リード文

Microsoftは2026年7月14日のセキュリティ更新で、Windows Server ドメインコントローラーにおけるKerberos認証のRC4ハードニングを最終フェーズへ進める。これまで移行期間として提供されてきた「Audit Mode(監査モード)」が廃止され、「Enforcement Mode(強制モード)」だけが残ることで、レガシーな暗号化方式RC4への依存を断ち切る対応が事実上完了する。未対応の環境では認証エラーが発生するリスクがある。

Kerberos RC4ハードニングとは何か

Kerberos認証では、チケットやPAC(Privilege Attribute Certificate)の署名にRC4-HMACという古い暗号化方式が長らく使われ続けてきた。RC4はAES(Advanced Encryption Standard)に比べて強度が低く、多くのセキュリティガイドラインで既に非推奨とされている。Microsoftは2022年11月のセキュリティ更新(CVE-2022-37966関連)以降、段階的にRC4依存を排除する取り組みを進めてきた。

具体的には、レジストリキーで制御される3段階の移行スケジュールが組まれていた。

  • Disabled(デフォルト。従来どおりの挙動を維持)
  • Audit(RC4の使用を検知してイベントログに記録するが、通信そのものはブロックしない)
  • Enforced(RC4を使った署名やチケットを強制的に拒否する)

今回の7月更新は、この最終段階であるEnforcedだけを残し、Audit Modeという「猶予期間」の選択肢そのものを取り除く更新だ。

何が起きるのか

これまでAudit Modeで運用していた環境、あるいは特に何も設定していなかった環境は、7月14日の更新適用後にドメインコントローラーの挙動が実質的にEnforcement Mode相当へ切り替わる。RC4しかサポートしないレガシーなクライアントや古いネットワーク機器、サードパーティ製のKerberos実装などが残っている場合、認証エラーが発生する可能性がある。

実務への影響

日本企業のActive Directory環境では、長年稼働し続けている古いプリントサーバーや、基幹システム連携用のサービスアカウントなど、RC4しか対応していない「動いているから触っていない」機器・アカウントが今も残っているケースは珍しくない。IT管理者は更新適用前に、次の点を確認しておきたい。

  • ドメインコントローラーのKDCイベントログでRC4の使用状況を洗い出す
  • サービスアカウント・コンピューターアカウントのmsDS-SupportedEncryptionTypes属性でAES対応状況を確認する
  • レガシー機器・OSが残っている場合は、更新前にAES256対応へ切り替えるか、代替の認証手段を検討する

Auditログを一度も確認しないまま7月更新を適用すると、業務時間中に認証障害という形でしっぺ返しを受ける可能性が高い。

筆者の見解

セキュリティの観点では、Microsoftの今回の判断は正しい方向だと思う。RC4のような古い暗号方式を「動いているから」という理由でいつまでも残しておくのは、認証基盤における技術的負債そのものだ。SID重複問題のときもそうだったが、「今動いているから大丈夫」という発想は、いずれ必ずどこかで牙を剥く。移行期限を明確に区切り、Audit Modeという「言い訳」を制度的に無くしてしまうやり方は、腰の重い現場を動かすために必要な荒療治だと感じる。

Microsoftを応援する立場から言えば、こうした地味だが重要な足元固めをきちんと続けていることは評価したい。派手な機能追加の話題に隠れがちだが、Active Directoryのような基盤部分でのハードニングこそ、エンタープライズの信頼を支えている部分だ。一方で、この手の変更は事前告知から実際の強制適用まで時間が空くぶん、現場が気づかないまま期限だけが過ぎてしまいがちでもある。せっかく正しい方向へ舵を切っているのだから、管理者向けの警告表示やレポート機能をもう一歩踏み込んで用意し、「気づいたら詰んでいた」という事故を減らす工夫にも力を入れてほしいところだ。


出典: この記事は Windows June 2026 Recap: 26H2 Testing, Printing Changes, Kerberos RC4 and More の内容をもとに、筆者の見解を加えて独自に執筆したものです。