社内SEのトラブル対応

【最終結論】2026年6月セキュアブート証明書失効問題とは何か?企業は本当に対応が必要か

nasubi

2026年6月、Windowsで使用されている古いセキュアブート証明書(2011年発行)が有効期限を迎えます。

結論から言います。

Contents

■ 結論

PCは直ちに起動不能にはなりません。
しかし、ブートレベルのセキュリティ更新を受け取れなくなる重大問題が発生します。

1. 失効するとどうなるのか?

■(A)PCは普通に起動する

Microsoft公式でも明言されていますが、
古い証明書が失効しても即座に起動不能にはなりません。

旧証明書で署名されたBoot Managerは引き続き起動します。

■(B)しかし重大なリスクが発生する

失効後に発生する本当の問題はここです。

つまり、

起動はできるが、起動前セキュリティが強化されないPCになる

■ 将来的に起こり得る問題

これは「今すぐ壊れる問題」ではなく、
徐々に危険度が増していくタイプの問題です。

2. 企業PCはなぜ影響が大きいのか

■(1)セキュアブート依存機能が多い

企業環境ではブートの信頼性=セキュリティ基盤です。

証明書が更新されない状態は、
将来のセキュリティ要件を満たせなくなる可能性があります。

■(2)古いUEFI / BIOS機種は特に注意

特に5年以上前のモデルは検証必須です。

■(3)最悪ケース:起動不能シナリオ

以下が重なると起動不能になります。

特にSecure Bootキー初期化 / DBクリア実行時は高リスクです。

■(4)閉域網・診断データOFF環境は危険

証明書更新は段階的ロールアウト方式。

診断データを送信していない端末は、 更新対象から外れる可能性があります。

3. KB5077181を入れないとどうなる?

■(A)証明書更新の前提条件を満たせない

KB5077181には 新証明書配布のためのターゲティングデータが含まれます。

未適用の場合:

■(B)Boot Manager更新が開始されない

2011 → 2023証明書への移行は段階的。

KB5077181未適用では、 移行プロセス自体が始まりません。

■(C)結果:徐々に弱くなる企業PC

これは「今は問題ない」ように見えて、 将来の技術的負債になる状態です。

4. 企業で必ず行うべき検証(PowerShell)

◆ DBに “Windows UEFI CA 2023” があるか

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).Bytes) -match "Windows UEFI CA 2023"

True → 反映済み
False → 未反映

◆ KEKが更新されているか

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name KEK).Bytes)

“Microsoft Corporation KEK CA 2023” を確認

◆ イベントログ確認

Get-WinEvent -LogName System | Where-Object {$_.Id -eq 1801 -or $_.Id -eq 1808} | Select TimeCreated, Id, Message

5. 最終まとめ(企業向け重要ポイント)

■ 社内SEとしての最終判断

これは「不具合」ではありません。

ブートレベルのセキュリティ世代交代です。

企業環境では

を強く推奨します。

「起動するから大丈夫」ではなく、
「更新できる状態を維持できているか」が今後の判断基準です。

モバイルバージョンを終了