適用先
Windows 10, version 1607, all editions Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows 10, version 1809, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 ESU Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 11 version 23H2, all editions Windows 11 version 24H2, all editions Windows 11 version 25H2, all editions Windows 11 version 26H1, all editions Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

元の発行日: 2026 年 3 月 10 日

KB ID: 5084464

この資料の内容

概要とスコープ

高信頼度データベースは、観察されたサービスと信頼性のシグナルに基づいて正常な更新動作を示したデバイスとファームウェアの構成を特定することで、Windows がセキュア ブート証明書の更新プログラムを提供する方法をサポートします。

この記事では、高信頼度データベースが表す内容、信頼度の決定方法、およびデータが Windows サービスによって公開および使用される方法について説明します。 これは、信頼度データがセキュア ブート証明書の更新の決定にどのように通知されるかを理解したい IT プロフェッショナル、セキュリティ チーム、およびサポート エンジニアを対象としています。これには、このデータが累積的な更新プログラムを通じて表示され、顧客の可視性のために公開される方法が含まれます。

先頭に戻る

高信頼度データベースが表す内容

高信頼度データベースは、観察されたサービスと信頼性のシグナルに基づいて、セキュリティで保護されたブート証明書の更新プログラムを受け取る準備ができているデバイスとファームウェアの構成に関する Microsoft の評価を反映しています。

Windows エコシステムにおけるハードウェアとファームウェアの組み合わせの規模と多様性を考慮すると、データベースは、同様の特性を持つデバイスをグループ化し、実際の更新結果を測定することで、更新の準備状況を評価する実用的な方法を提供します。 この信頼度データは、Windows が成功した結果を優先する制御された方法でセキュア ブート証明書の更新プログラムを提供するのに役立つ累積的な更新プログラムに含まれています。

先頭に戻る

制限事項とカバレッジに関する考慮事項

高信頼度データベースは、セキュリティで保護されたブート証明書の更新の準備状況を評価するのに十分なサービス データが Microsoft に存在する場所を反映しています。 このデータのほとんどは、サービス信号が広範で一貫性のある Windows クライアント デバイスから取得されます。 その結果、クライアント プラットフォームはより大きく表現されます。

Windows Serverや Windows IoT などのその他のデバイスの種類では、展開パターン、テレメトリの可用性、および更新ワークフローの違いにより、表現が低くなります。 これは、これらのプラットフォームのサポートが減少したことを示すものではありません。 これは、信頼度評価を通知するために使用できる観測信号の数が少ないほど反映されます。 これらの環境でセキュア ブート証明書の更新プログラムを展開するお客様は、展開モデルと運用要件に合わせて、追加の焦点と検証を使用してデプロイを計画する必要があります。

先頭に戻る

データ構造と分類

高信頼度データベースは、一般的なハードウェア、ファームウェア、プラットフォームの属性を共有するデバイスをグループ化するデバイス バケットに編成されています。 この方法により、Windows サービスは、個々のシステムごとにではなく、デバイス クラス レベルでセキュア ブート更新の動作を評価できます。

各バケットには、セキュア ブート証明書の更新準備の現在の評価を反映する信頼度分類が割り当てられます。 これらの分類は、イベント 1801、1802、1803、1808 など、Windows イベントによって表示されます。 詳細については、「 セキュア ブート DB と DBX 変数の更新イベント」を参照してください。 信頼度分類は、 ConfidenceLevel レジストリ キーを使用して使用することもできます。 詳細については、「 セキュア ブート: IT で管理された更新プログラムを含む Windows デバイスのレジストリ キーの更新プログラム 」を参照してください。

 先頭に戻る

信頼度分類

高信頼度データベースは、セキュリティで保護されたブート証明書の更新準備に関する Microsoft の現在の評価を反映し、展開の決定を導くために使用される信頼度の分類にデバイスをグループ化します。

  • 高い信頼度: このグループのデバイスは、新しいセキュア ブート証明書を使用してファームウェアを正常に更新できることを、観察されたデータを通じて実証しました。

  • 一時的に一時停止: このグループ内のデバイスは、既知の問題の影響を受けます。 リスクを軽減するために、Microsoft とパートナーがサポートされている解決に向けて取り組んでいる間、セキュア ブート証明書の更新が一時的に一時停止されます。 これにはファームウェアの更新が必要な場合があります。 詳細については、1802 イベントを探してください。

  • サポートされていません - 既知の制限事項: このグループ内のデバイスは、ハードウェアまたはファームウェアの制限により、自動セキュア ブート証明書の更新パスをサポートしていません。 現在、この構成でサポートされている自動解決は使用できません。

  • [観測 - その他のデータが必要] の下で次の手順を実行します。 このグループ内のデバイスは現在ブロックされていませんが、高信頼度として分類するのに十分なデータはまだありません。 セキュア ブート証明書の更新は、十分なデータが使用可能になるまで延期される場合があります。

  • データの監視なし - アクションが必要です。 Microsoft は、セキュア ブート更新データでこのデバイスを観察していません。 その結果、このデバイスに対して証明書の自動更新を評価できないため、管理者の操作が必要になる可能性があります。 この分類は高信頼度データベースには含まれず、デバイスがデータベースに見つからない場合に Windows によって生成されます。

先頭に戻る 

高信頼度データベースの公開

高信頼度データベースは、2 つの補完的なメカニズムを通じて公開されます。 1 つは、自動 Windows サービスをサポートします。 もう 1 つでは、顧客とパートナーの信頼度データが可視化されます。

