最近イベントビューアーを閲覧された方は、セキュアブート証明書に関連する新しいTPM-WMIエラーに遭遇されたかもしれません。ご安心ください。このような経験をされているのはあなただけではありません。多くのWindows 11ユーザーが同様の問題を報告しており、特に2026年2月の月例パッチアップデートのインストール後に多く発生しています。

幸いなことに、これらの現象はバグを示すものではありません。Microsoftは現在、2011年から使用されているセキュアブート証明書の更新作業を進めています。これらの古いキーの有効期限が近づいているため、WindowsはWindows UEFI CA 2023と呼ばれるより新しい証明機関に移行しています。
セキュアブートは、オペレーティングシステムの読み込み前に、信頼できるファームウェア、ブートローダー、およびシステムコンポーネントのみの実行を許可することで、PCの起動時にセキュリティを保護する上で重要な役割を果たします。これらの証明書の有効期限が切れたり、信頼ステータスが失われたりすると、セキュアブートの有効性が損なわれる可能性があります。
証明書の更新は、2026年2月のWindows 11アップデート(KB5077181)の一部であり、一般的な慣行として、特定のデバイスに応じて段階的に展開されます。この段階的なアプローチでは、新しいキーがPCのファームウェアに適用される前に、テレメトリと信頼性チェックを活用します。
その結果、多くのユーザーが、システムに直ちに変更が加えられていないにもかかわらず、イベントビューアーに「更新された証明書が利用可能です」や「監視中」といった通知メッセージが表示されるようになっています。これらのアラートはエラーを示すものではないことにご注意ください。ほとんどの場合、Windowsは新しいセキュアブートキーを安全に適用する前に、デバイスの準備と互換性の確認を行っていると考えられます。
イベントビューアのTPM-WMIエラーを理解する
多数の Windows 11 ユーザーから、次のようなメッセージとともにイベント ID 1801 が表示されたとの報告があります。
「BucketConfidenceLevel: 観察中 – さらなるデータが必要」

ご安心ください。PCは安全に動作しており、故障はありません。ログはエラーや故障の兆候ではなく、単なるステータスレポートです。
セキュアブートキーはファームウェアレベルに存在し、OEMファームウェアやマザーボードベンダーを含むPCエコシステム全体で利用されています。そのため、予期せぬ問題によってデバイスが起動不能になることを防ぐため、変更は慎重に行う必要があります。
証明書移行プロセスには、次の 2 つの重要なステップが含まれます。
- 新しいセキュア ブート証明書が Windows からアクセス可能になります。
- この証明書はその後、システム ファームウェアに適用されます。
多くのシステムでは、このプロセスは2つのフェーズの間にあるため、時間がかかることがあります。イベントビューアーに、更新されたセキュアブート証明書が利用可能だがまだ実装されていないと表示された場合は、デバイスが識別され、評価され、次のステップのキューに登録されていることを示しています。「監視中」ステータスは、ファームウェアレベルの変更を実行する前に、Microsoftがデバイスから関連信号を収集し、信頼性の高い動作を確保していることを意味します。
さらに、Windows は、ファームウェアレベルで新しい証明書が採用されるずっと前に、OS 内で新しい証明書をダウンロードして準備する機能を備えています。そのため、ファームウェアが新しいキーを認識して記録するまで、イベントビューアーには移行が保留中であることを示すステータスメッセージが表示され続ける可能性があります。
これらのログは単なる情報提供のためのステージングログであるにもかかわらず、エラーと解釈される可能性があるのはそのためです。TPMの問題、セキュアブートプロセスの失敗、またはBIOSの破損を意味するものではありません。多くのシステムは、特にこのような段階的なロールアウトの場合、長期間にわたってこの移行フェーズに留まる可能性があります。
新しいセキュアブート証明書の適用を確認する方法
Windows は、Windows UEFI CA 2023 証明書がシステムに既に組み込まれているかどうかを確認する簡単な方法を提供しています。この手順は完全に安全で、設定を変更することはありません。
ステップ1: 管理者としてPowerShellを起動する
[スタート] ボタンを右クリックし、[Windows PowerShell (管理者)] または [ターミナル (管理者)] を選択します。
ステップ2: 次のコマンドを指示通りに実行します。
([System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023′)

