皆さんは、《FortiGate(フォーティゲート)》をご存知ですか?
FortiGateは、企業のネットワークをさまざまな攻撃から守る役割を担うセキュリティ基盤で、多くの企業で利用されています。
最近、このFortiGateをアップデートしたところ、「いつも通りの手順で進めたのに、突然ログインができなくなってしまった」というケースが報告されています。
実はこれは、FortiGateの故障や不具合ではありません。
アップデートによって、ログイン時の《認証の仕組み》が変わったことが原因なのです。
本コラムでは、FortiGateの概要や、今回のアップデートで何が起きたのか、どのような対処方法があるのかについてご紹介します。
1. そもそも FortiGate とは?
まずはじめに、FortiGate(フォーティゲート)について簡単にご説明します。
FortiGateは、企業のインターネットの出入り口をまとめて守る「ネットワークの関所(門番)」のような役割を果たす製品です。
そのセキュリティ性の高さと利便性から、多くの企業で利用されています。
| FortiGateの主な機能 | 概要 |
|---|---|
| ファイアウォール | 外部からの通信を監視し、許可された通信だけを社内ネットワークに通します。 |
| VPN(仮想専用線)機能 | 社外からでも、安全に社内システムへアクセスできるようにします。 リモートワークや拠点間接続で多く利用されています。 |
| 不正アクセス対策(IPS) | 攻撃の兆候がある通信を検知し、遮断します。 |
| ウイルス・マルウェア対策 | 不正なファイルや通信を検知し、被害の拡大を防ぎます。 |
| 認証連携 | RADIUSやSAMLなどを使い、「誰がログインしているか」を確認します。 |
2. アップデート後に発生しているログイントラブルの背景
一般的に、製品のアップデートは、見た目や操作性を変えるためだけではなく、 安全性や信頼性といった製品の品質を強化するために行われます。
FortiGateも同様に、新たな脅威や攻撃手法に対応するため、 セキュリティ強化を目的としたアップデートが適宜実施されています。
その過程で、
- これまで利用できていた機能や方式が見直される
- ログイン時の確認方法(認証)の流れが変更される
などといった、仕様変更が生じることがあります。
《 SSL-VPNからIPsec-VPNへの仕様変更 》
FortiGateでは、これまでリモートアクセスVPNとして「SSL-VPN」と「IPsec-VPN」の両方が利用されてきました。
しかし、FortiOSのバージョンアップに伴い、 SSL-VPN(トンネルモード)が利用できないバージョンが登場し、今後は IPsec-VPNを中心とした構成へ移行する必要のあるケースが増えると予想されます。
SSL-VPN(トンネルモード)は、 導入や利用が比較的手軽であることから、多くの企業で採用されてきたVPN方式です。
一方で、VPNを社外から利用するためには、 インターネット側に《入口》を用意する必要があります。
この《社外から社内へ入る入口》は利便性が高い反面、 攻撃者から見ると狙いやすいポイントになり得ます。
近年では、VPN装置を対象としたサイバー攻撃が増加しており、実際に被害が発生した事例も複数報告されています。
たとえば、以下のような攻撃が問題になっています。
- VPN装置の脆弱性を突いた攻撃
- 認証前の処理を狙って侵入される
- VPN接続を足がかりにした社内ネットワークへの不正アクセス
==
これに対して IPsec-VPN は、同じくインターネット経由で接続する方式ではあるものの、 通信を《別の方法》で暗号化して、社外と社内の間に安全な通路を作るVPN方式です。
- 企業向けの標準的な方式として広く使われている
- 仕組みがしっかりしている
という特徴があり、リモートアクセスVPNの方式としても、多くの環境で採用されています。
そのため、VPNの安全性を高める取り組みの一環として、SSL-VPN(トンネルモード)からIPsec-VPNへ移行する流れが強まっているのです。
《 仕様変更の結果、なぜログインできなくなったの? 》
では、今回の仕様変更によって生じている 「FortiGateをアップデートしたらログインができなくなった」というトラブルについて、その仕組みを具体的に見ていきます。
結論として、今回FortiGateをアップデートした結果、ログインができなくなったのは、仕様変更に伴って《認証連携設定》が変わったことが要因になっています。
普段、私たちがVPNに接続する際には、
「この人は本当に社員ですか?」
「社外からの接続でも許可してよいですか?」
といった本人確認が裏側で行われています。
このような本人確認を行う仕組みを認証と言います。
VPN環境では、この認証をRADIUSやSAMLといった認証連携設定で実施することが一般的です。
この2種はどちらも認証方式の一種ですが 、「本人確認をどの仕組みで、どのような流れで行うか」が以下の通り異なります。
- RADIUS:
VPN接続時に、IDやパスワードを認証サーバーへ問い合わせ、その都度本人確認を行う方式 - SAML:
クラウドサービスなどと同様のログイン画面を使い、外部の認証基盤と連携して本人確認を行う方式
今回の仕様変更による、SSL-VPN(トンネルモード)の廃止に伴い、これまで利用していた認証連携設定(認証の仕組み)を見直す必要が生じました。
結果、VPNと認証(RADIUS/SAML)の連携が従来どおり動作せず、本人確認が完了しないため、ログインできなくなるといったケースが発生しているのです。
簡単に言うと、「FortiGate側で用意されている鍵穴が変わったのに、ユーザー側は今まで通りの鍵を使おうとしているため、鍵が合わずに開けられない」という状態になっているイメージです。
3.トラブル改善のための対応策 ~認証連携設定別にご紹介~
本章では、現在までに確認されている対応策について、ご利用されている認証連携設定別にご紹介します。
【 RADIUS連携 をご利用されている場合 】
● PassLogic パッケージ版
本件に対応する更新プログラム(リビジョンアップ用)を作成いたしました。
こちらを適用することで、IPsec-VPNへの切り替え後も、PassLogicとの認証連携が可能となります 。
● PassLogic クラウド版
本件に対応する更新を、2026年2月の定期メンテナンスにて適用予定です。
👉PassLogicの更新プログラムを用いることで、 《FortiGate+PassLogic》という機器構成はそのままに、最小限の変更で対応できる点が特長です。
【 SAML連携 をご利用されている場合 】
● FortiOSのバージョンを 7.6.5 にアップデートすることで、SAML連携が可能となるケースがあることが確認されています。
※出典:SAML certificate verification
https://docs.fortinet.com/document/fortigate/7.6.5/fortios-release-notes/684249/saml-certificate-verification
👉SAML連携を利用している場合は、上記のとおりFortiOSのバージョンアップが回避策の一つとなる可能性があります。
4.まとめ
FortiGateは、企業のネットワークを守るうえで非常に頼もしい製品です。
そのFortiGateにログインできなくなってしまった場合、不安を感じるのも無理はありません。
もし「FortiGateをアップデートしたらログインできなくなってしまった」 という状況に
直面している場合には、認証まわりの設定や構成に変化がないか、 確認してみることをおすすめします。
今後もFortiGateを安全に運用し続けるうえで、PassLogicがその一助となれば幸いです。
最後までお読みいただき、ありがとうございました。
この記事を書いた人:
パスロジ株式会社 マーケティングチーム
〒101-0051 東京都千代田区神田神保町1-6-1 タキイ東京ビル7F
お問い合わせ https://passlogic.jp/inquiry/