Windows のイベントログで
「Updated Secure Boot certificates are available… but have not yet been applied to the firmware」
のようなメッセージ(TPM-WMI / Event ID 1801)を見かけると、つい「エラー=危険?」と身構えますよね。😣💦
結論から言うと、この警告は Secure Bootの“次世代証明書(CA 2023)”への切り替えが途中 で、UEFIファームウェア側にまだ反映できていない状態 を示すものです。
2026年6月以降、古い証明書(CA 2011)が期限切れに近づくため、未対応の端末は“保護が弱い状態(degraded security state)”になり得る のがポイント。🛡️📉
✅ 先に結論:設定(Legacy BIOS / Secure Boot関連)を見直すと解消するケースが多いです。
ただ、BIOS/UEFI周りは用語がややこしくて詰まりやすいので、体系的に確認したい人はこの1冊が早いです📘リンク
Secure Boot の“信頼の根っこ”は UEFIファームウェア内の証明書ストア にあります。
Windows Update で新しい証明書が配布されても、最終的にファームウェアへ書き込まれて初めて完了 です。🔐💾
あなたが貼っていた2つは、文言が少し違うだけで、意味としてはどちらも
“更新は来ているのに、ファームウェアへの反映が終わっていない” を示す系統です。⚠️
(実運用では Event ID / 端末属性 / 反映状況(レジストリ) で見ていくのが確実です)📝
まずは基本の土台からです。
月例更新(累積更新)を最新 にし、再起動もきちんと行います。🔁🖥️
Secure Boot証明書の更新は段階的に進むことがあり、複数回の再起動 が効くケースもあります。🧩
次に重要なのが OEM(メーカー)側のBIOS/UEFI更新。
ファームウェア更新が 新証明書を受け入れやすくし、互換性問題を減らす ため、先にやるべきケースがあります。🛠️🧯
(例として、メーカーFAQではBIOS更新で証明書が書き込まれる説明が出ています)
UEFICA2023Status が最終的に "Updated" になるのが目安✅UEFICA2023Error が出ているなら、何らかのエラーが保留中⚠️企業端末(IT-managed updates)の場合、証明書更新は Intune / GPO / レジストリ / WinCS など複数手段があります。
ここで大事なのは、同じ端末で“手段を混ぜない”こと。混ぜると追跡が難しくなります。🧯🚫
過去には Secure Boot DBX 更新(例:KB5012170)で BitLocker回復やインストール失敗 が絡むケースもありました。
もしDBX更新や関連イベントが絡むなら、BitLockerの扱い(回復キー準備) を含め、公式の注意点を踏まえて進めるのが安全です。🔐🧯
UEFICA2023Status="Updated" を目標に確認🎯すぐに起動不能になるケースは多くありませんが、証明書期限(2026年6月以降)に向けて保護が弱い状態になり得る ので、早めの完了確認がおすすめです。🛡️
言い回しの差はありますが、どちらも本質は “更新が来ているが、ファームウェアに適用完了していない” という系統の通知として扱うのが実務的です。🔍
あります。更新が段階的に進むため、複数回の再起動 で状態が進むケースが想定されています。⏱️
環境によりますが、公式ガイダンスでは 互換性問題の予防としてOEMのファームウェア更新を先に適用 する考え方が示されています。✅
Event ID 1808(完了の情報イベント)や、UEFICA2023Status が "Updated" になっているかが目安です。🔍