セキュア ブート移行に関するよくあるご質問(FAQ)

対象オペレーティング システム：

• Windows

目次

• 全般情報
• Dellコンピューターおよびアップデート
• 通信およびお客様向けガイダンス
• 影響および復旧
• 費用および期間

全般情報：

• セキュア ブート キーの移行とは何ですか？
  • 現在のMicrosoft 2011セキュア ブート証明書は、2026年6月に期限切れになります。これらは、新しい2023年の証明書チェーンに置き換えられます：KEK CA 2023、UEFI CA 2023、Windows UEFI CA 2023
• Windows 11 25H2をインストールするには、2023年の証明書が必要ですか？
  • いいえ。デバイスは2011証明書を使用して25H2をインストールできます。
• 現在のセキュア ブート証明書の有効期限が切れるとどうなりますか？
  • コンピューターは引き続き起動できます。ただし、証明書の有効期限が切れている場合、コンピューターはブートローダーやセキュア ブートに関する今後のアップデートを取得できなくなります。
• Dellのデュアル証明書戦略とは何ですか？
  • Dellは、移行を円滑に行うために、2024年後半に新規リリース プラットフォームで2011年版と2023年版の両方の証明書の出荷を開始し、2025年末までにはすべての既存プラットフォームでDell工場から出荷される製品に適用されます。これにより、古いイメージを使用している企業のお客様も、どちらの証明書で署名されたイメージでも起動できるようになります。
• アクティブなセキュア ブート データベースとデフォルトのセキュア ブート データベースの違いは何ですか？
  • アクティブなセキュア ブート データベースは、起動時にコンピューターが信頼できるソフトウェアを検証するために使用するデータベースです。デフォルトのセキュア ブート データベースは、必要に応じて復元可能な元の信頼済みキーのバックアップ セットです。
    簡単にまとめると、
    • アクティブ：現在適用されている（通常はWindows Updateで更新）
    • デフォルト：工場出荷時のバージョンで、復元されない限り使用されない（BIOSアップデートで更新）
    注：デフォルトのセキュア ブート データベースを2023年版の証明書にアップデートしておくことが重要です。そうしない場合、エキスパート キー モードを切り替えると、Windows Updateから取得したアクティブ変数が消去される可能性があります。
• アクティブ データベースはどのようにアップデートされますか？
  • アクティブ データベースは、Windows Updateを使用してアップデートできます。これにより、BitLockerなどのセキュリティ機能の中断を回避できます。ただし、Windows Updateがオプションではなく、お客様がプロ ユーザーである場合は、BIOSのコマンドを使用してキーをリセットすることで、アクティブ データベースを上書きできます。詳細については、「BIOSからセキュア ブート アクティブ データベースをアップデートする方法」を参照してください。
• デフォルト データベースはどのようにアップデートされますか？
  • デフォルト データベースは、BIOSフラッシュを使用してアップデートされます。
• 現在のセキュア ブート証明書の有効期限が切れるとどうなりますか？
  • コンピューターは引き続き起動できます。ただし、証明書の有効期限が切れている場合、コンピューターはブートローダーやセキュア ブートに関する今後のアップデートを取得できなくなります。

トップに戻る

Dellコンピューターおよびアップデート：

• どのDellコンピューターがBIOSアップデートを受けとりますか？
  • Dellがアップデートを提供する対象：
    • 2025年12月31日以降にサポート終了(EoSL)となる個人および法人向けプラットフォーム（Dell工場から出荷された製品、および現場にある製品が対象）
  • Dellがアップデートを提供しない対象：
    • 2026年1月1日より前にEoSLとなるプラットフォーム：これはつまり、Microsoftが新しい証明書を提供する場合でも、これらの古いコンピューターではBIOSがそれらの証明書をサポートしないか、または保持できない可能性があることを意味します。特に、セキュア ブートの切り替えやBIOSデフォルトのリセットが行われた場合に問題が生じる可能性があります。
• お客様への影響を軽減するためにDellは何を行っていますか？
  • サポート プラットフォーム向けのBIOSアップデートを2025年末までに提供
  • Microsoftと連携したリカバリー ツールの調整
  • ナレッジベース記事の公開
  • 起動可能なメディアのアップデート
• サードパーティー製グラフィックス カードとLinuxコンピューターへの影響はどうですか？
  • Microsoftは、有効期限が近づいている2011年版のサードパーティーCAを置き換えるために、2023年版の新しいサードパーティーCAを2つ作成しました。言い換えれば、Microsoft Corporation UEFI CA 2011は、Microsoft UEFI CA 2023（ブートローダー用）とMicrosoft Option ROM UEFI CA 2023（オプションROM用）にそれぞれ置き換えられました。Microsoftハードウェア デバイス センター(HDC)では、これらの新しい2023年版CAを必要とするサードパーティー製ドライバーの署名をサポートするための更新がすでに行われています。パートナーは2025年10月から新しい2023年版CAによる署名を開始できますが、MicrosoftとOEM各社は、エコシステムが2023 CAに移行するのに十分な時間を確保するため、既存のMicrosoft Corporation UEFI CA 2011を引き続きサポートします。
• 企業のお客様は、現在使用しているデバイス群に新しい2023年版証明書をどのように導入できますか？
  • 企業のお客様は、Microsoft Windows Update (WU)を介してMicrosoftにデバイスのアップデートを任せるか、またはお客様側で手動でデバイス群にアップデートを適用することができます。後者（手動アップデート）についてのガイドラインは、次を参照してください：「ITで管理された更新プログラムを使用したWindowsデバイス」。さらに、DellはBIOSアップデートを稼働中のデバイスにプッシュし、これを使用して、アクティブ データベースに入力できます。手順については、「BIOSからセキュア ブート アクティブ データベースをアップデートする方法」を参照してください。
• この証明書を取得するための特定のハードウェア要件はありますか？
  • デバイスはセキュア ブートをサポートしていること、およびUEFIファームウェアのアップデートに対応していることが必要です。Dellは社内でプラットフォームを検証しており、サポート対象のコンピューターのリストをDellナレッジベース記事「Microsoft 2011セキュア ブート証明書の有効期限」で公開しています。

