Windows Info 第526回
今年6月にPCが起動しなくなる心配はないが、セキュアブートが機能しないとWindowsのセキュリティ機能は一部使えなくなる
2026年05月06日 10時00分更新
セキュアブートが機能しなくなったからと言って
いきなりPCが起動しなくなるようなことはない
先週解説したセキュアブートの問題(「6月以降「PCが起動不可能に?」と間違った騒がれ方をしている原因の「セキュアブート」とは?」)。あらためて簡単に解説すると、現在PC内に保持されているデジタル証明書の有効期限が今年6月に切れる。しかし、セキュアブートは証明書の有効期限を無視して動作するようになっている。そうでないと、いきなり世界中でPCが起動しなくなるといった大惨事が起きてしまう可能性があるからだ。
Windows Updateをしっかり実行していれば、今年6月以降もセキュアブートに関する問題は生じないはずだ
また、セキュアブートが動作するような、PC電源オンの直後では正しい時刻を得ることが難しいというのも理由の1つだ。ハードウェアのリアルタイムクロックは電池でバックアップされていて、電源オフの間も時刻を更新しているものの、誰でも書き換えられるために正しい時刻だという保証がない。
可能性があるとしたらネットワークを使い、既知のタイムサーバーと信頼性のある通信をし、正しい時刻を得る方法だろう。しかし、すべてのPCがネットワークに接続しているわけではない。というわけで、セキュアブートのタイミングでは、有効期限を確認すること自体が困難で有効期限を無視するしかないわけだ。
それでもアップデートが必要になる理由は、セキュアブートで使われる証明書などを世代交代させるためだ。たとえば、前回説明したdbxには、無効となった証明書の発行元が記録されている。これはいわゆるブラックリストであり、秘密鍵漏洩などで無効になった証明書が加わった最新のリストに更新する必要がある。
また長期的には、ブートローダーの電子署名に使う暗号化鍵を新しいものにして証明書を配布、その後、新しい暗号化鍵で署名された新しいブートローダーを出荷する、という手順を使うことで、同一の暗号化鍵や同一のブートローダーが長期間使われ続けることを抑制できる。
このため、アップデートが必要なのだが、セキュリティ上、単にファイルを置き換えるというわけにはいかず、Windows Updateを介して、適切な方法で証明書を差し替える必要がある。
しかし、セキュアブートが無効になることで
使えなくセキュリティ機能は確実に存在する
前回も紹介したように、セキュアブートが無効になっているからといって、すぐにWindowsが動作しなくなるわけではない。ただし、Windows 11の各種のセキュリティ機能は、セキュアブートに始まる「信頼性の連鎖」がなくなり、安全ではないかもしれない環境の上で動作することになってしまう。
そのために、以下のセキュリティ機能については、無効もしくは利用不可になってしまう。
●VBS(Virtualization-based Security)
https://learn.microsoft.com/ja-jp/windows-hardware/design/device-experiences/oem-vbs
●Windows Defender System Guard
https://learn.microsoft.com/ja-jp/windows/security/hardware-security/how-hardware-based-root-of-trust-helps-protect-windows
●Windows Defender Application Control(WDAC)
https://learn.microsoft.com/ja-jp/intune/configmgr/protect/deploy-use/use-device-guard-with-configuration-manager#:~:text=Windows%20Defender%20%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%B3%E3%83%B3%E3%83%88%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%AF,%E3%81%AE%E5%AE%9F%E8%A1%8C%E3%82%92%E9%98%B2%E3%81%8E%E3%81%BE%E3%81%99%E3%80%82
さらに、VBSは「Credential Guard」や「Kernel-mode Code Integrity」の前提となるため、VBSが動作できないとなると、これらも無効になってしまう。Hypervisor-protected Code Integrity(HVCI)は、VBS上でKernel-mode Code Integrityを利用しているため、この機能も無効になってしまう。
また、BitLockerはセキュアブートで起動時の状態の変化を検出したときには解読キーを取り出せず、ユーザーに回復キーを要求する。Windowsが信頼できない状態となったときにディスク上の情報に手を触れられないようにするためだ。
これはTPM(Trusted Platform Module)のSeal(封印)と呼ばれる機能を使う。Sealを利用するプログラムは、対象となるPCR(Platform Configuration Register)番号とその値をポリシーとしてTPMに登録する。
TPM内のNVRAM領域に情報(BitLockerの解読キーなど)を保存するときに定義したポリシーを関連付ける。この領域を読み出す場合、ポリシーで定義されたPCR値が条件を満たしたときのみ、TPMは情報を出力する。しかし、PCR値がポリシーと異なれば、TPMは情報は出力しない。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
-
第525回
PC
6月以降「PCが起動不可能に?」と間違った騒がれ方をしている原因の「セキュアブート」とは? -
第524回
PC
Windows Insider Programが変化 チャンネルが3つになって整理される -
第523回
PC
AI傾倒に一息入れて、既存のWindowsの改良を宣言するMicrosoft タスクバーを画面の上下左右に移動可能に!? -
第522回
PC
Windowsでも完全キーボード操作派は注目! PowerToysのコマンドパレット -
第521回
PC
Windowsでアプリをインストールしたときに警告が表示する「Defender SmartScreen」と「Smart App Control」 -
第520回
PC
WindowsターミナルのPreview版 v1.25では「操作」設定に専用エディタが導入 -
第519回
PC
「セキュアブート」に「TPM」に「カーネルDMA保護」、Windowsのセキュリティを整理 -
第518回
PC
WindowsにおけるUAC(ユーザーアカウント制御)とは何? 設定は変えない方がいい? -
第517回
PC
Windows 11の付箋アプリはWindowsだけでなく、スマホなどとも共有できる -
第516回
PC
今年のWindows 11には26H2以外に「26H1」がある!? 新種のCPUでのAI対応の可能性 - この連載の一覧へ
