2025年10月のセキュリティ更新プログラムを適用して以降、PC のイベントビューアー(システムログ)に、以下のような「エラー イベントID 1801 (TPM-WMI)」が記録され、不安に思われている方が多いようです。
- ログの名前: システム
- ソース: TPM-WMI
- イベント ID: 1801
- レベル: エラー
- 説明: Secure Boot CA/keys need to be updated. This device signature information is included here…
- 日本語訳:セキュアブートCA/キーを更新する必要があります。このデバイス署名情報はここに含まれています…
Secure Boot CA/keys need to be updated. This device signature information is included here.
DeviceAttributes: BaseBoardManufacturer:MouseComputer;FirmwareManufacturer:American Megatrends International, LLC.;FirmwareVersion:P3.90;OEMModelNumber:B550M-P4;OEMModelBaseBoard:B550M-P4;OEMModelSystemFamily:To be filled by O.E.M.;OEMManufacturerName:To Be Filled By O.E.M.;OEMModelSKU:To Be Filled By O.E.M.;OSArchitecture:amd64;
BucketId: ff9dc81414438a82f0c39824ebb8d69084934758abc58f11a95f36c3cdbbfc1f
BucketConfidenceLevel:
UpdateType: 0
HResult: この操作を正しく終了しました。
この記事では、Microsoft の Windows サポート(マイクロソフト社員)が公式に公開した情報に基づき、このイベントが何を意味し、私たちはどう対処すべきかを解説します。
【参考】Microsoft の公式情報源
今回の記事で解説した内容は、Microsoft の Windows サポート(丸山氏)によって公開された、以下の公式情報を基にしています。
TPM-WMI イベント ID: 1801 について
https://jpwinsup.github.io/blog/2025/10/28/UEFI/Secure%20Boot/about-tpm-wmi-1801/
概要:イベント 1801 は「故障」ではなく「通知」
まず最も重要な点として、このイベントID 1801 は PC の故障を示すものではありません。 Microsoft によると、これは「セキュアブート証明書の更新がまだ完了していない」ことをユーザーに通知するために記録される、「想定された動作」です。
より具体的には、OS側(Windows Update)が持っている最新の「DBX(失効データベース)」、つまり脆弱な起動ファイルを禁止するブラックリストと、PC の BIOS(UEFI)側が持っている DBX リストを比較した結果、「BIOS 側の DBX リストが古い」と判断されたことを意味します。
今後のセキュリティ脅威に正しく対応するために、この DBX の更新が必要であることを OS が検出し、ユーザー(または管理者)に対応を促すためにイベントログに「エラー」として記録しているのです。
Windows Update後にPINが使えなくなる・パスワードが消える可能性(DBX の更新が関与)
事象が発生する対象OS
このイベントは、以下の OS で報告されています。
- Windows 10 バージョン 22H2
- Windows 11 バージョン 22H2、23H2、24H2、25H2
- Windows Server 2022
- Windows Server 2025
対処法について
Microsoft は、このイベント 1801 に対応するために、2つの選択肢を提示しています。
対処法1:手動でセキュアブート証明書の更新を適用する(非推奨・上級者向け)
システム管理者は、以下のレジストリ値を設定することで、セキュアブート証明書の手動更新プロセスを強制的に開始できます。
- レジストリエディターを開きます。
- 以下のキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot AvailableUpdatesという名前のREG_DWORD値を新規作成(または変更)し、値を0x5944に設定します。
Microsoft は、この手動更新について以下の様に強く警告しています。
⚠️ 注意: セキュアブートの更新は、Windows OS だけではなく、デバイスの UEFI(BIOS)ファームウェアにある証明書データベースの更新も行う必要があります。この影響により、一部の環境では更新後、OS が起動しなくなる現象が報告されております。
この警告は、私たちが以前から懸念していた「セキュアブートの2026年問題」に関連するものであり、古い BIOS を搭載した PC などで、この手動更新が致命的な問題を引き起こす可能性があることを示しています。
【警鐘】PCが起動しなくなる?Windowsセキュアブート証明書の更新に備え、今すぐやるべき2つの対策
対処法2:イベントログの記録を「静観」する(Microsoft 推奨)
Microsoft は、この問題について以下のように述べています。
セキュアブートの更新は順次展開されており、手動更新を行わなくても、適切なタイミングで自動的に更新が開始される予定です。 そのため、慎重を期すのであれば、イベントログの記録を静観していただいても問題はありません。
