Microsoft セキュアブート証明書の有効期限ガイド

このドキュメントでは、Compute Engine Shielded VM インスタンスを更新して、UEFI(Unified Extensible Firmware Interface)セキュアブート用の更新された Microsoft セキュアブート証明書を信頼する方法について説明します。

UEFI セキュアブートは、Shielded VM が VM 起動プロセス中に信頼できるソフトウェアとファームウェアのみが実行されるようにするために使用するセキュリティ標準です。さまざまなオペレーティング システムでセキュアブートをサポートするために、Microsoft は次の証明書を管理しています。

有効期限が切れるセキュアブート証明書

証明書名 ロール 有効期限
Microsoft Corporation UEFI CA 2011 サードパーティのブートローダー(Linux Shim など)に署名します 2026 年 6 月 27 日
Microsoft Windows Production PCA 2011 Windows ブートローダーに署名します 2026 年 10 月 19 日
Microsoft Corporation KEK CA 2011 DB と DBX の更新に使用されます 2026 年 6 月 24 日

2025 年 11 月 7 日より前に作成された Compute Engine インスタンスでセキュアブートを使用する場合は、起動に関する問題が発生しないように、インスタンスに更新された証明書がインストールされていることを確認する必要があります。この更新は、BitLocker などのフルディスク暗号化(FDE)ソフトウェアを使用するコンピューティング インスタンスや、vTPM プラットフォーム構成レジスタ(PCR)へのシークレット シーリングを使用するコンピューティング インスタンスにとっても同様に重要です。このガイドでは、影響を受けるインスタンスを特定し、必要な更新を行う方法について説明します。

2025 年 11 月 7 日以降に作成されたコンピューティング インスタンスには、更新された証明書が含まれているため、追加の操作は必要ありません。また、セキュアブート証明書の有効期限は、次のものには影響しません。

  • シークレット シーリングに vTPM プラットフォーム構成レジスタ(PCR)を使用せず、セキュアブートが有効になっていないインスタンス。Shielded VM インスタンスを作成するときに、セキュアブートはデフォルトで有効になっていません。
  • Container-Optimized OS(COS)を実行しているインスタンス。
  • 独自のセキュアブート プラットフォーム キー(PK)またはキー登録キー(KEK)を指定するインスタンス。

2025 年 11 月 7 日より前に作成されたコンピューティング インスタンスの場合は、これらのインスタンスをこの日以降に作成された新しいインスタンスに移行することをおすすめします。再作成できないコンピューティング インスタンスについては、Google は、利用可能になったら、このドキュメントで手動更新の手順を提供する予定です。

セキュアブート証明書の有効期限が Shielded VM に与える影響

有効にすると、Shielded VM は UEFI ファームウェアを使用してセキュアブートを適用します。UEFI ファームウェアは、起動シーケンス バイナリの署名を検証するための一連の信頼できる証明書(db 変数)を保持します。たとえば、OS の更新によってブートローダーが Microsoft UEFI CA 2023 のみで署名されたものに置き換えられ、コンピューティング インスタンスのファームウェアがこの認証局を信頼しない場合、セキュアブートの検証が失敗し、セキュアブートは起動プロセスを停止します。

この移行の詳細については、Microsoft および他の OS ベンダーのガイダンスをご覧ください。

オペレーティング システムへの影響

2025 年 11 月 7 日より前に作成された Shielded VM インスタンスでセキュアブートを有効にした場合は、ゲスト OS が Microsoft UEFI CA 2023 証明書を信頼していることを確認する必要があります。新しい証明書をインストールしないと、2023 証明書のみで署名されたブートローダーを含む更新後に、コンピューティング インスタンスで起動に関する問題が発生する可能性があります。何も対応しないと、2023 証明書のみで署名されたバイナリを含む新しいブートローダーまたはカーネルの更新を適用できず、システムが特定の攻撃に対して脆弱になる可能性があります。 2025 年 11 月 7 日より前に作成されたコンピューティング インスタンスの場合、2026 年半ばまでに証明書の更新を適用しないと、Windows ユーザーはシステム イベント ログにイベント ID 1801(「セキュアブート CA/キーを更新する必要があります」)が表示されることがあります。

