NTLM認証廃止後の新時代 — Kerberos認証への移行とその影響

この記事の内容

  • Microsoftが30年以上使われてきたNTLM認証の将来的な廃止を発表しました
  • NTLM認証がなぜ今まで使われ続けてきたか、その理由と課題を解説します
  • 後継となるKerberos認証の仕組み(KDC・チケット方式)をわかりやすく説明します
  • NTLM廃止を実現するための新しい仕組み(IAK・ローカルKDC)を紹介します
  • IT管理者が今すぐ取り組むべきアクションについてまとめます

NTLM認証の廃止が発表された

Microsoftは公式ブログ「The Evolution of Windows Authentication」の中で、NTLM認証を将来的に廃止する方針を発表しました。これはWindowsを使うすべてのユーザーに関係する変化ですが、特に情報システム部門やIT管理者の方には非常に重要な情報です。

NTLM認証とは何か

NTLM認証とは「NT LAN Manager」の略で、1993年7月にリリースされたWindows NT 3.1で導入された認証方式です。つまり、約30年にわたって使われ続けてきた、非常に歴史の長い技術です。

NTLM認証の仕組みはシンプルで、ユーザー名とパスワードさえわかれば認証が成功します。ネットワーク越しにファイルサーバーへアクセスする場合など、2台のマシン(クライアントとサーバー)だけで認証が完結するのが特徴です。パスワード自体がネットワーク上に平文で流れるわけではありませんが、それでも現代のセキュリティ基準からすると不十分な点があります。

なぜ30年間使われ続けてきたのか

NTLM認証が長く生き残ってきた理由は、他の認証方式では代替できないシナリオが存在するからです。

ローカルアカウントへの唯一の対応

Active Directory(AD)に参加していない環境、つまりローカルアカウントを使って2台のPCがネットワーク上でファイル共有をしたいというケースでは、NTLM認証が唯一の選択肢です。

ドメインコントローラーがなくても動作する

NTLM認証は、接続先サーバーの事前登録や証明書が不要で、ネットワークに繋がってさえいればIDとパスワードで認証できます。これはシンプルで利便性が高い反面、セキュリティ的な弱点にもなっています。

フォールバックとしての役割

Active Directory環境であっても、ドメインコントローラーに接続できない状況ではKerberos認証が使えません。そのような場合のフォールバック(最終手段)として、NTLM認証が機能してきました。

なぜ廃止するのか

現代のセキュリティ基準では、NTLM認証にはいくつかの問題があります。

  • 2者間だけで完結するため、接続先が本物であるかどうかを検証しません
  • ネットワーク的に繋がりさえすれば認証が通るため、なりすましのリスクがあります
  • 多要素認証や条件付きアクセスといった現代のゼロトラストセキュリティモデルとは相性が悪いです

後継となるKerberos認証の仕組み

Kerberos認証は1989年から利用されている歴史あるプロトコルで、Active Directory環境では2000年頃から標準の認証方式として使われています。NTLM認証と比較すると、より複雑ですがその分安全性が高いです。

3者モデル:KDCの存在

Kerberos認証の大きな特徴は、クライアントとサーバーの2者だけで完結しない点です。KDC(Key Distribution Center:鍵配布センター) という第三者が必要で、Active Directory環境ではドメインコントローラーがこの役割を担います。

チケットによる認証フロー

KDCの内部にはAS(Authentication Service)とTGS(Ticket Granting Service)という2つの役割があります。

  1. ログイン時(AS との通信):クライアントがPCにログインする際、IDとパスワードを使ってASに認証を行い、TGT(Ticket Granting Ticket) を取得します。この操作は最初の1回だけです
  2. サービスアクセス時(TGS との通信):ファイルサーバーなど特定のサービスにアクセスしたい場合、TGTを使ってTGSに「サービスチケット」を要求します
  3. サービスへの接続:取得したサービスチケットをサーバーに提示することで、認証が成功しアクセスできるようになります

接続先のサーバーは事前にActive Directoryに参加して登録されているため、チケットはその宛先専用のものになります。これにより、接続先のなりすましを防ぐことができます。

NTLM廃止を実現する新しい仕組み

Kerberos認証はドメインコントローラーへの接続が必須であるため、そのままではNTLM認証を廃止できません。この課題を解決するために、Microsoftは2つの新しいメカニズムを導入します。

1. IAK(Initial and Pass-Through Authentication using Kerberos)

ADに参加済みのクライアントが、ドメインコントローラーにネットワーク的に到達できない状況でも、Kerberos認証を使えるようにする仕組みです。

クライアントが直接ドメインコントローラーと通信できない場合でも、アクセス先のサーバーがドメインコントローラーと通信できれば、そのサーバーをプロキシとして認証処理を中継します。ファイアウォール環境やリモートアクセス、複数ネットワークセグメントをまたぐ環境での利用を想定しています。

2. ローカルKDC(Local Key Distribution Center for Kerberos)

WindowsのSAM(Security Account Manager:ローカルPCの認証管理機能)にKDCの機能を持たせる仕組みです。これにより、Windows 11自体がドメインコントローラー的な役割を担い、ローカルユーザーアカウントに対してもKerberos認証を提供できるようになります。

これらの新しい仕組みは、将来のWindowsアップデートによって既定で有効化される予定です。

Windowsツール全体での「Negotiate」への移行

Microsoftは、Windows組み込みのすべての機能・ツールについて、NTLM認証をハードコードしているものをすべて「Negotiate」方式に切り替える計画を進めています。

Negotiateとは、利用可能な認証方式を交渉する仕組みで、強いものから順に試みます。

  1. まずKerberos認証を試みる
  2. Kerberos認証が使えなければNTLM認証にフォールバックする

将来的には、Windows 11のデフォルト設定でNTLM認証が無効化される段階が訪れる見込みです。その時点でNTLM認証にのみ対応したアプリケーションは動作しなくなります。

IT管理者が今すぐすべきこと

NTLM認証の使用状況を調査する

まず、自分の組織内でどのアプリケーションやサービスがNTLM認証を使っているかを調査します。Windowsのイベントログには認証方式の記録が残っており、これを分析することでNTLM認証の利用箇所を特定できます。

  • 1〜2か月分のログを収集し、NTLM認証の使用状況を確認します
  • どのサービスで、どのクライアントがNTLM認証を使っているかを把握します

ハードコードされたアプリを特定・対処する

NTLM認証が固定(ハードコーディング)されているアプリケーションは特に危険です。このようなアプリは、Windows組み込みツールとは異なりMicrosoftが自動で更新してくれないため、自組織で対応する必要があります。

  • Negotiateに対応するようコードを修正する
  • 修正が困難な場合はシステムの更改・リプレイスを検討する

長期的なロードマップを立てる

NTLM廃止は短期間では完了しない移行作業です。特に長年放置されたレガシーシステムほどNTLM認証に依存している可能性が高く、対処に時間がかかります。今から計画を立て、段階的に進めていくことが重要です。

まとめ

Microsoftは、1993年から約30年にわたって使われてきたNTLM認証を将来的に廃止する方針を発表しました。後継はKerberos認証で、チケット方式と第三者(KDC)を介した安全な認証を提供します。

NTLM廃止の障壁だった「ドメインコントローラー不在時の認証」については、IAK(サーバープロキシ型)とローカルKDC(Windows自体がKDCを担う)という2つの新しい仕組みで対応します。

Windows 11は将来のアップデートでNTLM認証が既定で無効化される方向へ進んでいます。IT管理者は今すぐイベントログを活用してNTLM認証の使用状況を調査し、対象アプリの洗い出しと移行計画の策定を開始することをお勧めします。