データレスPC™ ソリューションFlex Work Place

ソフトウエアサポートサイト
テレワーク導入や Windows PC 運用効率化を実現するFlex Work Place 概要はこちら
テレワーク導入や Windows PC 運用効率化を実現するFlex Work Place 概要はこちら
2026.05.21

[Unifier Cast v5/v6] 【注意喚起】セキュアブート証明書の有効期限について

平素より、当社 Flex Work Place 製品をご愛顧いただきありがとうございます。
※ 本お知らせは、Microsoft 社より公開されている情報をもとに Unifier のお客様向けに作成しています。

Microsoft Windows 11 環境において、2011年に Microsoft 社から発行されたセキュアブート証明書は有効期限が 2026年6月 までとなっています。
古い証明書を利用している場合、有効期限後に即座に起動できなくるといった事象は発生しないものの、セキュリティリスクを抱えた状態になります。
有効期限切れ後はセキュアブート証明書の更新ができなくなる可能性があり、Microsoft 社は期限内の更新を推奨しています。

セキュアブート証明書は QU を適用しただけでは更新されない場合があるため、Microsoft 社より公開されている

 ・セキュアブート証明書の更新の前提条件と注意点
 ・各端末での更新ステータスの確認方法
 ・セキュアブート証明書を手動で更新する方法

についてご案内いたします。

Unifier 標準機能にて明示的にセキュアブート証明書更新を行うことはできません。
本情報をご確認の上、個別でご対応いただきますようお願いいたします。
セキュアブート証明書の更新に関する詳細につきましては、弊社では把握しきれない部分もございますので、ご不明な点がございましたら Microsoft 社へお問い合わせいただきますようお願い申し上げます。

■ 更新の前提条件
 ・セキュアブートが有効になっていること
 ・BIOS が新しい証明書に対応していること

■ 注意点
・手動で更新を実施した場合、 BitLocker が有効の場合に回復キー入力を求められる可能性があります。
全台で回復キー対応が必要となると、運用に大きな支障が出る恐れがあります。
事前に数台(保有している全機種)で検証を行い、問題がないことを確認したうえで本番適用を検討してください。

・新しい証明書に更新する際、使用している BIOS がその証明書に対応していない場合、BIOS と OS 間の不整合が生じ、OS が起動しなくなる事象が発生する可能性があるようです。
BIOS の更新が必要かどうか、またその具体的な手順や提供状況については、該当機器の製造元によって異なりますので、製造元へのご確認をお願いいたします。

■ 証明書が更新されているかを確認する方法
以下のどちらかの方法で確認することができます。

a.PowerShell で以下のコマンドを実行
(Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing").UEFICA2023Status

b.以下のレジストリの値を確認する
キー:HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
名前:UEFICA2023Status

どちらの場合も値が「Updated」になっていれば更新されています。

■ 自動更新される条件と手動更新の方法
2026年1月以降の QU には「高信頼バケット」というセキュアブート証明書の更新を許可する条件データが含まれており、この条件に合致した端末では自動的にセキュアブート証明書の更新が行われます。
高信頼バケットの条件に合致しない端末や、自動更新を待たずに更新したい場合には以下の方法で手動更新を行うことができます。

<手動更新の方法>
[必要条件]
・2025年10月 および 11月以降の更新プログラムが適用されていること

[更新方法]
① 以下のレジストリを設定します
キー : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
名前 : AvailableUpdates
種類 : REG_DWORD
値  : 0x5944

※ PowerShell で実行する場合のコマンド
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

② 上記レジストリを設定後、 PowerShell から以下の証明書更新のタスクを実行後クライアントを再起動します。

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

※ 証明書更新のタスクは12時間ごとにも自動実行されています。

③ 再起動後System イベントログにて、証明書の更新完了を示す "イベント ID:1808" が出力されていることを確認します。
※ 更新が完全に適用されるまで約48時間と1回以上の再起動が必要になる可能性があります。

過去のお知らせ

Copyright ©Yokogawa Rental & Lease Corporation All Rights Reserved.