マイクロソフトがまた一歩、セキュリティ強化に踏み出しました。今度のターゲットは、なんと“古すぎる”暗号化方式DES(Data Encryption Standard)です。

Windows 11の次期アップデート(24H2)とWindows Server 2025では、Kerberos認証からDESが完全に削除されることが決定しました。とはいえ、「そもそもDESって何?」という人も多いはず。

今回の変更でどんな影響があるのか、企業のIT管理者や一般ユーザーが気をつけるべきポイント、そして今からできる対策をわかりやすく解説します!

「ついにサヨナラ!」Windows 11がDES暗号を完全撤廃へ

長年使われてきたDES(データ暗号化標準)ですが、ついにWindows 11とWindows Server 2025から完全に消え去ることになりました。

Microsoftは2025年9月のアップデート以降、Kerberos認証においてDESを使えなくする方針を発表しました。DESは1977年に登場し、当時は最先端の暗号技術でしたが、今となっては「レトロな骨董品」。現代のハッカーたちには簡単に突破されてしまうレベルの脆弱性を抱えています。

実はWindowsでは、既にWindows 7やWindows Server 2008 R2の頃からDESは無効化されており、あくまで「オプション扱い」でした。しかし、まだ一部のシステムでは過去の互換性を維持するために使われていたのも事実です。

Microsoftは、この撤廃を「Secure Future Initiative(SFI)」の一環と位置づけ、より安全な暗号技術への移行を促進するとしています。要するに「古い鍵は捨てて、新しいセキュリティの扉を開こう!」というわけです。

今回の変更で、2025年9月以降は「DES in Kerberos Disabled Mode」となり、どんな設定をしてもDESは完全に使用不可となります。ただし、古いWindowsバージョンでは引き続き利用できるため、すぐにシステムが動かなくなるわけではありません。

とはいえ、企業やシステム管理者は今のうちに対応を進める必要があります。「うちのシステム、まだDES使ってない?」とチェックしておかないと、アップデート後に「あれ?ログインできない!」なんてことになりかねません。

「まだ使ってるの?」DESを見つけて対策しよう

「えっ、ウチのシステム、まだDES使ってる?」と不安になったあなた。大丈夫、確認方法があります。

Windowsの管理者は、PowerShellスクリプトを使ってKerberos認証のログをチェックできます。具体的には、セキュリティイベントログの「Event ID 4768」と「Event ID 4769」を確認すれば、DESが使われているかどうかが分かります。もしログに「DES Encryption」と出ていたら、まだ使っている証拠です。

発見したら、すぐに対策を始めましょう。まず、Active Directoryのユーザー設定で「KerberosのDES暗号化のみを使用する」というオプションがチェックされていないか確認します。チェックが入っていたら、即オフにしましょう。

さらに、グループポリシーの「Kerberosで許可される暗号化タイプ」を変更することで、DESを使わないようにできます。「AESオンリー」に設定すれば、より強固な暗号化へ移行可能です。

また、Windows Server 2003以前の古いドメインコントローラーを使っている場合は、アカウントのパスワードを変更することでAES対応にすることができます。「ウチのサーバー、20年選手なんだけど…」という場合は、そろそろ本格的にアップグレードを検討したほうがよさそうです。

Microsoftは「今すぐ対策しよう!」と強く呼びかけています。放置していると、アップデート後に「ログインできない」「システムが動かない」などのトラブルが発生する可能性大。今のうちにしっかり準備しておきましょう。

「さよならDES!」安全な暗号化技術への移行は今すぐ

「じゃあ、DESの代わりに何を使えばいいの?」と疑問に思うかもしれません。答えはシンプル。より強固な「AES(Advanced Encryption Standard)」に移行しましょう!

AESは、現在のセキュリティ標準であり、銀行や政府機関などでも採用されている信頼性の高い暗号方式です。DESとは違い、現代のコンピュータでも破るのが非常に難しいため、安全性が格段に向上します。

移行の流れとしては、まずDESが使われているかを特定し、その後、AESを適用していく形になります。ただし、いきなり切り替えるのではなく、テスト環境で十分に検証しながら進めるのがポイントです。「アップデートしたらシステムが止まった!」なんてことにならないように、慎重に進めましょう。

また、社内システムやアプリケーションが古い暗号化方式に依存している可能性もあります。「うちのアプリ、まだDES対応?」と開発チームに確認しておくことも重要です。もし対応が必要なら、事前にアップデートやパッチを適用するなどの準備を進めましょう。

さらに、信頼できるセキュリティ専門家やITベンダーと連携しながら移行を進めるのも一つの手です。「ウチだけで対応するのは不安…」という場合は、プロに相談するのもアリですね。

結論として、DESはもう時代遅れ。これからはAESを活用し、より安全な環境を構築することが求められます。2025年9月のアップデート前にしっかり準備して、「さよならDES、こんにちはAES!」とスムーズに移行を完了させましょう!

Source:Cyber Security News