Microsoftは、2025年9月のセキュリティ更新でWindows 11 24H2およびWindows Server 2025からDES暗号化を完全に削除する計画を発表した。これは、セキュリティ強化を目的とした「Secure Future Initiative(SFI)」の一環であり、時代遅れの暗号化方式を排除する動きの一つとなる。

DESは1977年に標準化された暗号アルゴリズムだが、近年は脆弱性が指摘され、攻撃に対して安全ではなくなっている。Windows環境では長年にわたり互換性のために維持されてきたが、Windows 7以降はデフォルトで無効化されており、今回の更新で完全にサポートを終了することになる。

この変更により、Kerberos認証でDESを使用している組織は影響を受けるため、MicrosoftはAESなどの安全な暗号化方式への移行を推奨している。事前の準備として、PowerShellを活用したDES使用状況の確認、Active Directoryのポリシー変更、古いアカウントの更新などを実施することが求められる。

WindowsからDES暗号化が完全に削除される背景と影響

Microsoftは2025年9月のWindows Updateで、Windows 11 24H2およびWindows Server 2025からDES暗号化のサポートを完全に終了する。この変更は、「Secure Future Initiative(SFI)」の一環として実施され、Windowsのセキュリティを強化する狙いがある。

DES(Data Encryption Standard)は、1977年に米国で標準化された暗号方式であり、長らく業界で利用されてきた。しかし、コンピューティング技術の進化とともに、その安全性は急速に低下した。特に1990年代以降、高速な計算能力を持つマシンによってDESが容易に突破できることが証明され、現在では推奨されない暗号技術となっている。

Windows環境では、Windows 7およびWindows Server 2008 R2の時点でDESはデフォルトで無効化されていたが、管理者が手動で有効化することは可能だった。しかし、今回の変更でそのオプションすら完全に削除される。

これにより、Kerberos認証でDESを使用しているシステムは、影響を受けることになる。特に、古いActive Directory環境を維持している企業や、レガシーシステムと互換性を保つためにDESを使用しているユーザーは、早急な対応が求められる。

Microsoftは、AES(Advanced Encryption Standard)などのより強固な暗号化方式への移行を推奨しており、今後のWindows環境ではAESが標準となる。この変更により、Windowsのセキュリティレベルはさらに向上すると考えられる。

DES削除による影響を受ける環境と推奨される対策

Microsoftの発表によれば、今回のアップデートで影響を受けるのは、Windows 11 24H2およびWindows Server 2025を利用しており、Kerberos認証でDESを有効にしている環境である。特に、古いWindowsドメインやレガシーシステムを維持している企業にとっては、早急な対応が求められる。

対策としては、まずPowerShellを活用し、Kerberosのログ(イベントID 4768および4769)を確認することで、DESが使用されているかどうかを特定することが推奨される。その後、Active Directoryの設定を変更し、DESを利用しないポリシーを適用することが重要だ。加えて、古いアカウントのパスワードを変更し、AES対応の環境へ移行することが推奨される。

また、グループポリシーの設定を変更することで、Kerberosで使用する暗号化方式をAESのみに制限することが可能である。特に、Windows Server 2003以前の環境を使用している場合、移行には慎重な計画が必要だ。事前にテスト環境を構築し、互換性を確認した上で段階的に適用するのが望ましい。

この変更は、一般的なWindowsユーザーにとってはあまり影響がないかもしれないが、企業や組織のIT管理者にとっては重要な意味を持つ。DESを利用している環境では、2025年9月までに必ず対策を講じる必要がある。

未来のWindowsセキュリティ Microsoftの暗号化戦略とは

Microsoftは、DESの削除を含む一連のセキュリティ強化策を進めている。今回の変更は「Secure Future Initiative(SFI)」の一環であり、Windowsの暗号化技術をより安全なものへと移行させる戦略の一部である。

近年、MicrosoftはAESを中心とした暗号化の強化に取り組んでおり、特にWindows HelloやBitLockerなどの機能において、より高度な暗号技術を採用している。加えて、ゼロトラストセキュリティの概念を推進し、デバイス認証やネットワークセキュリティの強化を図っている。

DESの削除は、その流れの中で不可避な決定であり、今後のWindows環境では、旧来の暗号技術が徐々に廃止され、より高度なセキュリティ対策が求められるようになる。企業や組織のIT担当者は、この変化に対応し、最新の暗号化方式への移行を進めることが不可欠だ。

今後、Microsoftがどのようなセキュリティ施策を打ち出すかは注目に値するが、少なくとも現時点では、Windows環境での暗号化技術の進化は止まることなく、より強固な保護が求められる時代に突入しているといえる。

Source:Cyber Security News