  • Google 提供の公開イメージ: コンピューティング インスタンスを再作成することをおすすめします。インスタンスを再作成すると、デフォルトで最新のファームウェア、証明書、OS 構成が使用されます。
  • 手動更新: インスタンスを再作成できない場合は、新しい証明書でインスタンス ファームウェアを更新できません。Google が手動更新の手順を提供するまでお待ちください。
  • カスタム イメージまたはインポートされたイメージ: イメージが Microsoft UEFI CA 2023 証明書を信頼していることを確認する必要があります。この信頼を確保するには、Google 提供のベースイメージを使用してカスタム イメージを再構築するか、適切な証明書を手動でデプロイします。

必要な操作

2025 年 11 月 7 日より前に作成されたコンピューティング インスタンスでセキュアブートが有効になっている場合、またはフルディスク暗号化(FDE)ソフトウェア(Windows の BitLocker や Linux のその他の FDE など)、Windows の Virtual Secure Mode(VSM)、vTPM プラットフォーム構成レジスタ(PCR)のシークレット シーリングを使用している場合は、次のセクションで説明する操作を行う必要があります。このガイダンスは、2025 年 11 月 7 日より前のマシンイメージにロールバックする場合にも適用されます。

重要: BitLocker などのフルディスク暗号化(FDE)ソフトウェアを使用する場合は、変更を加える前に復旧キーにアクセスできることを確認してください。

影響を受けるコンピューティング インスタンスを特定して更新を計画する

2026 年 6 月 24 日までに、影響を受けるコンピューティング インスタンスを特定し、次の手順で更新の準備を行うことをおすすめします。

  1. インスタンスを特定する: gcloud compute instances list コマンド を使用して、セキュアブートが有効になっていて、カットオフ日より前に作成されたインスタンスを特定できます。

    gcloud compute instances list \
--filter="creationTimestamp < '2025-11-07' AND shieldedInstanceConfig.enableSecureBoot=true" \
--format="table(name, zone, creationTimestamp, shieldedInstanceConfig.enableSecureBoot:label=SECURE_BOOT)"

  2. データの完全性を確保する: 変更を行う前に、最新のデータ バックアップがあり、フルディスク暗号化(FDE)または BitLocker の復元キーにアクセスできることを確認してください。

  3. 推奨事項: 必要な証明書が含まれている 2025 年 11 月 7 日以降に作成されたコンピューティング インスタンスに移行します。

  4. 手動更新の手順: Google は、テストが完了し、必要なコマンドが利用可能になったら、このページで長時間実行インスタンスの証明書を手動で更新する手順を提供する予定です。 現時点では、db 証明書または KEK 証明書を手動でアップグレードすることをおすすめしません。追加の手順をお待ちください。

検証

コンピューティング インスタンスのファームウェアと OS を更新したら、2023 証明書が存在することを確認できます。

Linux

  1. efi-readvar が存在しない場合は、efitools パッケージをインストールします。Linux にインストールするには、ディストリビューションのコマンドを実行します。

    Debian/Ubuntu

    sudo apt update && sudo apt install efitools

    RHEL/CentOS/Fedora

    sudo yum install efitools

    SLES

    sudo zypper install efitools

  2. KEK 変数と db 変数で証明書を確認します。

sudo efi-readvar -v KEK | grep "KEK 2K CA 2023"
sudo efi-readvar -v db | grep "UEFI CA 2023"

Windows(PowerShell)

管理者 PowerShell プロンプトで次のコマンドを実行します。各コマンドは True を返します。

# Check for Microsoft KEK 2K CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

# Check for UEFI CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2023'

トラブルシューティング

2026 年 6 月以降にセキュアブート エラーが原因でインスタンスが起動しない場合は、次のいずれかの方法で復旧を試みることができます。

  • セキュアブートを一時的に無効にする: これにより、インスタンスを起動して更新を適用できます。

    注: セキュアブートを無効にすると、PCR 値(特に PCR7)が変更され、シークレット シーリングまたはディスク暗号化機能に影響する可能性があります。

    セキュアブートを無効にするには、次のコマンドを実行します。

    gcloud compute instances update INSTANCE_NAME --no-shielded-secure-boot

    インスタンスが起動したら、必要なオペレーティング システムとブート コンポーネントの更新を適用し、セキュアブートを再度有効にします。

    gcloud compute instances update INSTANCE_NAME --shielded-secure-boot

  • バックアップから復元する: 起動の問題が発生する前に作成されたマシンイメージからインスタンスを復元します。

  • インスタンスを再作成する: インスタンスを再作成し、スナップショットからデータを復元します。

問題が解決しない場合やサポートが必要な場合は、Cloud カスタマーケアにお問い合わせください。

よくある質問

このセクションでは、Microsoft セキュアブート証明書の有効期限に関するよくある質問とその回答をご紹介します。

セキュアブート証明書の有効期限はいつですか?