ステップ3:結果を解釈する
- True : これは、Windows UEFI CA 2023 証明書がセキュア ブート データベースに既に存在し、イベント ビューアーにステージング メッセージまたは観察メッセージが表示されている場合でも、システムの準備ができていることを示します。
- False:デバイスがまだ証明書を受け取っていないことを示しています。これはエラーではなく、特に対処する必要はありません。PCはロールアウトプロセスの順番を待っているだけです。
イベントビューアで更新を確認する方法
PowerShell コマンドが True を返して、確認のために公式ログを表示したい場合は、無数のイベントを精査せずにシステム ログでそれらを見つける簡単な方法があります。
- イベント ビューアーを開きます (スタート メニューで検索します)。
- Windows ログ > システムに移動します。
- 右側で、「現在のログをフィルター…」をクリックします。
- [イベント ソース] ドロップダウンで下にスクロールし、[TPM-WMI] のボックスをオンにします (Microsoft-Windows-TPM-WMI と表示される場合があります)。
- [OK]をクリックします。

フィルタリング後、イベントID 1808 を探してください。このイベントが表示された場合、新しいセキュアブート証明書が正常に適用されたことを確認できます。また、イベントID 1034 が表示される場合もあります。これは、DBX(失効リスト)の更新も正常に完了したことを示します。


これら2つのチェックは、時として矛盾しているように見える場合があることにご注意ください。PowerShellではTrueの結果が返される一方で、イベントビューアーではファームウェアに証明書が適用されていないという警告が引き続き記録されるという状況が発生することがあります。この矛盾は正常であり、OSレベルのアップデートが先に行われ、その後、再起動やアップデートの後にファームウェアの適用が行われる可能性があります。
PowerShellがTrueを返す限り、システムは正常に動作しています。この時点では、イベントビューアーのログは無視しても問題ありません。
BIOS をすぐに更新する必要がありますか?
BIOS アップデートに関しては、直ちにアクションを実行する必要はありません。
このロールアウトに関してよくある誤解は、Microsoftがファームウェアの変更を直接プッシュしているというものです。実際には、BIOSとUEFIファームウェアはWindows Updateとは独立して、デバイスの製造元によって管理されています。そのため、MicrosoftはDell、Lenovo、HP、ASUS、AcerなどのOEMとの調整なしに、すべてのマシンのファームウェアレベルでセキュアブートキーを恣意的に更新することはできません。

ファームウェアのアップデートはOSのアップデートよりもはるかにデリケートです。Windowsのアップデートの失敗は多くの場合ロールバックできますが、ファームウェアのアップデートの失敗はPCが起動不能になる可能性があります。そのため、デバイスメーカーはセキュアブートキーの移行を綿密に検証し、プラットフォーム固有の構成に影響を与えないことが確実な場合にのみアップデートをリリースする必要があります。
次の場合にのみ BIOS アップデートを検討してください。
- デバイスの製造元は、そうすることを明示的に推奨しています。
- 更新ドキュメントは、セキュア ブート証明書の変更に関するものです。
- ファームウェアのアップデートを実行し、それに伴うリスクを理解するための知識とスキルを身に付けていること。
このような更新は多くの場合、エンタープライズ環境向けに設計されており、適切に実行されない場合、セキュリティが低下する可能性があります。
最近、Microsoftが裏でより積極的に活動しているように感じるなら、それはまさにその通りです。セキュアブート証明書の更新は予想されていましたが、以前の証明書が15年前のものだったため、MicrosoftはWindowsのデフォルトのセキュリティ強化に尽力しています。