先頭に戻る 

GitHub でのデータへのアクセス

Microsoft は、セキュリティで保護されたブート証明書の更新の準備状況を評価するために使用されるデータの透明性を提供するために、人間が判読できるバージョンの高信頼度データベースを GitHub に公開しています。 このバージョンには、信頼バケットを形成するために使用されるデバイス属性が含まれており、人間による検査と分析を目的としています。 Windows サービスでは直接使用されません。

このデータは 、Microsoft Secure Boot Objects GitHub リポジトリ で入手でき、次の対象ユーザーにとって役立つ場合があります。

  • IT 管理者とセキュリティ チーム: セキュア ブート展開の準備状況を評価し、累積的な更新プログラムを通じて配信される証明書の更新プログラムの対象となるデバイス クラスを理解します。

  • デバイスの製造元: Windows エコシステム全体でデバイスとファームウェアの構成がどのように表されるかを確認します。

  • Linux ディストリビューションを含むその他のオペレーティング システム ベンダー: デバイスとファームウェアの構成の分類方法を理解し、該当する場合は Microsoft の段階的なロールアウト アプローチに合わせます。

データは毎月 2 回更新され、月の第 2 火曜日の毎月のセキュリティ更新プログラムと、月の第 4 火曜日のオプションのセキュリティ以外のプレビュー更新プログラムに合わせて更新されます。 ​​​​​

先頭に戻る

サービス更新プログラムに含まれる高信頼度データ

高信頼度データベースの署名済みバージョンは、Windows の累積的な更新プログラムに含まれており、セキュリティで保護されたブート証明書の更新の準備状況を評価するために Windows サービスによって直接使用されます。 このデータは整合性が保護され、ローカルで評価されるため、デバイスが Microsoft テレメトリに表示されない場合でもサービスの決定が可能になります。

デバイスでは、データは次の 下にBucketConfidenceData.cab として格納されます。

%SystemRoot%\System32\SecureBootUpdates\

このサービス統合バージョンには、信頼バケットのコンパクトで構造化された表現が含まれています。 これには、バケットメンバーシップと関連する信頼度分類を決定するために必要な属性のみが含まれます。 バージョンとタイムスタンプのメタデータにより、適用できる最新のデータが確実に使用されます。 このバージョンは信頼性、サイズ、およびセキュリティ用に最適化されており、直接検査や変更を目的としたものではありません。

先頭に戻る

信頼性の高いデータベース更新プログラムの受信頻度が高い

Windows 11バージョン 24H2 または 25H2 を実行しているデバイスは、毎月のセキュリティ更新プログラムの頻度よりも高信頼度データベース更新プログラムを頻繁に受け取ることができます。 これらのバージョンでは、毎月のセキュリティ更新プログラムに加えて、オプションのセキュリティ以外のプレビュー更新プログラムも受け取ります。これには、新しい信頼度データが含まれる場合があります。 これらの更新プログラムをインストールすると、お客様は、標準の Windows サービス内に留まりながら、最新の信頼度データに近づけることができます。

先頭に戻る

Windows バージョン間での高信頼度データの再利用

一部の環境では、管理者は、サポートされている Windows バージョン (Windows 11 バージョン 24H2 または 25H2 より古いバージョン) に高信頼度データベースを展開することを選択できます。

このシナリオでは、データベースはバージョン 24H2 または 25H2 Windows 11から取得され、オプションのセキュリティ以外のプレビュー更新プログラムを通じて新しい信頼度データを受け取ります。 このデータベースを展開すると、月単位のセキュリティ更新プログラムのみでよりも早く、サポートされている以前のバージョンの Windows で新しい信頼度評価を評価できます。 これにより、信頼度の計算方法やセキュア ブート証明書の更新プログラムの適用方法は変わりません。

先頭に戻る

高信頼度データベースを他の Windows バージョンに展開する

BucketConfidenceData.cabデプロイするには、organizationのデプロイ ツールとプラクティスに沿ったプロセスを使用します。

  1. 最新セキュリティ以外の更新プログラムを実行しているWindows 11バージョン 24H2 または 25H2 システムからBucketConfidenceData.cabを取得します。 ファイルは次の場所にあります。

    %SystemRoot%\System32\SecureBootUpdates\

  2. ターゲット デバイスで、管理者として、まだ存在しない場合は、次のディレクトリを作成します: ​​​​​​​

    %ProgramData%\Microsoft\Windows\SecureBootUpdates

  3. BucketConfidenceData.cab をそのディレクトリにデプロイします。

スケジュールされたタスクを次回実行する場合 (通常は 12 時間以内)、サービス更新プログラムに含まれるバージョンよりも新しい場合、Windows はこのファイルを使用します。

先頭に戻る

Windows が信頼度データを選択する方法

1 つのデバイスに、高信頼度データベースの複数のコピーが含まれている場合があります。 一貫性のある動作を保証するために、信頼度データを評価するときに、Windows によって定義された優先順位モデルが適用されます。

署名された信頼度データ ファイルが累積的な更新プログラムに含まれている場合、そのサービス コピーは既定で使用されます。 複数のコピーが存在する場合、Windows はバージョンとタイムスタンプのメタデータに基づいて最新の適用可能なバージョンを選択します。

先頭に戻る

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター