パシフィックネット
NTLM廃止対応ガイド:IAKERBとLocal KDCで実現するKerberos移行と事前監査
最終更新日:2026年03月02日
・Kerberosへの移行を実現するIAKERBとLocal KDCの仕組み
・移行前に実施すべき事前監査の手順とポイント
・古いデバイス・レガシーシステムの認証失敗を防ぐための対策の方向性
2026年1月29日に、Microsoftからセキュリティ強化のため NTLMを既定で無効化するとの発表がありました。
参照:Advancing Windows security: Disabling NTLM by default - Windows IT Pro Blog
2024年に NTLMが機能開発の対象ではなくなり、非推奨の機能であることの発表がされていました。
その中で、Windows 11 Version 24H2およびWindows Server 2025において「NTLMv1を既定で無効化」することが記載されていましたが、今回の発表ではNTLMv2も既定で無効になります。NTLMの全廃は影響が大きいことから、これまでセキュリティ上の理由でもNTLMv2の使用が許容されてきました。
古いNAS、レガシーなプリンター、あるいは古いアプリケーションが、認証に失敗するトラブルの原因となることが想定されます。
NTLMが「既定で無効」となる理由
NTLMは1990年代のWindows NT時代に誕生した当時は画期的な認証プロトコルでしたが、現代の脅威環境においてはその機能が十分ではなくなったからです。
例えば、攻撃者が通信を傍受し、取得した認証ハッシュを別のサービスに転送することで正規ユーザーになりすましネットワーク内に侵入するNTLM認証のリレー攻撃は、現在でも多くのサイバー攻撃で悪用されています。またNTLM は Kerberosのような強力な暗号化や相互認証をサポートしておらず、多要素認証(MFA)との親和性も低いという欠点があります。
NTLMを不要にする2つのテクノロジー
これまでNTLMを完全に廃止できなかった理由は、「IPアドレスによる接続」と「ローカルアカウントの認証」という
2つの大きな課題があったためです。
Kerberosは名前解決 (DNS) を前提とし、ドメインコントローラとの通信を必要とするため、これらの特定のケースでは NTLM に頼らざるを得ませんでした。 Microsoftはこの課題を解決するため、以下の2つの新しい仕組みを導入しました。
IAKERB
通常、 Kerberos 認証を行うには、クライアントが直接 KDC
にアクセスする必要があります。
しかし、ファイアウォール越しや特定のネットワーク構成で
はこれが困難な場合があります。
IAKERBは、クライアントが「接続先のサーバー」をプロキシとして利用し、 KDCとメッセージをやり取りできるようにする仕組みです。
これにより、これまでNTLMにフォールバックしていた複雑なネットワーク環境でも、Kerberosによる安全な認証が可能になりました。
Local KDC
Kerberos は本来、Active Directory
(AD)などの集中管理された環境のためのものでした。そのため、PCのローカル環境に作成されたアカウントの認証には使えませんでした。
「Local KDC」は、各 Windows マシンの中に簡易
的なKerberosの認証機能を構築するものです。
これにより、ワークグループ環境下の通信であっても、NTLM
ではなく Kerberosの仕組みを利用できるようになります。
管理者が直面する「現実的なハードル」と監査の重要性
NTLMの廃止は、セキュリティを向上させることが可能なのですが、運用においては少なからず混乱することが想定されます。
特に、「どこでNTLMが使われているか把握していない」組織にとっては、ある日突然システムが止まるリスクをはらんでいます。
Microsoftのサポートチームがブログで強調しているのは、「事前の監査」の重要性です。
NTLMの廃止に向けた対応について | Microsoft Japan Windows Technology Support Blog
Windows 11 / Windows Server 2025 には、NTLMの使用状況を詳細に可 視化するための「NTLM管理」機能が強化されています。
管理者は、まず現在の環境でNTLMがどのように使われているかを調査し、Kerberosに切り替えられない原因を特定しなければなりません。
例えば、古い複合機や安価なNAS、あるいは長期に使用している社内基幹システムなどです。これらは往々にして、Kerberosを解釈できない古い SMB スタックや、NTLMにしか対応していない認証プロトコルを使用している可能性があります。
移行のための準備
調査せずに「NTLMを拒否する」ポリシーを適用すると重大な結果を招く危険があります。まずは「NTLMの使用を監査する」ポリシーのみを有効にし、数週間分のログを収集してください。これにより、「どのサーバーが名前解決できていないか」「どのデバイスが古いプロトコルを吐いているか」という「修正リスト」を作成できます。
解説は以上です。
パシフィックネットは、確かな技術力をもとに、お客様に合った最適な環境をご提案・構築いたします。
ご質問やご相談がございましたら、お気軽に当社までご相談ください。
ご依頼・ご相談・お見積もりは担当営業部へ
最終更新日:2026年03月02日
- 【テクニカル】
-
NTLM廃止対応ガイド:IAKERBとLocal KDCで実現するKerberos移行と事前監査
-
法人向けノートPC選定ガイド|失敗しない調達のための重要ポイント5つ
-
パソコン処分におけるデータ消去の確実な実施方法と企業が負う法的責任
-
PC管理の課題を解決する実践ガイド|工数削減とセキュリティ強化を両立する方法
-
デバイス展開を効率化する 「Windows Autopilot デバイスの準備」の設定方法
-
ヘルプデスクのアウトソーシングで解決できる課題と成功のポイント
-
AutopilotとIntuneで実現するゼロタッチキッティング:導入前に押さえておきたい要件と運用設計のポイント
-
キッティング代行で解決できる情シス部門の3大課題と選定基準
-
ITADとは?セキュリティと環境に配慮したパソコン適正処分の方法 使用済パソコンの情報漏えいを防ぐ方法とは?
-
記録媒体のフォーマットだけでは不十分?企業が実施すべきデータ消去とIT資産処分の正しい方法
-
SSDのデータ消去はHDDと全く違う|NIST準拠の確実な方法と業者選定ポイント
-
HDD物理破壊は業者選びで決まる──「壊せば安心」の誤解と、安全な業者選定の必須ポイント
-
【追加コストゼロ】Windows 11標準機能「ウイルスと脅威の防止」で今すぐできるセキュリティ対策3選
-
IT資産管理の実践ガイド - 企業が直面する課題と効率化手法
-
スマホのデータ消去は初期化だけで安全? 完全消去の方法と対策
-
Windows11のドライバー管理ガイド|更新方法から大規模運用まで
-
Microsoft IntuneでプレインストールされたMicrosoft Storeアプリを一括削除する方法【Windows 11】
-
情報セキュリティ対策の全体像 - 企業が今すぐ実施すべき防御戦略
-
情報漏えいが企業に与える影響と最新対策 - リスク管理ガイド
-
パソコンのデータ消去は削除だけでは不完全?完全消去するのに必要な方法とは
-
Windows 11「クイック マシン リカバリー」の有効化ガイド
-
Windows11にアップグレードできない問題の解決法:企業PC資産の効果的な対応策
-
Windows11アップグレード前に確認すべき注意点:IT担当者のためのチェックポイント
-
Windows 10サポート期限切れ対応:企業が取るべき最適な選択肢
-
PC買い替え時期の最適解:企業IT資産管理で失敗しない判断基準と効率的な更新ノウハウ
-
キッティング作業の効率化:内製化と外部委託による最適化ガイド
-
LCMとは? IT資産管理の課題を解決し、コスト削減と業務効率化を両立する管理方式
-
特定ドメインを Outlook 優先受信トレイに必ず振り分ける方法
-
Microsoft 365 で名前の読み方を登録・共有する方法
-
PC入れ替えプロジェクト成功の秘訣:計画から運用まで完全ガイド
-
PCレンタルは長期契約がおすすめ:コスト削減と運用効率の両立
-
在宅ワークに最適なパソコンの選び方:IT資産管理担当者が知るべき導入のポイント
-
情シスアウトソーシング成功のカギ:戦略的アウトソーシングによる情シス変革への道筋
-
情シス部門が直面する6つの課題と実践的な解決策
-
情シスのコア業務とは?戦略的IT部門への転換で企業価値の最大化に貢献
-
IT人材不足の現実と対策:情シス部門に必要な多角的アプローチ
-
Outlook (新旧)の使用状況を把握する – Exchange 管理センター活用ガイド
-
新しい Outlook への移行を控えたい企業向けガイド - 設定と対策
-
Intune で簡単 BIOS 管理!効率的なアップデート方法(Lenovo編)
-
情報漏洩を防ぐ! Bluetooth ファイル送信制限の実践ガイド
-
RBAC 活用!最小限の権限でユーザー自身がハードウェア ハッシュを登録する方法
-
“ Windows Autopilot デバイスの準備”で Windows 11 をデプロイメントする方法
-
Windows LAPS と Intune でローカル管理者アカウントを安全に管理する方法
-
Windows Autopilot デバイスの準備:プロファイル設定ガイド
-
管理者向け!エンタープライズアプリの無断登録を防ぐ方法
-
Intune と Microsoft Store で効率的にアプリを配布する方法
-
Intune と Winget を使って Windows 10/11 アプリを簡単に配布する方法
-
Microsoft Intune を活用したゼロタッチでのアプリ配布術
-
不要なインストールを防ぐ! Microsoft Store の制限方法
-
Google Workspace Marketplace アプリのアクセス制御とリスク管理
-
従業員への告知、漏れなく伝えるChromeOS デバイスの活用方法
-
Gmail の自動転送機能を無効にし、情報漏洩リスクを防ぐ方法
-
無償・Power Apps 開発者向けプランの申込手順
-
Microsoft Teams に ChatGPT を追加する手順
-
Exchange Online に DKIM と DMARC を追加する方法
-
未知のマルウェアやウイルスからの攻撃を防げ! Microsoft Defender for Office 365 の活用
-
AI時代への第一歩! Azure OpenAI 登録ガイド
-
もう悩まない! Windows 11 へのアップグレードのタイミング~ Microsoft Intune の機能更新ポリシーで実現できるOSの強制アップグレード ~
-
Gmail に DMARC を設定する方法 ~ビジネスメール詐欺を防げ!~
-
外部共有の注意点! SharePoint Online と OneDrive for Business の機能と初期値
-
これで解決!iPhoneのHEICファイル画像をWindowsで開く方法
-
「なりすまし」「メールの改ざん」を検知!Gmail に DKIM を追加する方法
-
SharePoint Online と OneDrive for Business の違いとは?クラウドストレージの基本をおさらい!
-
Google ChromeOS Flex で今のデバイスを活かす、SDGs の新しい取り組み
-
ChromeOS Flex 動作確認テストガイダンス
-
PPAP を食い止めろ。Exchange Online の標準機能で暗号化された添付ファイルを拒否する設定
-
パソコンレンタルは地球に優しい?サーキュラー・エコノミーの視点で考えてみよう
-
リースとレンタルの違いとは?会計基準から見てみよう
-
短期レンタルと長期レンタルのメリットとは?充実したサービスや柔軟性に支持
-
データ消去証明書の必要性とは?企業が安心してパソコンを処分するために
-
パソコンを初期化する方法とは?手順や注意点を解説
-
パソコンのスペックとは?パソコンを選ぶときに確認すべきポイントを紹介
-
法人用のパソコンはレンタルがおすすめ!その理由と利用手順を解説
-
パソコンレンタルとは?リース、購入との違いやそれぞれのメリット・デメリットを解説
-
テレワーク導入の手間をパソコンレンタルで軽減!利用するメリットを紹介
-
パソコンレンタル費用の相場は?利用する際の流れや確認すべきポイント
-
レンタルでの活用も?動画編集用パソコンの選び方と必要スペック
-
法人用のパソコンを処分する方法とは?処分時のリスクや注意点
-
Windows 10のキッティング 代表的な4つの方法とは?手法の選び方や注意点を紹介
-
テレワーク時のセキュリティ被害の実例と、リスクを抑えるための対策
-
モバイルデバイス管理(MDM)とは?主な機能や選定ポイントを解説
-
IT資産管理は何をどう管理すればいい?効率化するならツールを導入しよう
-
Microsoft Intuneとは?仕組みや機能、導入のメリットを紹介
-
パソコンのデータ消去を専門業者に依頼するべき理由とは?選ぶ際の注意点も解説
-
ビジネスでWi-Fiルーターをレンタルするメリットと選び方のポイント
-
キッティングは情報システム部門の仕事?効率と正確さならアウトソーシング
-
ビジネス用タブレットをレンタルするメリットとは?種類や選び方についても紹介
-
短期のパソコン利用ならレンタルがお得!その理由と活用事例
-
【法人向け】パソコンレンタルとは?メリットやシーン別の選定ポイントも紹介
-
使える! 情シス三段用語辞典58 「ハイブリッドクラウド」
-
使える! 情シス三段用語辞典57 「シングルサインオン」
-
使える! 情シス三段用語辞典56 「RPA(ロボティック・プロセス・オートメーション)」
-
使える! 情シス三段用語辞典55 「デジタルトランスフォーメーション」
-
使える! 情シス三段用語辞典54 「マイクロサービス」
-
断捨離しましょう
-
使える! 情シス三段用語辞典53 「ブロックチェーン」
-
使える! 情シス三段用語辞典52 「Wannacry(ワナクライ)」
-
使える! 情シス三段用語辞典51 「Raspberry Pi(ラズベリーパイ)」
-
使える! 情シス三段用語辞典50 「改正個人情報保護法」
-
使える! 情シス三段用語辞典49 「BPO(ビジネス・プロセス・アウトソーシング)」
-
ダークウェブをご存じですか?
