いざNTLM脱却へ Microsoftが新たなKerberos拡張機能をプレビュー公開:Windows認証の聖域にメス
多くの企業を悩ませるNTLMの依存低減に向けてMicrosoftが新たな一手を打った。長年の課題だった認証の“逃げ道”を埋める新機能が登場したことで、Windows認証の常識は変わるのだろうか。企業が今確認すべきポイントを整理する。
Microsoftは2026年6月2日(米国時間)、公式プログラム「Windows Insider」の「Canary Channel」において認証機能「IAKerb」(Initial and Pass-Through Authentication using Kerberos)および「LocalKDC」の公開プレビューを同年6月後半から提供すると発表した。Kerberos認証の適用範囲を広げ、従来NTLM(NT LAN Manager)への切り替えが必要だった場面を減らす狙いがある。
IAKerbとLocalKDCが担うNTLM依存低減の役割
公開プレビューでは、IAKerbを既定で有効、LocalKDCを既定で無効とする。両機能はレジストリ設定による有効/無効の切り替えに対応する。現段階では評価用としてレジストリ経由で設定を提供し、グループポリシーやMDM(Mobile Device Management)による管理機能は今後追加する予定だ。
企業ではNTLMからの移行がセキュリティ上の課題となっている。しかしドメインコントローラーに直接接続できない端末やローカルアカウントを利用する認証、ワークグループ環境、Kerberosの到達性が制限されるネットワーク構成などにおいて、NTLMが引き続き利用されてきた。Microsoftが投入する2つの新機能は、この“最後の例外領域”を埋めるための仕組みだ。では、これまでNTLMへの切り替えが避けられなかったどのような場面で効果を発揮するのだろうか。
IAKerbは、Kerberosクライアントがドメインコントローラーに直接接続できない場合でもKerberos認証を利用できるようにする仕組みだ。通常のKerberos認証ではクライアントがドメインコントローラーと通信し、認証チケットを取得する必要があるが、IAKerbでは接続先サービスが認証処理の仲介役となる。これによってNTLMに切り替えずKerberos経路で認証を継続できる。
同機能はネットワーク分離環境やドメインコントローラーへの接続が制限される構成、クラウド経由のアクセス環境、サービスへの接続は可能でもドメインコントローラーへの直接接続が困難な構成などでの利用を想定する。
LocalKDCは「Windows」で動作するローカルのキー配布センター機能だ。ローカルアカウントを利用した認証では従来NTLMへの依存が大きかったが、LocalKDCはローカルID利用時にもKerberos方式の認証を可能にする。対象にはワークグループ環境や単独運用端末、ローカルアカウントによるリモートリソース利用、ピアツーピア構成、小規模環境での認証、管理作業やファイルアクセスなどが含まれる。
両機能は異なる課題に対応する。IAKerbは企業のドメイン資格情報を使った環境を対象とし、ドメインコントローラーへの接続制約が存在してもKerberos利用を維持する。これによって企業アカウントへの資格情報窃取やリレー攻撃、横展開型攻撃のリスク低減を目指す。
LocalKDCはローカルアカウントやドメイン非参加環境の認証を対象とする。ワークグループや単独運用端末などでKerberosベースの保護機能を提供し、従来NTLMに依存していた認証方式の代替手段となる。
Microsoftは旧来の認証プロトコルを無効化するだけでは不十分だと説明する。利用者には安全かつ安定した認証方式が必要であり、Kerberosの適用範囲拡大によって旧来方式への依存を減らす方針を示した。
プレビュー版において、IAKerbとLocalKDCで対応可能な利用場面の確認、NTLM監査機能による残存依存関係の把握、名前解決やSPN設定などの確認が可能となる。SMB共有へのアクセス、遠隔管理、ドメインコントローラーへの接続が制限された環境、ワークグループ認証、ローカルアカウント利用環境などでの検証を推奨している。
Microsoftは、アプリケーション固有の要件や環境設定、同一端末でのドメインアカウントとローカルアカウントの組み合わせなどにより、NTLMに切り替わる場面が残る可能性があると説明した。IAKerbとLocalKDCはNTLM利用場面の一部に対応する機能であり、今後も対応範囲の拡充を続けるとしている。
利用者はWindowsのログ機能やNTLM運用ログを使って、Kerberos認証の利用状況やNTLMへの切り替え要因を確認できる。Microsoftは評価結果や利用事例の報告を呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
イラン vs. 米国・イスラエル 現実味を増す“サイバー報復”の連鎖【動画あり】
中東で続く軍事衝突は、原油価格や物流だけの問題ではない。イランや米国、イスラエルは長年にわたり“見えない戦争”をサイバー空間で繰り広げてきた。今、その火種はサプライチェーンやVPN機器を通じ、日本企業のネットワークにも静かに近づき始めている。
「EDR無効化」「暗号化はしない」 2026年のランサムウェアに起きた変化
もはや「暗号化」は必須ではない。ランサムウェア攻撃が“データを人質に取る”新フェーズに突入した。支払い率の低下で攻撃者が選び始めた次の稼ぎ方とは。EDR無効化や量子耐性暗号まで導入される中、防御側の常識も揺らぎ始めている。
5週間で340超の企業が被害に Microsoft 365のアクセスを奪う新型フィッシングに注意
MFAを突破されていないのに、なぜ電子メールやクラウドが“乗っ取られる”のか。5週間で340超の企業が被害に遭ったMicrosoft 365を狙う新型フィッシングは、パスワードではなく「OAuth同意」を悪用していたという。
ITコストが爆増する“低品質キッティング”の特徴 あるべき姿を考える
「PCを配るだけの仕事」と思われがちなキッティングですが、その品質次第でインシデントや運用負荷も、ITコストも大きく変わります。それでも情シスの仕事は“何も起きない”ほど評価されません。情シスが経営層に伝えるべき“本当の価値”を掘り下げます。