元の発行日: 2025 年 6 月 26 日
KB ID: 5062710
セキュア ブートとは
セキュア ブートは、統合拡張ファームウェア インターフェイス (UEFI) ベースのファームウェアのセキュリティ機能であり、デバイスのブート (開始) シーケンス中に信頼されたソフトウェアのみが実行されるようにするのに役立ちます。 これは、デバイスのファームウェアに格納されている信頼されたデジタル証明書 (証明機関または CA とも呼ばれます) のセットに対して、プレブート ソフトウェアのデジタル署名を検証することによって機能します。 業界標準として、UEFI セキュア ブートは、プラットフォーム ファームウェアが証明書を管理する方法、ファームウェアを認証する方法、およびオペレーティング システム (OS) がこのプロセスとどのようにインターフェイスするかを定義します。 UEFI とセキュア ブートの詳細については、「 セキュア ブート」を参照してください。
セキュア ブートは、その時点で新たに発生するプレブートマルウェア (ブートキットとも呼ばれます) の脅威から保護するために、Windows 8で最初に導入されました。 プラットフォームの初期化の一環として、セキュア ブートは実行前にファームウェア モジュールを認証します。 これらのモジュールには、UEFI ファームウェア ドライバー (Option ROM など)、ブート ローダー、アプリケーションが含まれます。 セキュア ブート プロセスの最後の手順として、ファームウェアはセキュア ブートがブート ローダーを信頼するかどうかを確認します。 その後、ファームウェアはブート ローダーに制御を渡します。これにより、検証、メモリへの読み込み、Windows OS の起動が行われます。
セキュア ブートは、製造中にファームウェア ポリシー セットを使用して信頼されたコードを定義します。 証明書の追加や取り消しなどのこのポリシーの変更は、キーの階層によって制御されます。 この階層は、通常、ハードウェアの製造元が所有するプラットフォーム キー (PK) で始まり、その後にキー登録キー (KEK) (キー交換キーとも呼ばれます) が続きます。これには、Microsoft KEK やその他の OEM KEK が含まれる場合があります。 許可された署名データベース (DB) と許可されていない署名データベース (DBX) によって、OS が起動する前に UEFI 環境で実行できるコードが決まります。 DB には Microsoft と OEM によって管理される証明書が含まれますが、DBX は最新の失効で Microsoft によって更新されます。 KEK を持つ任意のエンティティは、DB と DBX を更新できます。
2026 年に有効期限が切れる Windows セキュア ブート証明書
Windows ではセキュア ブート のサポートが導入されて以来、すべての Windows ベースのデバイスで KEK と DB に同じ Microsoft 証明書のセットが含まれます。 これらの元の証明書の有効期限が近づき、一覧に記載されている証明書のバージョンがある場合、デバイスは影響を受けます。 Windows の実行を続行し、セキュア ブート構成の定期的な更新プログラムを受信するには、これらの証明書を更新する必要があります。
用語
-
KEK: キー登録キー
-
CA: 証明機関
-
DB: セキュア ブート署名データベース
-
DBX: セキュア ブート失効署名データベース
|
証明書の有効期限切れ |
有効期限 |
新しい証明書 |
場所の格納 |
目的 |
|
Microsoft Corporation KEK CA 2011 |
2026 年 6 月 |
Microsoft Corporation KEK CA 2023 |
KEK に格納されている |
DB と DBX の更新を署名します。 |
|
Microsoft Windows Production PCA 2011 |
2026 年 10 月 |
Windows UEFI CA 2023 |
DB に格納されている |
Windows ブート ローダーの署名に使用されます。 |
|
Microsoft UEFI CA 2011* |
2026 年 6 月 |
Microsoft UEFI CA 2023 |
DB に格納されている |
サード パーティ製のブート ローダーと EFI アプリケーションに署名します。 |
|
Microsoft UEFI CA 2011* |
2026 年 6 月 |
Microsoft Option ROM CA 2023 |
DB に格納されている |
サード パーティのオプション ROM に署名する |
*Microsoft Corporation UEFI CA 2011 証明書の更新中に、2 つの証明書がオプション ROM 署名からブート ローダー署名を分離します。 これにより、システムの信頼を細かく制御できます。 たとえば、オプション ROM を信頼する必要があるシステムでは、サードパーティのブート ローダーに対する信頼を追加することなく、Microsoft Option ROM UEFI CA 2023 を追加できます。
Microsoft は、Windows デバイスでのセキュア ブート保護の継続性を確保するために、更新された証明書を発行しました。 Microsoft は、これらの新しい証明書の更新プロセスを Windows デバイスの大部分で管理します。 さらに、独自のデバイス更新プログラムを管理する組織に関する詳細なガイダンスを提供します。
重要 2011 CA の有効期限が切れると、新しい 2023 証明書を持たない Windows デバイスは、Windows ブートのセキュリティを損なうプレブート コンポーネントのセキュリティ修正プログラムを受け取れなくなります。
コール トゥ アクション:
2026 年に証明書の有効期限が切れたときに Windows デバイスのセキュリティを確保するために、アクションを実行する必要がある場合があります。 UEFI セキュア ブート DB と KEK の両方を、対応する新しい 2023 証明書バージョンで更新する必要があります。 新しい証明書の詳細については、「Windows セキュア ブート キーの作成と管理に関するガイダンス」を参照してください。
重要 更新プログラムがない場合、セキュア ブート対応 Windows デバイスは、セキュリティ更新プログラムを受け取ったり、新しいブート ローダーを信頼したりしないと、保守性とセキュリティの両方が損なわれるリスクがあります。
操作は、使用している Windows デバイスの種類によって異なります。 左側のメニューから、実行する必要があるデバイスの種類と特定のアクションを選択します。
