Windows Server: セキュア ブート証明書の更新について

概要: 本記事では、2026年6月以降、既存のセキュアブート2011証明書が期限切れとなるため、更新をお知らせするためのイベントログ"ID:1801 ソース:TPM-WMI"検出時の対処について説明します。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Windowsイベントログに、"ID:1801 ソース:TPM-WMI"のエラーが検出される。
EventID:1801

 

原因

2026年6月以降、既存のセキュアブート2011証明書が期限切れとなることがアナウンスされており、2025年10月以降のWindowsの累積更新アップデートが適用されたシステム上で、このイベントが検出されるようになりました。

対象機器
PowerEdge 14世代(14G)
PowerEdge 15世代(15G)
PowerEdge 16世代(16G)

メモ:PowerEdge 17世代(17G)は出荷時点で対策済みBIOSが適用されています。
メモ:PowerEdge 13世代(13G)以前の古い機器は、本対策の対象外です。

対象OS
Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows Server 2025

 

解決方法

  1. PowerEdgeのBIOSを、セキュアブート2023証明書に対応した対策バージョンに更新します。

    2025年12月以降にリリースされたバージョンが対策版です。

BIOS更新後24時間以上経過後に、Windows Server上で管理者権限でPowerShellを開き、以下証明書状態確認コマンドを実行します。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

各コマンドの結果が"True"と表示された場合は、対策済みの状態ということを示しています。


メモ: Hyper-V上の仮想マシンに関しましては、ホストのBIOS更新後、
"Windows UEFI CA 2023" "Microsoft Corporation KEK 2K CA 2023"のみ"True"であれば対策済みとなります。

"False"と表示されるコマンドがある場合は、セキュアブート2023証明書が正しく登録されているかご確認ください。
セキュアブート証明書の登録状況は、F2 > SystemBIOS > System Security > Secure Bootの"Secure Boot Policy Summary"よりご確認いただけます。

対策済みBIOSの場合、以下4つのキーが登録されています。
Key Exchange Key (KEK) Database Entries
Type                   X.509 Certificate
Issuer                 Microsoft RSA Devices Root CA 2021
Subject                Microsoft Corporation KEK 2K CA 2023
Signature Owner GUID   77FA9ABD-0359-4D32-BD60-28F4E78F784B

Authorized Signature Database (db) Entries
Type                   X.509 Certificate
Issuer                 Microsoft RSA Devices Root CA 2021
Subject                Microsoft Option ROM UEFI CA 2023
Signature Owner GUID   77FA9ABD-0359-4D32-BD60-28F4E78F784B

Type                   X.509 Certificate
Issuer                 Microsoft Root Certificate Authority 2010
Subject                Windows UEFI CA 2023
Signature Owner GUID   77FA9ABD-0359-4D32-BD60-28F4E78F784B

Type                   X.509 Certificate
Issuer                 Microsoft RSA Devices Root CA 2021
Subject                Microsoft UEFI CA 2023
Signature Owner GUID   77FA9ABD-0359-4D32-BD60-28F4E78F784B

ID:1801の継続検出について
BIOS更新の対策後も、ID:1801は再起動のたびに検出される場合がございますが、運用上の影響はございませんので、対処は不要です。
ID:1801の検出を気にされる場合は、以下、レジストリの操作による対処をご検討ください。

レジストリの操作

  1. レジストリエディターを開きます。
  2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBootへ移動します。
  3. AvailableUpdatesを選択し、右クリックより"修正"を選択します。
  4. 値のデータの欄に"5944"を入力します。
  5. OKをクリックします。
    レジストリの画面
  6. Powershellを管理者権限で起動します。
  7. コマンドStart-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"を実行します。
    Powershell Updateコマンド
  8. システムを再起動します。
  9. 再起動後に再度Powershellを管理者権限で開き、手順7.のコマンドを実行します。
  10. システムイベントログに、"ID:1808 ソース:TPM-WMI"が検出されていることを確認します。
メモ:Windows server 2022に関しては、レジストリの操作後も再起動のたびに"ID:1801 ソース:TPM-WMI"が検出され続ける状況が確認されています。
この点は、Microsoftでも把握済みと確認が取れており、今後のWindowsの累積更新プログラムにおいて修正される見込みです。

対策を取らない場合のリスクについて
セキュアブート証明書の更新は、今後配信されるセキュアブート関連のアップデートを受信するために必要な対策です。
本対策を実施しない場合、以下のリスクが考えられます。

  • セキュアブート関連のアップデートを受信できない。
  • BootKitマルウェアに対する脆弱性の増加

なお、未対策の場合でも、既存セキュアブート環境の起動に影響はありません。

 

Microsoft公式情報
Windowsセキュアブート証明書の有効期限とCA更新プログラム
https://support.microsoft.com/ja-jp/topic/7ff40d33-95dc-4c3c-8725-a9b95457578eThis hyperlink is taking you to a website outside of Dell Technologies.
TPM-WMIイベントID: 1801について(Microsoft Japan Windows Technology Support Blog)
https://jpwinsup.github.io/blog/2025/10/28/UEFI/Secure%20Boot/about-tpm-wmi-1801/This hyperlink is taking you to a website outside of Dell Technologies.


ホストOSがESXiの場合の情報
[TAM Blog] セキュアブート証明書の有効期限切れに関する注意点と対応について
https://blogs.vmware.com/vmware-japan/2026/04/secureboot.htmlThis hyperlink is taking you to a website outside of Dell Technologies.

 

対象製品

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025, PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX7000, PowerEdge MX740C

製品

PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415 , PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ...
文書のプロパティ
文書番号: 000415230
文書の種類: Solution
最終更新: 27 5月 2026
バージョン:  6
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。