トップに戻る

通信およびお客様向けガイダンス:

• Dellはこれをお客様にどのように伝えていますか？
  • Dellは、アップデート準備が整ったプラットフォーム一覧を掲載した「Microsoft 2011セキュア ブート証明書の有効期限」を公開しており、内容を随時更新しています。また、必要に応じて、Microsoftの公開ガイダンスに沿った追加のメッセージも提供します。
• 企業のお客様は今何をすべきですか？
  • Windows 25H2の展開に先立ち、「Microsoft 2011セキュアブート証明書の有効期限」に掲載されたDellデバイスのリストを使用して、BIOSアップデートを計画します。
  • （WU経由ではなく）社内でデバイスを管理することを希望する場合、企業は次のガイダンスに従って、新しい2023 CAでデバイスのアップデートを開始できます。IT部門が管理するアップデートを使用するWindowsデバイス
  • アップデートの問題をDellに報告します。
• お客様は、自分のデバイスが2011年版か2023年版の証明書かをどのように確認できますか？
  • Microsoftは、エンドユーザー向けにWindowsでの通知機能を追加する予定です。また、ユーザーは以下のPowerShellコマンドを実行して、2011年版または2023年版のCAを使用しているかを確認できます（手順の詳細は今後のナレッジベース記事で公開される予定です）。
• お客様は、証明書の有効期限が切れているかどうかをどのように確認できますか？
  • 2026年に期限切れになる3つの証明書(CA)のいずれかを搭載したコンピューター：

    2011 CA	有効期限
    Microsoft Corporation KEK CA 2011	2026年06月24日
    Microsoft Windows Production PCA 2011	2026年10月19日
    Microsoft Corporation UEFI CA 2011	2026年06月27日

• お客様が2023年版の証明書を持っている場合、何らかの対応は必要ですか？
  • いいえ。Windows UEFI CA 2023とMicrosoft Corporation KEK 2K CA 2023の両方の証明書が存在する場合、それ以上のアクションは必要ありません。
• デバイスでWindows 10を実行しているお客様で、拡張セキュリティ アップデート(ESU)を適用済み、またはこれから適用する予定の場合、2023年版証明書に移行できますか？
  • はい。Microsoftは運用中のWindows 11デバイスに対してアクティブな証明書の更新を行っており、Windows 10デバイスについても次の場合に更新を行います。
    • Windows LTSC 2021を実行している
    • アクティブ化されたESUライセンスがある

トップに戻る

影響および復旧：

• 有効期限が切れた証明書によってどのような影響がありますか？
  • セキュア ブート証明書は2026年6月以降に有効期限が切れ始めますが、コンピューターはセキュア ブートを有効にしたまま起動を続けることができます。しかし、Windows Updateを介してWindowsブート マネージャーやセキュア ブート コンポーネントのアップデートを受けられなくなるため、コンピューターのセキュリティ状態が危険にさらされます。
• デバイスでセキュア ブートが無効になっているか、切り替えられている場合はどうなりますか？
  • 場合によっては、セキュア ブートを無効にすると、すべてのアクティブなUEFI変数が消去されることがあります。つまり、デバイスですでに使用されている2023年版CAが消去され、（デフォルト ファームウェアアップデートされていない場合は）後で古い2011年版CAに置き換えられる可能性があります。Dellデバイスでは、BIOSメニューでExpert Key Modeを選択した場合にこの現象が発生します。この場合、アクティブな変数はデフォルトのファームウェアから取得されます。
    注：デバイスでBitLockerが有効になっている場合は、BitLocker回復キーの入力を求めるプロンプトが表示されることがあります。
• リカバリーに使用できるツールは何ですか？
  • Microsoftは手動のリカバリーツールをリリースしていますが、制限があります。お客様を支援する自動化ツールは、現在も開発中です。

トップに戻る

費用および期間：

• 新しい証明書の取得に費用はかかりますか？
  • Windows Updateを使用して2023年版証明書を取得する場合、直接的な費用は発生しません。2023年版CAは既に、「Windowsセキュア ブート キーの作成と管理のガイダンス」にて無料で入手できます。ただし、サービス終了済みデバイスのBIOSアップデートには、手動による介入やサービス依頼が必要になる場合があり、サポート契約によっては費用が発生する可能性があります。
• 新しい証明書の有効期間はどれくらいですか？
  • 2023年版証明書の有効期限は15年間（2038年まで）です。

トップに戻る