EC2 Secure Boot 証明書更新通知への対応について

質問・問題

EC2上で稼働しているWindows Serverにおいて、起動の度、Systemログに以下のイベントが出力されております。

■イベント情報
・Event ID:1801
・メッセージ(抜粋):
Secure Boot certificates have been updated but are not yet applied to the device firmware.
Review the published guidance to complete the update and ensure full protection.

必要な対応を教えてください。

 

回答・解決方法

ご報告いただいた Event ID 1801 は、2025 年 10 月以降のセキュリティ更新プログラム適用後に記録される想定された動作でございます [1]。
Microsoft が Secure Boot で使用している 2011 年発行の証明書を 2023 年版に更新するロールアウトの一環として、UEFI ファームウェア側の証明書データベースが未更新であることを通知するイベントとなっております。

本イベントへの対応要否は、対象インスタンスにて UEFI Secure Boot が有効であるかどうかによって異なります。
Secure Boot の状態は、対象インスタンスにて msinfo32 を実行し、「システムの要約」の「セキュアブートの状態」からご確認いただけます。

Secure Boot が無効な環境 (「サポートされていません」または「オフ」) では、証明書は利用されませんので、本イベントについては無視していただいて差し支えございません。
AWS が提供している多くの Windows AMI では、Secure Boot はデフォルトで無効に設定されております [2]。

UEFI ファームウェア側の証明書更新につきましては、AWS 側で対応いたしますので、お客様側での対処は不要でございます。
具体的な対応時期につきましては、現時点でご案内可能な情報がございません。
 

Secure Boot が有効な環境では、ファームウェア側の対応に加えて、OS 側の Secure Boot 証明書更新が必要となります。対処方法として、以下の 2 つの選択肢がございます。

1. 手動で Secure Boot 証明書の更新を適用する
2. Microsoft による自動更新の適用を待つ

詳細についてはドキュメント[1] をご参照ください。

(補足)
証明書の有効期限が到来した場合でも、インスタンスの起動自体には影響はございません [3]。

影響は Secure Boot に関するセキュリティ更新を受け取れなくなる点に限定されます。


◼︎ 参考資料
[1] TPM-WMI イベント ID: 1801 について - Microsoft Japan Windows Technology Support Blog
https://jpwinsup.github.io/blog/2025/10/28/UEFI/Secure%20Boot/about-tpm-wmi-1801/

===
本イベントは Secure Boot 証明書の更新が未完了であることを通知する目的で記録されております。
===
[2] AWS Windows Server NitroTPM 対応 AMIs - Amazon EC2
https://docs.aws.amazon.com/ja_jp/ec2/latest/windows-ami-reference/ami-windows-tpm.html#ami-windows-tpm-find

[3] Act now: Secure Boot certificates expire in June 2026 - Microsoft Tech Community
https://techcommunity.microsoft.com/blog/windows-itpro-blog/act-now-secure-boot-certificates-expire-in-june-2026/4426856

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください