Windows Server: セキュア ブート証明書の更新について

概要: 本記事では、2026年6月以降、既存のセキュアブート2011証明書が期限切れとなるため、更新をお知らせするためのイベントログ"ID:1801 ソース:TPM-WMI"検出時の対処について説明します。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Windowsイベントログに、"ID:1801 ソース:TPM-WMI"のエラーが検出される。
EventID:1801

 

原因

2026年6月以降、既存のセキュアブート2011証明書が期限切れとなることがアナウンスされており、2025年10月以降のWindowsの累積更新アップデートが適用されたシステム上で、このイベントが検出されるようになりました。

対象機器
PowerEdge 14世代(14G)
PowerEdge 15世代(15G)
PowerEdge 16世代(16G)

メモ:PowerEdge 17世代(17G)は出荷時点で対策済みBIOSが適用されています。
メモ:PowerEdge 13世代(13G)以前の古い機器は、本対策の対象外です。

対象OS
Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows Server 2025

 

解決方法

  1. PowerEdgeのBIOSを、セキュアブート2023証明書に対応した対策バージョンに更新します。

    2025年12月以降にリリースされたバージョンが対策版です。

  2. Windows Server上で、管理者権限でPowerShellを開き、証明書状態確認コマンドを実行します。

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'
    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

    各コマンドの結果が"True"と表示された場合は、対策済みの状態ということを示しています。

    "False"と表示されるコマンドがある場合は、セキュアブート2023証明書が正しく登録されているかご確認ください。
    セキュアブート証明書の登録状況は、F2 > SystemBIOS > System Security > Secure Bootの"Secure Boot Policy Summary"よりご確認いただけます。

    対策済みBIOSの場合、以下4つのキーが登録されています。 
    Key Exchange Key (KEK) Database Entries
Type                   X.509 Certificate
Issuer                 Microsoft RSA Devices Root CA 2021
Subject                Microsoft Corporation KEK 2K CA 2023
Signature Owner GUID   77FA9ABD-0359-4D32-BD60-28F4E78F784B

Authorized Signature Database (db) Entries
Type                   X.509 Certificate
Issuer                 Microsoft RSA Devices Root CA 2021
Subject                Microsoft Option ROM UEFI CA 2023
Signature Owner GUID   77FA9ABD-0359-4D32-BD60-28F4E78F784B

Type                   X.509 Certificate
Issuer                 Microsoft Root Certificate Authority 2010
Subject                Windows UEFI CA 2023
Signature Owner GUID   77FA9ABD-0359-4D32-BD60-28F4E78F784B

Type                   X.509 Certificate
Issuer                 Microsoft RSA Devices Root CA 2021
Subject                Microsoft UEFI CA 2023
Signature Owner GUID   77FA9ABD-0359-4D32-BD60-28F4E78F784B

Windows Server 2022で、対策後もID:1801が検出される問題
Windows server 2022に関しては、上記対策後も再起動のたびに"ID:1801 ソース:TPM-WMI"が検出され続ける状況が確認されています。
この点は、Microsoftより、証明書状態確認コマンドの結果が"True"となっていれば、システムへの影響はないものであるため、無視できるという見解を確認しており、今後のWindows OSの累積更新プログラムにおいて修正される見込みと回答を得ています。

対策を取らない場合のリスクについて
セキュアブート証明書の更新は、今後配信されるセキュアブート関連のアップデートを受信するために必要な対策です。
本対策を実施しない場合、以下のリスクがあります。

  • セキュアブート関連のアップデートを受信できない。
  • BootKitマルウェアに対する脆弱性の増加

なお、未対策の場合でも、既存セキュアブート環境が起動できなくなるということはないことを確認しています。

Microsoft公式情報
Windowsセキュアブート証明書の有効期限とCA更新プログラム
https://support.microsoft.com/ja-jp/topic/7ff40d33-95dc-4c3c-8725-a9b95457578eThis hyperlink is taking you to a website outside of Dell Technologies.
TPM-WMIイベントID: 1801について(Microsoft Japan Windows Technology Support Blog)
https://jpwinsup.github.io/blog/2025/10/28/UEFI/Secure%20Boot/about-tpm-wmi-1801/This hyperlink is taking you to a website outside of Dell Technologies.

Microsoft公式情報内に記述のレジストリの操作について
本対策(BIOS更新)を実施することで、SecureBoot証明書更新プログラムの対象になっていることを検出する12時間ごとのタスクにより、Windowsシステム上で自動的に更新の処理が行われるため、レジストリの操作は必須ではありません。
レジストリの操作は、この処理をすぐに実施するための対応となるため、証明書状態が"True"とならないような場合を除き不要です。

 

対象製品

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025
文書のプロパティ
文書番号: 000415230
文書の種類: Solution
最終更新: 06 4月 2026
バージョン:  3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。