いつも弊社製品をご愛用いただき、誠にありがとうございます。HPCシステムズ 技術グループです。
現在、IT業界全体で注目されている「2026年におけるセキュアブート証明書の有効期限切れ問題」について、弊社の産業用コンピュータをご利用中のお客様に向けた状況解説と対応策をお知らせいたします。
1. セキュアブート証明書の「2026年問題」とは
Microsoftが2011年に発行したセキュアブート用のデジタル証明書が、2026年6月から10月にかけて順次有効期限を迎えます。セキュアブートとは、PCの起動時にOSやドライバーが改ざんされていないかを検証する仕組みですが、この検証に2011年版の証明書が使われている場合、期限を過ぎると新しいセキュリティ更新が適用できなくなるなどのリスクが生じます。
2. 弊社製品における現状と「無効」設定の背景
当社の産業用コンピュータの多くは、工場出荷時の設定においてセキュアブートを「無効(Disabled)」としています。
これは、産業現場で使用される特殊な拡張ボードや旧来のソフトウェアとの互換性を維持し、システムの安定稼働を最優先するための措置です。セキュアブートが「無効」であるデバイスについては、証明書の期限が切れた後もOSの起動不能といった不具合が発生することはなく、2026年以降も引き続き正常に動作いたします。
3. セキュリティ上のリスクと運用の考え方
セキュアブートを「無効」にしている場合、今回の失効問題の影響は受けませんが、セキュリティの観点では、起動プロセスにおけるマルウェア(ブートキット等)の侵入を阻止する防護壁が一段階解除されている状態にあります。
そのため、高度なセキュリティが要求されるネットワーク環境で運用されているお客様の中には、任意でセキュアブートを「有効」に変更して運用されているケースがございます。「有効」設定で運用されている場合には、最新の「2023年版証明書」への更新が必要となります。
「安定稼働のための無効設定」と「安全性のための有効設定」はトレードオフの関係にあります。お客様のシステム要件に合わせ、セキュアブートを有効化されている場合は、以下の手順にて現在の状態をご確認ください。
お客様による確認手順
セキュアブートを「有効」に変更して運用されている場合は、最新の証明書(2023年版)が適用されているか、以下の手順でチェックをお願いいたします。
確認1:Windows上での状態確認
- 「Windowsキー + R」を押し、「msinfo32」と入力して実行します。
- 「セキュア ブート状態」の項目を確認します。
- 「無効」の場合: 今回の問題の影響はございません。そのままご利用いただけます。
- 「有効」の場合: 以下の「確認2」へお進みください。
確認2:最新証明書(2023年版)の適用チェック
PowerShellを「管理者として実行」し、以下の4つのコマンドを実行してください。各コマンドの結果が「True」であれば対応済みです。
-
KEK変数の確認
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' -
KEKDefault変数の確認
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEKDefault).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' -
db変数の確認
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' -
dbDefault変数の確認
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbDefault).bytes) -match 'Windows UEFI CA 2023'
確認3:弊社サービス窓口へのご連絡
上記の結果、一つでも「False」と表示された場合は、今後のアップデートを安全に受け取るための個別対応(BIOSの更新等)が必要な可能性がございます。お手数ですが、製品名とシリアル番号を添えて弊社サポート窓口までお問い合わせください。
今後とも、お客様のシステムの安定と安全を両立できるようサポートしてまいります。ご不明な点がございましたら、お気軽にご相談ください。
