セキュリティ

SECURITY

公開：2025-03-03

MicrosoftがWindows Server 2025とWindows 11 24H2のKerberosからDESを削除、セキュリティ強化に向け暗号化方式を刷新

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MicrosoftがKerberosからDESを削除すると発表
• Windows Server 2025とWindows 11 24H2が対象
• 2025年9月9日以降のWindows Updateで実施

MicrosoftがKerberosからDESを削除へ、セキュリティ強化を推進

米Microsoftは2025年2月28日、Windows Server 2025およびWindows 11バージョン24H2のKerberosからデータ暗号化標準（DES）を削除すると発表した。DESは1977年に米国で初めての業務用標準暗号アルゴリズムとして制定され、Windows 2000のKerberos実装にも含まれていたが、2012年のRFC6649でKerberos標準から取り除かれていた。^[1]

Windows 7およびWindows Server 2008 R2以降、DESは既定で無効化されており、現在はオプションのコンポーネントとして残されているものの、初期設定ではインストールされていない状態となっている。Windows Server 2025およびWindows 11バージョン24H2からの完全な削除は、2025年9月9日以降にリリースされるWindows Updateで実施される予定だ。

Microsoftによると、WindowsのKerberosではDESがネイティブに使用されたことはなく、主にサードパーティーとの互換性維持のために残されていた機能である。古いバージョンのJavaで使用されていた可能性があるため、レガシーシステムを運用している組織は早急な対応が必要となっている。

Windows Server 2025とWindows 11 24H2のDES削除まとめ

Kerberosについて

Kerberosとは、コンピュータネットワーク上での認証を行うためのプロトコルであり、主に以下のような特徴を持っている。

• 暗号化を用いた相互認証システム
• シングルサインオンを実現する認証基盤
• Windowsドメイン認証の中核技術

WindowsのKerberosでは、DESは主にサードパーティーとの互換性維持のために実装されていた。現在はAES（Advanced Encryption Standard）などのより強力な暗号化方式が標準として採用されており、セキュリティ面での懸念から古い暗号化方式であるDESの段階的な廃止が進められている。

Windows ServerのDES削除に関する考察

MicrosoftによるDESの削除は、セキュリティ強化の観点から適切な判断といえる。DESは計算能力の向上により解読が容易になっており、現代のセキュリティ要件を満たさなくなっているため、より強力な暗号化方式への移行は避けられない流れとなっている。

ただし、レガシーシステムを多く抱える企業にとって、移行期間は決して十分とはいえない状況だ。特に古いバージョンのJavaを使用しているシステムでは、アプリケーションの改修やテストに相当な時間と労力が必要となることが予想される。

長期的には、暗号化技術の進化に合わせて定期的なセキュリティアップデートが必要不可欠となるだろう。企業はDESの削除を契機として、セキュリティポリシーの見直しや暗号化方式の最新化を計画的に進めていく必要がある。

参考サイト

1. ^ Microsoft Teams Blog. 「Removal of DES in Kerberos for Windows Server and Client | Microsoft Community Hub」. https://techcommunity.microsoft.com/blog/WindowsServerNewsandBestPractices/removal-of-des-in-kerberos-for-windows-server-and-client/4386903, (参照 25-03-03).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