Contents

Windows 11 が新しいセキュア ブート 2023 証明書 (セキュア ブート 2011 を置き換える) を適用しているかどうかを確認する方法

<本文>/images/how-to-verify-if-secure-certificate-has-been-updated.jpg

最近イベント ビューアをチェックした場合、セキュア ブート証明書に関するいくつかの新しい TPM-WMI エラーがポップアップ表示されている可能性があります。心配しないでください、あなたは一人ではありません。多くの Windows 11 ユーザーは、特に 2026 年 2 月の Patch Tuesday アップデートをインストールした後、これらのログがどこからともなく表示されるのを目撃しています。

/images/Windows-Event-Viewer-showing-Event-ID-1801-errors.png

幸いなことに、これはバグではありません。 Microsoft は、2011 年に遡るセキュア ブート証明書の更新を行っているところです。これらの古いキーは使用期限を迎えており、Windows は現在、Windows UEFI CA 2023 と呼ばれる新しい認証局にデバイスを移行しています。

セキュア ブートは、Windows が読み込まれる前に、信頼できるファームウェア、ブートローダー、システム コンポーネントのみの実行を許可することで、起動時に PC を保護する機能です。当然のことながら、これらの証明書の有効期限が切れたり信頼できなくなったりすると、セキュア ブートは無効になります。

Microsoft は、2026 年 2 月の Windows 11 更新プログラム (KB5077181) に証明書の更新をバンドルしました。通常、これは段階的なデバイス固有のロールアウトであり、新しいキーを PC のファームウェアにプッシュする前にテレメトリと信頼性チェックが使用される可能性があります。

その結果、多くのユーザーは、システム上でまだ何も変更されていないにもかかわらず、イベント ビューアのログに「更新された証明書が利用可能」または「監視中」などの内容が記載されているのを目にしています。

これらのログは何か問題があることを意味するものではないことに注意してください。ほとんどの場合、Windows はデバイスを準備し、新しいセキュア ブート キーを安全に適用するための適切なタイミングで互換性をチェックしている可能性があります。

イベント ビューアで TPM-WMI エラーが表示される理由

多くの Windows 11 ユーザーは、イベント ID 1801 と次のようなメッセージに気づいています。

「BucketConfidenceLevel: 監視中 – より多くのデータが必要です」

/images/Windows-Event-Viewer-showing-Event-ID-1801-errors-where-the-BucketConfidenceLevel-is-listed-as-Under-Observation-More-Data-Needed.png

ご安心ください。あなたの PC は安全で何も壊れていません。 Windows がここで記録するのはステータス チェックであり、エラーや失敗ではありません。

セキュア ブート キーはファームウェア レベルで存在し、OEM ファームウェア、マザーボード ベンダー、Windows を含む PC エコシステム全体で共有されます。そのため、何か問題が発生した場合にデバイスが起動できなくなることを避けるために、変更を慎重に調整する必要があります。

このプロセスには 2 つの別々の手順が含まれます。

  1. 新しいセキュア ブート証明書が Windows で利用可能になります

  2. その証明書は後でシステム ファームウェアに適用されます

ほとんどのシステムは、しばらくの間、これら 2 つのステップの間に位置します。

イベント ビューアに、更新されたセキュア ブート証明書は利用可能であるがまだ適用されていないと表示された場合は、デバイスが検出され、評価され、次の段階のキューに入れられたことを意味します。 「監視中」の信頼レベルは、Microsoft がファームウェア レベルの変更をプッシュする前にデバイスから更新の信頼性シグナルを収集していることを示します。これらはテレメトリが意味をなすものです。

また、Windows は、ファームウェアが証明書を採用するずっと前に、新しい証明書をダウンロードして OS 内にステージングすることができます。ファームウェアが新しいキーを受け入れて記録するまで、イベント ビューアは移行が保留中であることを示すステータス メッセージをログに記録し続ける場合があります。

これが、ログが情報ステージング ログであるにもかかわらずエラーとして表示される理由であり、TPM の破損、セキュア ブートの失敗、BIOS の破損を意味するものではありません。特に今回のような段階的なロールアウト中は、多くのシステムが一時的にこの状態のままになることに注意してください。

新しいセキュア ブート証明書が PC にすでに適用されているかどうかを確認する方法

Windows には、Windows UEFI CA 2023 証明書がシステムにすでに存在するかどうかを確認する簡単な方法があります。この方法は何も変更せず、完全に安全です。

ステップ 1: 管理者として PowerShell を開く

スタート ボタンを右クリックし、Windows PowerShell (管理者) または ターミナル (管理者) を選択します。

ステップ 2: このコマンドを示されているとおりに実行します。

(System.Text.Encoding::ASCII.GetString((Get-SecureBootUEFI db).bytes)-match ‘Windows UEFI CA 2023’)

