値を新しい証明書に変更する更新プログラムをリリースしていない限り、セキュア ブート構成を変更または更新しないことをお勧めします。
証明書の有効期限が切れると、セキュア ブート保護が低下します。 システムが Windows 11 などの新しい OS の要件を満たしている場合は、新しい OS バージョンの Windows 11 にアップグレードできます。
Windows 10 LTSC デバイスでセキュア ブートが有効になっていない場合、新しいセキュア ブート証明書の現在のロールアウトには含まれません。 WINDOWS 11 LTSC へのアップグレードを開始するときは、その時点で関連する特定の移行手順に従って、新しい 2023 証明書が確実に含まれるようにする必要があります。
サポートされている Windows OS バージョンのみが証明書を取得します。
証明書の有効期限が切れると、デバイスは変更なしで起動し続けますが、デバイスはブート マネージャーとセキュア ブート コンポーネントのセキュリティ更新プログラムの取得を停止します。 これにより、デバイス上のすべてのセキュリティに影響を与える可能性のある "ブートキット" マルウェアのリスクがデバイス全体に発生します。
仮想環境で実行されている Windows の場合、Secure Boot ファームウェア変数に新しい証明書を追加するには、次の 2 つの方法があります。
-
仮想環境の作成者 (AWS、Azure、Hyper-V、VMware など) は、環境の更新プログラムを提供し、仮想化されたファームウェアに新しい証明書を含めることができます。 これは、新しい仮想化されたデバイスで機能します。
-
VM で長期的に実行されている Windows の場合、仮想化されたファームウェアがセキュア ブート更新プログラムをサポートしている場合は、他のデバイスと同様に Windows を介して更新プログラムを適用できます。
これらの顧客/IT 管理環境では、多くの場合、Microsoft が新しい機能を自信を持って安全にロールアウトするための十分な診断データが不足しています。 さらに、IT 部門は通常、更新のタイミングとコンテンツを完全に制御して、コンプライアンス、安定性、および内部ツールとワークフローとの互換性を確保することを好みます。 多くのエンタープライズ デバイスは、CFR によって暗示される外部アクセスまたは管理が望ましくない、または禁止されている可能性がある、機密性の高い環境や制限された環境でも動作します。
Windows が既に 2023 署名されたブート マネージャーを使用しているが、ファームウェアが Windows UEFI CA 2023 証明書を含まない既定値にリセットされている場合、セキュア ブートはブート プロセスをブロックします。
これを解決するには、回復アプリケーションを使用して 2023 証明書をファームウェアの DB に再適用する必要があります。 これを行うには、回復 USB を作成し、その USB から影響を受けるデバイスを起動して、不足している証明書を復元します。
詳細な手順については、 Windows インストール メディアを更新するための Microsoft の公式ガイダンスを参照してください。