【結論として】
このイベント 1801 は、すぐに PC の動作に影響を与えるものではありません。 OS が起動しなくなるという重大なリスクを冒してまで手動更新(対処法1)を実行するよりも、Microsoft が推奨する通り、将来的に Windows Update などを通じて安全に自動更新されるのを待つ(対処法2:静観する)のが、全ての一般ユーザーにとって最も賢明な選択と言えます。
今後更新が確認されると、イベントID 1808:This device has updated Secure Boot CA/keys.(このデバイスのセキュア ブート CA/キーが更新されました。) が記録されるはずです。
2025/11/03 追記:【上級者向け】手動でセキュアブート証明書を即時更新する方法
Microsoft が推奨する「静観」とは別に、システム管理者がこの更新プロセスを手動で、かつ即座に実行する方法を筆者が検証しました。
まずは内容を理解し、ステップ1 から順に進めてください。
レジストリの操作を間違えると、システムが起動できなくなるなどの不具合が起きる可能性があります。事前にシステムの復元などでバックアップを取り、自己責任で行うようお願いします。
- システムの復元ポイント作成方法及び復元方法
- レジストリエディターの開き方及びバックアップ方法
- Windows 11/10 レジストリの予備知識|概念・開き方・内部構成
- Windows 11レジストリの所有権を取得し、アクセス許可を変更する方法
ポチップ
概要:PCの「鍵」を安全に交換する仕組み
あなたの PC のセキュアブートは、「DB(起動を許可するホワイトリスト)」や「KEK(そのリストを更新してよいかを許可する鍵)」といった、複数の「セキュリティキー」によって守られています。
ここで説明しているのは、古いキー(2011年版)を新しいキー(2023年版)に安全に入れ替えるために、Windows が 12時間ごとに実行する「自動更新タスク」の仕組みです。
「AvailableUpdates」レジストリ値 = 作業チェックリスト
この自動更新タスクは、レジストリ値 AvailableUpdates を「作業チェックリスト」として使います。
この値のデータ(数字)は、「作業タスク」を示す数字(ビット)の合計値を入力します。
タスクは、12時間ごとに、以下の表の「順序」通りに 1つずつ実行されます。
※環境により一部順序が前後する場合があります。
2025/11/20 追記:Microsoft が下記のドキュメントに関して、入力ミスを認めました。これに伴い、下記の表を修正しました。
2025 年 11 月 11 日
「セキュア ブート証明書の展開サポート」の 2 つの入力ミスを修正しました。
- 0x0800 – 証明書名が “Microsoft UEFI CA 2023” から “Microsoft Option ROM UEFI CA 2023” に変更されました
- 0x1000 – “Microsoft Option ROM CA 2023” を “Microsoft UEFI CA 2023” に変更しました
| タスク番号(ビット) | Microsoftの公式説明(原文) | 公式説明の日本語訳 | 分かりやすい解説 | なぜ、この作業が必要か?(目的・理由) | |
| 1 | 0x0040 | This bit tells the scheduled task to add the Windows UEFI CA 2023 certificate to the Secure Boot DB. | このビットは、スケジュールされたタスクに「Windows UEFI CA 2023」証明書をセキュアブート DB に追加するよう指示します。 | 新しい「Windows 起動プログラム用の鍵(2023年版)」を、DB (許可リスト)に追加します。 | (準備作業) これは、将来(2026年6月頃)Microsoft が古い「2011年版の鍵」を無効化するのに備えるための準備です。この新しい「2023年版の鍵」を今のうちに追加しておかないと、その「将来の時点」で Windows が起動できなくなってしまいます。 |
| 2 | 0x0800 | This bit tells the scheduled task to apply the Microsoft Option ROM CA 2023 to the DB. | このビットは、スケジュールされたタスクに「Microsoft Option ROM CA 2023」を DB に適用するよう指示します。 | 新しい「ハードウェア(Option ROM)用の鍵(2023年版)」を、DB(許可リスト)に追加します。 | グラフィックカードやネットワークカードなど、特定のハードウェア自体が持つプログラム(Option ROM)を、PC が起動時に信頼できるようにするためです。 |
| 3 | 0x1000 | This bit tells the scheduled task to apply the Microsoft UEFI CA 2023 to the DB. | このビットは、スケジュールされたタスクに「Microsoft UEFI CA 2023」を DB に適用するよう指示します。 | 新しい「サードパーティ製アプリ用の鍵(2023年版)」を、DB(許可リスト)に追加します。 | Microsoft 以外の会社(サードパーティ)が作った、Microsoft 認定のドライバーやアプリを起動できるようにするためです。 |
