MicrosoftはWindows 11 24H2およびWindows Server 2025において、1970年代に誕生した旧式暗号「DES(Data Encryption Standard)」を正式に削除すると発表した。Windows 7以降無効化されていたが、次期OSではKerberosを含む全機能から完全に排除し、IT担当者にAESへの切り替えを求める。

AESは最大256ビットの鍵長を持つ高度な暗号標準であり、Microsoftは2025年9月のセキュリティ更新前までに、レガシーシステムでのDES使用検出と無効化作業を推奨。特にKerberos認証においては、互換モードを経た後にDESを完全無効化する段階的移行が示されている。

Windows 11 Home向けにもAESベースのBitLocker暗号化を標準化するなど、Microsoftはプラットフォーム全体の暗号強化を加速。レガシー環境からの円滑な移行に向け、企業に早期対応を求める動きが強まっている。

DES暗号の完全排除に至った背景とMicrosoftが示す移行プロセス

MicrosoftはWindows 11 24H2およびWindows Server 2025の正式リリースに向け、DES(Data Encryption Standard)を全機能から削除する方針を打ち出した。DESは1970年代に登場した対称鍵暗号方式であり、鍵長はわずか56ビットにとどまる。

現在の高度な計算能力をもってすれば、短時間で解読可能となるほど脆弱な技術である。このためMicrosoftは、Windows 7およびWindows Server 2008 R2以降のバージョンでDESをデフォルト無効化してきたが、24H2およびServer 2025では完全排除に踏み切る。

特にKerberos認証においては、従来「互換モード」と「無効モード」の2段階措置が取られてきた。互換モードでは管理者がDESの使用を選択可能であったが、無効モードでは完全にサポート対象外となる。2025年9月9日以降のセキュリティ更新では、互換モードも廃止されるため、すべての企業・団体はDES以外の暗号方式への切り替えが必須となる。

加えて、MicrosoftはWindowsメッセージセンターを通じてIT管理者に事前通知を実施している。Kerberos認証以外にも影響を及ぼす可能性があるため、DES依存環境の早期検出と無効化作業を強く求めている。段階的な排除策を経て、長期的にWindowsプラットフォーム全体をAES中心のセキュアな暗号基盤へ移行させる戦略が浮かび上がる。

AES暗号化技術への移行とWindowsプラットフォーム全体の暗号強化

MicrosoftがDES排除と同時に推奨するのが、AES(Advanced Encryption Standard)への全面移行である。AESは最大256ビットの鍵長を持つ強力な対称鍵暗号方式であり、DESの56ビットと比較して圧倒的な耐量子計算攻撃性能を誇る。特に企業ネットワークにおけるKerberos認証では、既にAESが標準となっているものの、未だDES依存のレガシーシステムが散在している状況にある。

このためMicrosoftは、Windows 11 24H2およびWindows Server 2025の導入に合わせてAESへの移行を改めて強く推奨している。さらに、Windows 11 24H2 HomeエディションではBitLockerによるディスク暗号化にAESを標準採用するなど、Windows全体でAESへのシフトを加速させる方針が示されている。

AESはDESと異なり、NISTが今後の標準暗号として正式に推奨する規格である。鍵長の選択肢も128ビット、192ビット、256ビットと用途に応じた設定が可能であり、現行および将来のセキュリティ基準にも適合しやすい特性を持つ。Microsoftの戦略は、単なる暗号方式変更に留まらず、企業・組織のゼロトラストセキュリティ強化にも直結する重要な転換点と捉えるべきである。

レガシー環境のリスクとMicrosoftが企業に求める早期対応

DES削除に際し、MicrosoftはIT管理者に対し強い警鐘を鳴らしている。特にKerberos認証を利用する大規模な企業ネットワークでは、DES依存設定が依然残存しているケースも少なくない。2025年9月9日以降のWindows 11 24H2およびWindows Server 2025のセキュリティ更新適用後は、こうしたシステムはKerberos認証そのものが機能しなくなる恐れがある。

Windowsメッセージセンターを通じて、MicrosoftはDES使用の検出・無効化を早急に実施するよう求めると同時に、AESへの移行計画策定を呼びかけている。特にレガシーシステムの移行には時間を要することが多いため、24H2リリース前の2025年初頭には移行方針を確立することが不可欠とみられる。

また、DES削除は単なる技術的措置ではなく、Windowsプラットフォーム全体のセキュリティ基盤を再構築する重要な節目とも捉えられる。脆弱な暗号技術の一掃によるリスク低減と、AESやTPM連携による信頼性強化が同時に進むことで、Windows環境はクラウド・オンプレミス双方においてより堅牢な基盤へと進化していく流れが形成されつつある。

Source:Neowin