WindowsのNTLM依存がついに終わりへ——IAKerbとLocalKDCがKerberos認証を拡張、Windows Insider Canaryチャンネルでプレビュー開始

MicrosoftはWindows Insider Preview（Canaryチャンネル）向けに、長年にわたってセキュリティ上の懸念であり続けたNTLM認証への依存を段階的に解消するための新機能「IAKerb」と「LocalKDC」を今月後半にパブリックプレビューとして提供開始すると発表した。

NTLMはなぜ問題なのか

NTLM（NT LAN Manager）は1990年代から使われてきた認証プロトコルで、今でもWindowsの多くの場面で「フォールバック」として動き続けている。問題は、NTLMがPass-the-Hash攻撃やNTLMリレー攻撃といった横展開（ラテラルムーブメント）の格好のターゲットになる点だ。

Kerberosへの完全移行が「理想」として語られて久しいが、現実の企業環境では次のような理由でNTLMが残り続けてきた。

• クライアントからドメインコントローラー（DC）への直接経路がない（ネットワーク分割など）
• ローカルアカウントを使った認証フロー
• ワークグループ・スタンドアロン環境
• DCへの到達性が限られるネットワーク構成

この「使いたくないけど使わざるを得ない」状況を打開するのが、今回発表の2機能だ。

IAKerb：DCへの直接経路がなくてもKerberosで通す

IAKerb（Initial and Pass-Through Authentication using Kerberos）は、クライアントがDCへ直接通信できない環境でも、Kerberos認証を維持する仕組みだ。

通常のKerberosでは、クライアントはDCと直接やり取りしてチケットを取得する必要がある。ネットワークセグメント分割や、クラウド接続型の構成ではこの経路が確保できないケースがある。IAKerbでは、この場合に接続先サービス自体がKerberosの中継（プロキシ）役を担うことで、NTLM へのフォールバックを回避する。

つまり、クライアントがサービスには届くがDCには届かない環境でも、Kerberosベースの認証パスを維持できる。このプレビューではIAKerbはデフォルトで有効となる。

LocalKDC：ローカルアカウントにもKerberosを

LocalKDCはWindows上で動作するローカルのKey Distribution Center実装だ。これまでローカルアカウントを使ったマシン間認証は、ほぼNTLM一択だった。LocalKDCはこのギャップを埋め、以下のようなシナリオにKerberos的な保護を持ち込む。

• ワークグループ環境・スタンドアロンデバイス
• ローカルアカウントによるリモートリソースへのアクセス
• ドメインインフラを持たない小規模・P2P環境
• 管理者アカウントやファイルアクセスでローカルIDが使われるシナリオ

なおLocalKDCは今回のプレビューではデフォルト無効。段階的な評価を想定した構成だ。

レジストリキーによる設定方法

パブリックプレビュー段階では、Group PolicyやMDMによる管理はまだ提供されていない。設定は以下のレジストリ値で行う。

レジストリ値 0（有効） 1（無効）

DisableIAKerb IAKerb有効 IAKerb無効

DisableLocalKDC LocalKDC有効 LocalKDC無効

レジストリ値が存在しない場合はリリースのデフォルト動作が適用される。現プレビューではIAKerbが有効（0）、LocalKDCが無効（1）がデフォルトだ。

実務への影響：今から動けること

このプレビューは企業のIT管理者・セキュリティ担当者にとって、「NTLMをいつどうやって止めるか」を計画するための重要な準備期間となる。

今すぐ取り組むべきこと：

NTLMの利用状況を可視化する — Windows 11 24H2/Server 2025から強化されたNTLM監査ログを活用し、まだNTLMが使われている場所を特定する。IAKerb・LocalKDCが対応できるシナリオかどうかの仕分けが第一歩。

テスト環境でInsider Buildを評価する — 本番前に社内アプリケーション、SMB共有、リモート管理ツールがKerberosで動くかを確認する。特にNTLMを前提に作られたレガシーアプリは要注意。

SPN（サービスプリンシパル名）設定の棚卸し — Kerberosへの移行時に最も多い障害がSPN設定の不備。ここを整備しておくことが、将来のNTLM無効化に向けた地盤固めになる。

ワークグループ・スタンドアロン環境を把握する — LocalKDCが特に効くシナリオ。製造現場や小規模拠点などでローカルアカウントが使われているケースを事前に洗い出す。

筆者の見解

NTLMはずっと「消えるはずなのに消えない」プロトコルだった。Kerberosへの移行が叫ばれ続けて十数年、それでもネットワーク分割やローカルアカウントの都合でNTLMが生き残り続けてきた。IAKerbとLocalKDCは、その「仕方なく残っているNTLM」を段階的に置き換えるための、ようやく現実的な手段といえる。

ゼロトラストの観点でも、NTLMが残っている限りはリレー攻撃の経路が閉じられない。「NTLMを無効にしたいが現実的に無理」という組織の言い訳が、これで一つ減ることになる。

Microsoftのこの取り組み自体は、正しい方向に進んでいると思う。ただ、エンタープライズ側の準備が追いつくかどうかが問題だ。特に日本の大企業環境では、レガシーなNTLM依存アプリが膨大に眠っていることが多い。Group PolicyやMDM管理がまだ未提供という点も含め、「プレビューの今から評価を始める」姿勢を持つ組織とそうでない組織の差は、数年後に大きく開くだろう。

Microsoftには、Group Policy/MDMサポートの早期提供と、移行を助けるツール・ガイダンスの充実を期待したい。これは技術の正しい進化であり、その努力をきちんと実務に届く形にしてほしいと思う。

出典: この記事は Reducing NTLM Dependency: IAKerb and LocalKDC in Windows Insider Preview の内容をもとに、筆者の見解を加えて独自に執筆したものです。