セキュア ブート移行に関するFAQ

対象オペレーティング システム：

• Windows

目次

• 全般情報
• Dell PCおよびアップデート
• コミュニケーションとお客様ガイダンス
• 影響とリカバリー
• コストと期間

一般情報:

• セキュア ブート キーの移行とは何ですか?
  • 現在のMicrosoft 2011セキュア ブート証明書は、2026年6月に期限切れになります。これらは、新しい2023年の証明書チェーンに置き換えられます。KEK CA 2023、UEFI CA 2023、Windows UEFI CA 2023
• Windows 11 25H2をインストールするには、2023年の証明書が必要ですか?
  • いいえ。デバイスは、2011 証明書を使用して 25H2 をインストールできます。
• 現在のセキュア ブート証明書の有効期限が切れるとどうなりますか?
  • コンピュータはまだ起動できます。ただし、証明書の有効期限が切れていると、コンピューターはブートローダーまたはセキュア ブートの今後の更新プログラムを取得できません。
• Dellの二重認証戦略とはどのようなものですか?
  • 移行を容易にするために、Dellは2024年後半に新しく発売されたプラットフォームで2011年と2023年の両方の証明書の出荷を開始しました。2025年末までに、Dellの工場から出荷されるすべての維持プラットフォームで出荷を開始しました。これにより、古いイメージを使用しているエンタープライズのお客様は、いずれかの証明書で署名されたイメージを起動できます。
• アクティブ セキュア ブート データベースとデフォルトのセキュア ブート データベースの違いは何ですか?
  • アクティブ セキュア ブート データベースは、信頼できるソフトウェアを検証するためにコンピューターの起動時に使用するデータベースです。既定のセキュア ブート データベースは、必要に応じて復元できる元の信頼されたキーのバックアップ セットです。
    要は：
    • アクティブ: 現在適用されています (通常は Windows Update から更新されます)
    • デフォルト: 復元しない限り、出荷時設定にリセットされたバージョンは使用されません(BIOSアップデートを使用してアップデート)
    注：デフォルトのセキュア ブート データベースを2023年の証明書にアップデートすることが重要です。そうしないと、 エキスパート キー モード を切り替えると、Windows Updateからのアクティブな変数が消去される可能性があります。
• アクティブ データベースはどのように更新されますか?
  • アクティブ データベースは、Windows Update を使用して更新できます。これにより、BitLockerなどのセキュリティ機能の中断を回避できます。ただし、Windows Updateがオプションではなく、お客様がエキスパート ユーザーである場合は、BIOSのコマンドを使用してキーをリセットしてアクティブ データベースを上書きできます。詳細については、「 BIOSからセキュア ブート アクティブ データベースをアップデートする方法 」を参照してください。
• 既定のデータベースはどのように更新されますか?
  • デフォルト データベースは、BIOSフラッシュを使用してアップデートされます。
• 現在のセキュア ブート証明書の有効期限が切れるとどうなりますか?
  • コンピュータはまだ起動できます。ただし、証明書の有効期限が切れていると、コンピューターはブートローダーまたはセキュア ブートの今後のアップデートを取得できません。

トップに戻る

Dell PCおよびアップデート:

• BIOSアップデートを受信するDell製コンピューター
  • Dellのアップデート:
    • 2025年12月31日以降にサポート終了日(EoSL)を迎える個人向けおよび法人向けプラットフォーム(Dellの工場から出荷されるか、フィールドで出荷される)
  • Dellは次の項目をアップデートしません。
    • EoSLが2026年1月1日より前のプラットフォーム つまり、Microsoftは新しい証明書を利用可能にする可能性がありますが、これらの古いPCのBIOSは、特にセキュア ブートが切り替えられている場合やBIOSの既定値がリセットされている場合に、それらをサポートまたは保持しない可能性があります。
• お客様への影響を軽減するためにDellが行っていることは何ですか?
  • サポート プラットフォームのBIOSアップデートを2025年末までに提供
  • リカバリー ツールに関するMicrosoftとの調整
  • ナレッジベース記事の公開
  • ブータブル メディアのアップデート
• サードパーティのグラフィックスカードやLinuxコンピューターへの影響はどうですか?
  • Microsoft は、有効期限が切れる 2011 年のサード パーティ CA を置き換えるために、2 つの新しい 2023 サード パーティ CA を作成しました。つまり、Microsoft Corporation UEFI CA 2011は、Microsoft UEFI CA 2023(ブートローダー用)とMicrosoftオプションROM UEFI CA 2023(オプションROM用)に分かれています。また、Microsoftのハードウェア デバイス センター(HDC)では、これらの新しい2023 CAを必要とするサードパーティ製ドライバーの署名をサポートするためのアップデートがすでに行われています。パートナーは 2025 年 10 月に新しい 2023 CA との署名を開始できますが、エコシステムが新しい 2023 CA に移行するのに十分な時間が得られるまで、Microsoft と OEM は既存の Microsoft Corporation UEFI CA 2011 を引き続きサポートします。
• エンタープライズ環境のお客様は、現在保有しているすべてのデバイスで新しい2023年度証明書を取得する方法を教えてください。
  • エンタープライズ環境のお客様は、MicrosoftがWindows Update (WU)を使用してデバイスへの更新プログラムを管理することを許可するか、またはフリート デバイス自体に手動で更新プログラムを適用するかを選択できます。後者に関するガイダンスについては、こちらを参照してください。IT部門が管理するアップデートを備えたWindowsデバイスさらに、DellはBIOSアップデートを稼働中のデバイスにプッシュし、アクティブ データベースへのデータ入力に使用できます。手順については、「 BIOSからセキュア ブート アクティブ データベースをアップデートする方法」を参照してください。
• この証明書を取得するための特定のハードウェア要件はありますか?
  • デバイスはセキュア ブートをサポートし、UEFIファームウェア アップデートと互換性がある必要があります。Dellでは社内でプラットフォームを検証しており、サポートされているPCのリストをDellナレッジベース記事「 Microsoft 2011セキュア ブート証明書の有効期限」で公開しています。