| 2 & 3 | 0x4000 | This bit modifies the behavior... to only apply these new certificates only if the device trusted the Microsoft Corporation UEFI CA 2011... | このビットは動作を変更します…デバイスが「Microsoft Corporation UEFI CA 2011」を信頼していた場合にのみ、これらの新しい証明書を適用するように。 | これは作業ではなく、作業2と3を実行するための「安全確認スイッチ」です。 | このスイッチがオンの場合、PC が元々「2011年版の古い鍵」を信頼していた場合に限り、作業 2 と 3 を実行します。これにより、互換性の問題を回避しています。 |
| 4 | 0x0004 | This bit tells the scheduled task to look for a Key Exchange Key signed by the device’s Platform Key (PK). ... OEMs sign the Microsoft KEK... | このビットは、スケジュールされたタスクに、デバイスのプラットフォームキー(PK)によって署名されたキー交換キー(KEK)を探すよう指示します。…OEM はMicrosoft KEK に PK で署名します… | 新しい「KEK(マスターキー)」(2023年版)を追加します。 | KEK は、この DB(許可リスト)や DBX(禁止リスト)自体を、将来Microsoft が更新することを「許可」するための鍵です。これが最新でないと、今後のセキュリティ更新(DBX 更新など)ができなくなります。 |
| 5 | 0x0100 | This bit tells the scheduled task to apply the boot manager, signed by the Windows UEFI CA 2023... This will replace the ... 2011 signed boot manager. | このビットは、スケジュールされたタスクに、「Windows UEFI CA 2023」によって署名されたブートマネージャーを適用するよう指示します…これは 2011年版の署名済みブートマネージャーを置き換えます。 | 「Windows 起動プログラム(ブートマネージャー)」そのものを、新しい2023年版の鍵で署名されたものに入れ替えます。 | (準備作業) これも「2026年問題」への準備です。新しい鍵(作業1)を追加した後、その新しい鍵に対応した、最新の(安全な)起動プログラム本体に今のうちに入れ替えておきます。 |
チェックリストの数字が減っていく
この「チェックリスト」の初期値を 0x5944 に設定すると、下記の順番でタスクが実行されます。
※環境により一部順序が前後する場合があります。
(0x5944は、0x0040 + 0x0800 + 0x1000 + 0x4000 + 0x0004 + 0x0100 という、全ての作業タスクを合計した数字です)
- スタート時:
0x5944(全タスク残) - 12時間後: 作業1(
0x0040)が成功 → チェックリストが0x5904になる (0x5944 - 0x0040)。 - 24時間後: 作業2(
0x0800)が成功 →0x5104になる (0x5904 - 0x0800)。 - 36時間後: 作業3(
0x1000)が成功 →0x4104になる (0x5104 - 0x1000)。 - …このように、タスクが成功するたびに、そのタスクの数字がチェックリスト(レジストリの値)から差し引かれていきます。
- 最終状態: 全ての作業が終わると、
0x4000(「安全確認スイッチ」)だけが残ります。
もし途中でどれかの作業に失敗しても、12時間後に再試行されるため、一度にすべての更新を行うよりも安全に、段階的にセキュリティを強化できる仕組みになっています。
ステップ1:更新タスクの「チェックリスト」をレジストリに設定する
まず、Windows に「今からすべてのセキュアブート更新作業(表の 5段階すべて)を開始してください」という「作業チェックリスト」を書き込みます。
- Windowsキー + R を押して「ファイル名を指定して実行」を開き、「regedit」と入力して Enter を押します。
- レジストリエディターが開きますので、以下のキーに移動します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
AvailableUpdatesという名前のREG_DWORD値を「10進数」で22852に設定します。- (※これは、16進数の
0x5944と同じ値です。)
- (※これは、16進数の
ステップ2:スケジュールタスクを強制実行する
このレジストリを読み込むタスクは、通常 12時間ごと(または PC 起動時)にしか実行されません。 変更を即座に反映させるため、管理者として PowerShell を開き、以下のコマンドを実行してタスクを強制的に起動します。
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"ステップ3:結果を確認する
コマンド実行後、PC を再起動し、イベントビューアー(システムログ)を確認します。
- 成功:
イベントID 1808This device has updated Secure Boot CA/keys.(このデバイスのセキュア ブート CA/キーが更新されました。) - 失敗:
イベントID 1801が引き続き記録されます。
これにより、自動更新やメーカーの BIOS アップデートを待たずに、手動で最新のセキュアブート DB/DBX を適用することができます。
※確認してみましたが、AvailableUpdatesの値のデータが0x4000に変更された後、少し時間が経ってからイベントID 1808が記録されました。
Windows セキュアブート証明書のバージョン・有効期限を調べる方法