Microsoft のセキュアブート証明書は 2026 年に有効期限が切れます。詳細は以下のとおりです。

  • 有効期限が近づいている最も重要な 2 つの証明書は、サードパーティのブートローダー(Linux Shim など)に署名する Microsoft Corporation UEFI CA 2011(2026 年 6 月に有効期限切れ)と、Windows ブートローダーに署名する Microsoft Windows Production PCA 2011(2026 年 10 月に有効期限切れ)です。

有効期限は Windows ユーザーと Linux ユーザーの両方に影響しますか?

はい。有効期限は Windows ユーザーと Linux ユーザーの両方に影響します。

証明書の有効期限の影響を受けるのは誰ですか?

この問題は、2025 年 11 月 7 日より前に作成された長時間実行のコンピューティング インスタンスを使用しているお客様にのみ影響する可能性があります。 影響を受けるインスタンスは次のとおりです。

  • セキュアブートが有効になっている Linux VM と Windows VM。
  • シークレット シーリングに Virtual Trusted Platform Module(vTPM)プラットフォーム構成レジスタ(PCR)を使用するインスタンス。
  • ディスク暗号化(BitLocker)または Virtual Secure Mode(VSM)を使用する Windows コンピューティング インスタンス。
  • フルディスク暗号化(FDE)を使用する Linux VM。
  • 2025 年 11 月より前のマシンイメージにロールバックするインスタンス。

証明書の有効期限の影響を受けないのは誰ですか?

次のいずれかに該当する場合は、影響を受けません。

  • セキュアブート、vTPM PCR のシークレット シーリング、フルディスク暗号化(BitLocker を含む)を使用していない。
  • Container-Optimized OS(COS)Linux インスタンスを使用している。
  • 独自のプラットフォーム キー(PK)またはキー登録キー(KEK)を指定する。 独自の PK または KEK を使用する場合、Compute Engine はカスタムキーを使用するため、デフォルトの証明書の有効期限は影響しません。 ただし、独自の鍵を管理し、証明書が最新の状態であることを確認する必要があります。

何も対応しないとどうなりますか?

何も対応しないと、2023 証明書のみで署名されたバイナリを含む新しいブートローダーまたはカーネルの更新を適用できず、システムが特定の攻撃に対して脆弱になる可能性があります。 2025 年 11 月 7 日より前に作成されたコンピューティング インスタンスの場合、2026 年半ばまでに証明書の更新を適用しないと、Windows ユーザーはシステム イベント ログにイベント ID 1801(「セキュアブート CA/キーを更新する必要があります」)が表示されることがあります。

証明書の有効期限に備えるにはどうすればよいですか?

準備するには、次の手順を行います。

  • 特定: Shielded VM、セキュアブート、フルディスク暗号化(FDE)、BitLocker、または vTPM PCR に依存するソフトウェアの使用状況を監査します。
  • 復旧キーとバックアップ: 復旧キー(FDE/BitLocker 用)と最新のデータ バックアップをすぐに利用できるようにします。
  • イメージを管理する: レガシー カスタム イメージを特定し、使用を中止するか、新しい証明書が含まれていることを確認します。
  • 移行: 2025 年 11 月 7 日より前に作成された長時間実行のコンピューティング インスタンスは、新しいインスタンスとして再作成することを検討してください。新しいインスタンスには必要な証明書がすでに含まれています。
  • 注: 現時点では、証明書を手動でアップグレードすることをおすすめしません。このドキュメントで公開する Google からの今後の手順をお待ちください。

2026 年 6 月以降にシステムが起動しなくなった場合はどうすればよいですか?

この問題が原因で起動に失敗したと思われる場合は、トラブルシューティングをご覧ください。

は Google Cloud Microsoft セキュアブート証明書の有効期限をどのように処理しますか?

Google Cloud は、2025 年 11 月 7 日以降に作成されたコンピューティング インスタンスの新しい証明書を自動的に含めました。 2025 年 11 月 7 日より前のコンピューティング インスタンスの実行を維持したいお客様のみ、今後の手動更新を適用する必要がある場合がありますが、Google は 2025 年 11 月 7 日以降に作成されたインスタンスに移行することをおすすめします。

次のステップ