トップに戻る

コミュニケーションとお客様ガイダンス:

• Dellはこれをお客様にどのように伝えていますか?
  • Dellは、 Microsoft 2011セキュア ブート証明書の有効期限を公開し ました。これは、アップデート可能なDellのプラットフォームのリストで更新されます。Dellは、必要に応じて、Microsoftのパブリック ガイダンスに沿った追加のメッセージを配信します。
• 企業のお客様は今何をすべきでしょうか?
  • 「Microsoft 2011セキュア ブート証明書の有効期限」で管理されているDellデバイスのリストを使用して、Windows 25H2ロールアウトの前にBIOSアップデートを計画します。
  • (WUではなく)社内でデバイスを管理することを希望している場合、企業は次のガイダンスに従って、新しい2023 CAを使用してデバイスの更新をすでに開始できます。IT部門が管理するアップデートを備えたWindowsデバイス。
  • アップデートに関する問題をDellに報告してください。
• お客様は、2011年または2023年の証明書を持っているかどうかをどのように確認できますか?
  • Microsoftは、エンドユーザー向けにWindowsに通知を追加する予定です。また、ユーザーは次の PowerShell コマンドを実行して、2011 年と 2023 年の CA があるかどうかを確認できます (方法論は今後のナレッジベース記事で提供されます)。
• お客様は、証明書の有効期限が切れているかどうかをどのように確認できますか?
  • 2026 年に有効期限が切れる予定の 3 つの証明書 (CA) のいずれかを持つコンピューター:

    2011 CA	有効期限
    マイクロソフト株式会社 KEK CA 2011	2026年6月24日
    Microsoft Windows実稼働PCA 2011	2026年10月19日
    Microsoft Corporation UEFI CA 2011	2026年6月27日

• お客様が2023年の認定書を持っている場合、対応する必要がありますか?
  • いいえ。Windows UEFI CA 2023証明書とMicrosoft Corporation KEK 2K CA 2023証明書の両方が存在する場合、それ以上のアクションは必要ありません。
• デバイスでWindows 10を実行していて、拡張セキュリティ更新プログラム(ESU)を取得しているか、取得しようとしている場合、お客様は2023証明書に移行できますか?
  • はい。Microsoftは現場でWindows 11デバイスのアクティブな証明書をアップデートしており、次のデバイスに次の場合、Windows 10デバイスもアップデートされます。
    • Windows LTSC 2021を実行している
    • アクティブ化されたESUライセンスがある

トップに戻る

影響とリカバリー:

• 期限切れの証明書にはどのような影響がありますか?
  • セキュア ブート証明書の有効期限が切れると (2026 年 6 月以降)、コンピューターは (セキュア ブートをオンにした状態で) 起動し続けます。ただし、コンピューターはWindows Updateを使用してWindows Boot ManagerおよびSecure Bootコンポーネントのアップデートを受信しなくなり、セキュリティ侵害状態になります。
• セキュア ブートがデバイスで無効または切り替えられている場合はどうなりますか?
  • 場合によっては、セキュア ブートを無効にすると、すべてのアクティブなUEFI変数が消去されることがあります。つまり、デバイスですでに使用されている2023 CAが消去される可能性があります(アップデートされていない場合は、後でデフォルト ファームウェアの古い2011 CAに置き換えられる可能性があります)。Dell製デバイスでは、ユーザーがBIOSメニューで[Expert Key Mode]オプションを選択すると、この状態が発生します。この場合、アクティブな変数はデフォルトのファームウェアから取得されます。
    注：デバイスでBitLockerが有効になっている場合は、BitLocker回復キーの入力を求められることがあります。
• リカバリーにはどのようなツールを使用できますか?
  • Microsoftは手動回復ツールをリリースしましたが、制限があります。お客様を支援する自動化ツールはまだ開発中です。

トップに戻る

コストと期間:

• 新しい証明書に関連するコストはかかりますか?
  • Windows Update を使用して 2023 年の証明書を受け取るための直接的な費用はなく、2023 年の CA は、 Windows セキュア ブート キーの作成と管理のガイダンスで既に無料で入手できます。ただし、サービス停止デバイスのBIOSアップデートには、手動による介入またはサービス エンゲージメントが必要な場合があり、サポート契約によってはコストが発生する可能性があります。
• 新しい証明書の有効期間はどのくらいですか?
  • 2023年の証明書は15年間(2038年)有効です。

トップに戻る