-
使える! 情シス三段用語辞典48 「ハッカソン」
-
使える! 情シス三段用語辞典47 「VTL(仮想テープライブラリ)」
-
使える! 情シス三段用語辞典46 「ソーシャルエンジニアリング」
-
使える! 情シス三段用語辞典45 「機械学習」
-
ビジネスメールで法人を狙うオレオレ詐欺に注意!
-
使える! 情シス三段用語辞典44 「UTM(統合脅威管理)」
-
使える! 情シス三段用語辞典43 「アジャイル」
-
使える! 情シス三段用語辞典42 「Mirai(ミライ)」
-
使える! 情シス三段用語辞典41 「ベアメタルクラウド」
-
みんなが使っているサービスが危ない
-
使える! 情シス三段用語辞典40 「特権アカウント」
-
使える! 情シス三段用語辞典39 「物体指紋認証」
-
使える! 情シス三段用語辞典38 「グレーウェア」
-
使える! 情シス三段用語辞典37 「SDN(エス・ディー・エヌ)」
-
使える! 情シス三段用語辞典36 「Windows10の『CB』と『CBB』」
-
使える! 情シス三段用語辞典35 「シャドーIT」
-
使える! 情シス三段用語辞典34 「BEC(ビジネスメール詐欺)」
-
使える! 情シス三段用語辞典33 「エッジコンピューティング」
-
使える! 情シス三段用語辞典32 「仮想化」
-
使える! 情シス三段用語辞典31 「BYOD(Bring Your Own Device)」
-
使える! 情シス三段用語辞典30 「SIEM(シーム)」
-
監視カメラが攻撃をする?
-
使える! 情シス三段用語辞典29 「シェアリングエコノミー」
-
使える! 情シス三段用語辞典28 「常時SSL(HTTPS)」
-
使える! 情シス三段用語辞典27 「ハイパーコンバージドインフラストラクチャ」
-
使える! 情シス三段用語辞典26 「ダークストア」
-
使える! 情シス三段用語辞典25 「コネクテッドカー」
-
銀行の不正送金被害にあわないようにしよう
-
使える! 情シス三段用語辞典24 「サンドボックス」
-
使える! 情シス三段用語辞典23 「シンクライアント」
-
使える! 情シス三段用語辞典22 「法人番号」
-
情報検証能力を養おう
-
使える! 情シス三段用語辞典21 「マルウェア」
-
使える! 情シス三段用語辞典20 「多要素認証」
-
使える! 情シス三段用語辞典19 「ビッグデータ」
-
手の込んだ詐欺に要注意!
-
使える! 情シス三段用語辞典18 「チャットボット」
-
使える! 情シス三段用語辞典17 「シンギュラリティ」
-
使える! 情シス三段用語辞典16 「IoT(モノのインターネット」
-
うっかり会社の秘密、漏らしていませんか?
-
使える! 情シス三段用語辞典15 「クラウド」
-
使える! 情シス三段用語辞典14 「CSIRT(シーサート)」
-
使える! 情シス三段用語辞典13 「UPS(無停電電源装置)」
-
使える! 情シス三段用語辞典12 「MVNO(仮想移動体通信事業者)」
-
使える! 情シス三段用語辞典11 「ランサムウェア」
-
使える! 情シス三段用語辞典10 「ISO(国際標準化機構)」
-
あなたのスマホ大丈夫?実はパソコン以上に危ない!
-
使える! 情シス三段用語辞典09 「ふるまい検知法」
-
不正侵入にはリアルもネットもある
-
使える! 情シス三段用語辞典08 「ハイパーバイザー」
-
使える! 情シス三段用語辞典07 「エンドポイントセキュリティ」
-
使える! 情シス三段用語辞典06 「DDos攻撃」
-
実在企業を装ったメールに注意
-
研修で忘れてない?!ソーシャルエンジニアリングのこと
-
使える! 情シス三段用語辞典05 「シュリンクラップ契約」
-
使える! 情シス三段用語辞典04 「オンプレミス」
-
スパムフィルタと人工知能との戦いに
-
使える! 情シス三段用語辞典03 「標的型攻撃」
-
あなたの身代金が狙われている
-
使える! 情シス三段用語辞典02 「ディザスタリカバリ」
-
オフィスには「普通の人に化けた悪者」も出入りする?
-
使える! 情シス三段用語辞典01 「出口対策」
-
