Microsoftは、長年使われてきた認証プロトコルNTLMを段階的に廃止し、より安全なKerberosベースの認証へ移行する取り組みを本格化させています。NTLM(NT LAN Manager)は、Windowsが1990年代から使ってきた認証プロトコルで、ユーザー名とパスワードをもとにしたチャレンジレスポンス方式で本人確認を行います。一方Kerberosはパスワードをネットワーク上に流さずに認証できるMITが開発した安全な認証プロトコルです。次期Windowsクライアント/サーバーでは、NTLMがデフォルトで無効化される予定で、企業向けのセキュリティ強化が大きく前進するタイミングとなりそうです新たに導入されるIAKerbとLocalKDC今回の発表で注目すべきは、NTLMの代替として利用できるIAKerbとLocalKDCのサポートが強化されるという点です。IAKerbクライアントがドメインコントローラー(DC)へ直接アクセスできない状況でも、Kerberos認証を可能にする仕組み。ターゲットサービスが代理で認証処理を行うため、ネットワーク制約のある企業環境で特に有効。LocalKDCスタンドアロンPCやワークグループ環境など、ローカルアカウントでの利用を想定したKerberos認証方式。従来NTLMに頼っていた場面をKerberosに置き換える役割を担う。これら2つの仕組みにより、企業ネットワークでもローカル環境でも、NTLMに依存しない認証フローが実現しやすくなります。Insider Previewで先行提供へ次期Windows Insider(Canaryチャネル)では、これらの新機能がプレビューとして提供されます。IAKerbはデフォルトで有効化され、LocalKDCはデフォルト無効ですが、レジストリで切り替え可能となります。今後は管理ツールやグループポリシーにも設定項目が追加され、より扱いやすくなる見込みです。企業に求められる次のステップMicrosoftは、まだNTLMを利用している組織に対し、早期のテストと検証を強く推奨しています。NTLMは長年の互換性維持のため残されてきましたが、セキュリティ上の弱点が指摘され続けてきたプロトコルでもあります。今回の変更は、Windows全体のセキュリティ基盤を現代化する大きな転換点と言えるでしょう。[via Reducing NTLM Dependency: IAKerb and LocalKDC in Windows Insider Preview]