/images/How-to-check-if-the-new-Secure-Boot-certificate-has-already-applied-to-your-PC.jpg

ステップ 3: 結果を確認する

  • True: これは、Windows UEFI CA 2023 証明書がセキュア ブート データベースにすでに存在していることを意味します。イベント ビューアにまだステージング メッセージまたは監視メッセージが表示されている場合でも、システムの準備は完了しています。

  • False: これは、デバイスがまだ証明書を受け取っていないことを意味します。これはエラーではないため、アクションは必要ありません。あなたの PC はただロールアウトの順番を待っているだけです。

イベント ビューアで更新を確認する方法

PowerShell コマンドが True を返し、安心して公式ログを確認したい場合は、システム ログで見つけることができます。何千ものイベントをスクロールせずにそれらを追跡する最も簡単な方法は次のとおりです。

  1. イベント ビューアを開きます (スタート メニューでイベント ビューアを検索します)。

  2. Windows ログ > システム に移動します。

  3. 右側のペインで、「現在のログをフィルタリング…」をクリックします。

  4. イベント ソース ドロップダウンで下にスクロールし、TPM-WMI のボックスをオンにします (Microsoft-Windows-TPM-WMI としてリストされている場合があります)。

  5. 「OK」をクリックします。

/images/How-to-verify-the-update-in-Event-Viewer.jpg

フィルタリングしたら、イベント ID 1808 を探します。これが表示された場合は、新しいセキュア ブート証明書が正常に適用されたことを意味します。また、イベント ID 1034 が表示される場合もあります。これは、DBX (失効リスト) 更新も処理されたことを示します。

/images/Windows-11-Event-Viewer-Secure-Boot-Key-Update-Success-Event-1808.jpg /images/Secure-Boot-Dbx-Revocation-List-Update-Event-1034.jpg

これら 2 つのチェックは同期していないように見える場合があることに注意してください。一部のユーザーには、証明書がファームウェアに適用されていないことに関する警告がイベント ビューアーに記録されているにもかかわらず、PowerShell で True が表示されます。それは普通のことです。

OS レベルのアップデートが最初に行われ、ファームウェアの適用は後で、場合によっては再起動またはアップデート後に行われることがあります。

PowerShell が True を返した場合、システムには必要なものがすでに備わっています。この時点で、イベント ビューアのエントリは無視しても問題ありません。

今すぐ BIOS を更新する必要がありますか?

いいえ、急いで BIOS アップデートを行う必要はありません。

この展開に関する最大の誤解の 1 つは、Microsoft がファームウェアの変更を直接推進していると想定していることです。そうではありません。 BIOS および UEFI ファームウェアは、Windows Update ではなく、デバイスの製造元によって制御されます。つまり、Microsoft は、Dell、Lenovo、HP、ASUS、Acer などの OEM の調整なしに、すべての PC のファームウェア レベルでセキュア ブート キーをやみくもに更新することはできません。

/images/SUR25-COMMR-Laptop-13inch-Snapdragon-Platinum-Desk-02-1600x1067-1.jpg

ファームウェアの変更は、OS のアップデートよりもはるかにデリケートです。失敗した Windows アップデートをロールバックすることはできますが、ファームウェアのアップデートに失敗すると PC が起動できなくなる可能性があります。したがって、OEM はセキュア ブート キーの移行を慎重に検証し、更新がプラットフォーム固有の構成に干渉しないと確信できる場合にのみリリースする必要があります。

BIOS のアップデートは、次の場合にのみ検討してください。

  • デバイスの製造元がそうするよう明示的に指示しています

  • アップデートのドキュメントにはセキュア ブート証明書の変更について記載されています

  • ファームウェアのアップデートを快適に実行でき、リスクを理解していること

また、セキュア ブート キーのクリア、セットアップ モードの有効化、ファームウェア設定の手動変更などの回避策は避けることをお勧めします。これらは企業向けであり、間違って実行するとセキュリティが低下する可能性があります。

最近、Microsoft が舞台裏でさらに多くの作業を行っているように感じられるとしたら、それは彼らが実際にそうしているからです。セキュア ブート証明書の更新は避けられませんでしたが、以前の証明書は 15 年前のものであるため、同社は Windows をデフォルトで安全にするという使命を担っています。

ホーム

シェアする

ニュースレター

WL ニュースレター

/images/WL-logo-new.svg

WLニュースレターです!

最新の Windows、IT、AI アップデートを常に入手してください。 50,000 人以上の加入者から信頼されています。

名前

電子メール

無料で参加

*️⃣ 出典リンク:

単独ではありませんMicrosoft はセキュア ブート証明書を更新中です、KB5077181、Windows はデフォルトで安全、 ホーム

ニュースレター