Windows 11 の 4 月の更新では、セキュア ブート証明書のステータス表示が追加されます

Windows 11 April 2026 Update では、ユーザーがシステムを再インストールせずに Smart App Control をオンまたはオフにできるようにすることに加えて、Microsoft は起動セキュリティに関連する重要な改善も密かに追加しました。Windows セキュリティ センターでセキュア ブート (セキュア ブート) 証明書の状態を直接表示できるようになり、ユーザーは自分のコンピュータに 2023 バージョンのセキュア ブート証明書が適用されているかどうかを確認できるようになりました。

セキュア ブート証明書は、システム起動プロセス中に実行されるソフトウェアが信頼できるかどうかを検証するために使用されます。証明書の有効期限が切れると、理論的には、システムが完全に起動する前に、ブートレベルのマルウェア (ブートキット) によって悪用されたり、攻撃コードが不正に変更されたりする可能性があります。 2011 年に発行された最も古いセキュア ブート証明書は 2026 年 6 月に期限切れになります。Microsoft は以前、これらの古い証明書が Windows Update を通じて新しいセキュア ブート 2023 証明書に置き換えられることを確認しました。しかし、一般のユーザーにとって、自分のコンピュータが新しい証明書に置き換えられたかどうかを判断するための直感的で使いやすい方法が不足していました。

以前は、セキュア ブート 2023 証明書が適用されているかどうかを確認したいユーザーは、PowerShell コマンドやイベント ビューア ログなどのより専門的な方法に頼るしかありませんでしたが、これらは明らかに技術者以外のほとんどのユーザーの日常的な操作には適していませんでした。 4 月の更新後、Windows セキュリティ センターは初めてインターフェイスにセキュア ブート証明書の状態を直接表示し、この「情報ブラック ボックス」問題を解決しました。作成者自身のデバイスを例にとると、Windows セキュリティ センターは、セキュア ブート 2023 証明書が適用され、「これ以上の操作は必要ありません」というプロンプトが表示されたことを示しています。

更新前は、Windows セキュリティ センターの「デバイス セキュリティ」ページには、セキュア ブート機能がオンになっているかどうかに関する情報のみが表示されていました。更新後、ユーザーはセキュア ブートが有効になっているかどうかだけでなく、証明書が最新バージョンに更新されているかどうかも確認できるようになります。このステータスは、「デバイス セキュリティ」の「セキュア ブート」領域にあります。対応するアップデートが完了すると、インターフェイスからより詳細なセキュリティ ステータスのフィードバックが表示されます。

Microsoft によると、このセキュア ブート ステータス表示機能は Windows 11 累積更新プログラム KB5083769 を通じてプッシュされ、ビルド 26200.8246 / 26100.8246 以降のバージョンのシステムに適しています。ただし、すべてのデバイスでこの機能が同時に表示されるわけではありません。 2026 年 4 月末までにすべてのサポート対象デバイスが段階的にカバーされる予定です。Microsoft はサポート文書の中で、バージョン 2023 の証明書は Windows Update を通じて自動的に発行されており、Windows セキュリティ センターのステータス表示により、デバイスがこれらの更新プログラムを受信したかどうか、現在のステータス、追加のアクションが必要かどうかがユーザーに示されると述べています。

新しい設計では、ユーザーは簡単なパスでセキュア ブートのステータスを確認できます。Windows セキュリティ センターを開き、「デバイス セキュリティ」-「セキュア ブート」と入力すると、インターフェイス上のロゴとプロンプト テキストが表示されます。このモジュールは、信号機に似た 3 色のマーキング スキームを使用します。緑色は「完全に更新されており、アクションは必要ありません」を意味します。黄色は「セキュリティ勧告がある」ことを意味し、ファームウェアを更新するにはコンピュータの製造元に問い合わせる必要がある場合があります。赤は「早急な対応が必要」を意味します。これは通常、ハードウェアまたはファームウェアの制限により、Microsoft が最新の証明書をデバイスに適用することが困難であることを意味します。

具体的には、セキュア ブート セクションに緑色のチェックが表示されると、プロンプトに「デバイスは保護されており、必要な証明書の更新はすべて完了しました。これ以上の変更は必要ありません。」と表示されます。黄色の警告アイコンが表示されている場合は、システムはまだ実行可能ですが、プロンプトの内容を確認し、指示に従ってデバイスのファームウェアまたは関連コンポーネントを更新する必要があるなど、セキュリティ上の推奨事項があります。赤いアイコンが表示された場合は、システムが直ちにセキュア ブートを処理する必要があることを意味します。この状況は、ハードウェアの状態が証明書の更新要件を満たしていないデバイス、またはセキュア ブート自体が有効になっていないデバイスでよく発生します。

セキュア ブートは、Windows 11 を正式にインストールして実行するための必須のハードウェア要件の 1 つであることに注意してください。非公式の手段でハードウェア チェックをバイパスして Windows 10 から Windows 11 にアップグレードするユーザーの場合、Windows セキュリティ センターは、セキュア ブートが有効になっておらず、最新の証明書が見つからないことを示す赤い警告を表示する可能性が高くなります。 Microsoft では、この状況が発生した場合は、指示に従って BIOS/UEFI 設定を確認するか、できるだけ早くデバイスの製造元に連絡する必要があると注意しています。

Microsoftは、システムがWindows Updateを通じて2023バージョンの証明書を自動的に発行し、互換性のあるほとんどのデバイスに適用するため、ほとんどのユーザーはセキュアブート証明書の問題についてあまり心配する必要はないと述べた。ただし、最新の Windows の観察によると、一部のデバイスでセキュア ブート証明書の更新がファームウェアの制限により失敗していることが示されています。これは、これらのデバイスが長期間新しい証明書を取得できない可能性があり、対応する Windows セキュリティ センターのステータスに黄色または赤色の警告が表示され続けることを意味します。

とはいえ、セキュア ブート 2023 証明書を受け取らなかったとしても、デバイスが必ずしも不安定になったり、直ちに重大なセキュリティ リスクにさらされたりするわけではありません。レポートでは、ほとんどの一般消費者にとって、セキュア ブート証明書が更新されていないという理由だけで実際の攻撃に遭遇する可能性は依然として低いと指摘しています。ただし、長期的なメンテナンスとコンプライアンスの観点から、ファームウェアを更新できること、セキュア ブートが正常に有効になっていることを確認し、可能な限り最新の証明書を取得することが、マシン全体のセキュリティを向上させるための重要なステップであることに変わりはありません。