FortiGateの「SSL-VPN」機能、サポート終了迫る 廃止の理由、代替案は？ 有志が勉強会：FortiOS 7.6.3以降で削除、移行対応は必須

国内でも利用組織の多いフォーティネットの製品で、SSL-VPNの機能廃止が告知されて久しい。2026年4月時点では、FortiOS 7.4系列における技術サポート終了が2027年5月11日、サポート終了が2028年11月11日となっている。FortiOS 7.6.3以降はSSL-VPN機能が廃止済みであり、代替先の検討と移行対応が必要となる。こうした状況を踏まえ、セキュリティコミュニティー「WEST-SEC」が、「学びの共有」を目的とした勉強会を開催した。

[柏木 恵子, 編集：石川俊明，＠IT]

　国内でも利用組織の多いフォーティネットの製品で、SSL-VPN機能の廃止がアナウンスされて久しい。フォーティネットによれば、同機能の技術サポート終了（EOES）は2027年5月11日、完全なサポート終了（EOS）は2028年11月11日だという。FortiOS 7.6.3以降は同機能自体が廃止（削除済み）であり、現在もSSL-VPN機能を利用している企業は代替先の検討や移行対応が必須だ。

　タイムリミットが迫りつつある状況を踏まえ、セキュリティコミュニティー「WEST-SEC」が、現場のエンジニア同士による「学びの共有」を目的に、必要な対応や注意点、代替案を整理した勉強会を開催した。勉強会当日は有志の登壇者らが、あくまで個人としての立場から現場目線での知見やノウハウを共有した。

SSL-VPN機能が廃止される理由、代替案は？

　SSL-VPNが廃止される主な理由は、悪用される危険性の高い重大な脆弱（ぜいじゃく）性が多く発見されているためだ。これはフォーティネット製品の問題ではなくプロトコルそのものに起因するものであり、Cisco Systems、Palo Alto Networks、Check Point Software Technologiesなど、フォーティネット以外の製品でも脆弱性が問題となっている。

　SSL-VPNにおける代表的な脆弱性は「認証前のリモートコード実行（RCE）」と呼ばれるものだ。単にVPN（仮想プライベートネットワーク）の認証をすり抜けるだけでなく、「FortiGate」のOS（FortiOS）上で任意のプログラムを直接実行できる。root権限の取得も可能という、非常に危険なものだ。

　こうした脆弱性が見つかると「修正パッチ適用までSSL-VPN機能を無効化する」といった勧告が米CISA（サイバーセキュリティ社会基盤安全保障庁）などのサイバーセキュリティ機関から発出される事態となる。

WEST-SEC 主宰 粕淵 卓氏

　セキュリティ機器ベンダーは次々に発見される重大な脆弱性に対してパッチを提供し続ける必要があり、ユーザーにとっても脆弱性を修正するためのパッチを当て続けなければならないという運用負荷が課題になる。こうした背景の下、フォーティネットは危険性の高いSSL-VPN機能を廃止する選択をしたというわけだ。

　WEST-SEC主宰の粕淵 卓氏は「FortiOS 7.6.3以降、SSL-VPNトンネルモードが廃止され、リモート接続をするには、IPsec VPNを使う必要がある」と述べた。具体的には、以下のような状況となっている。

1. SSL-VPNトンネルモードの完全削除：GUI（グラフィカルユーザーインタフェース）およびCLI（コマンドラインインタフェース）の両方から設定項目が削除される
2. 設定の継承不可：既存のファームウェアから7.6.3へアップグレードした際、既存のSSL-VPN設定は削除され、移行されない。SSL-VPN利用ユーザーはFortiOS 7.6系へのアップグレード前にSSL-VPNから「IPSec VPN」への移行を完了する必要がある

　SSL-VPNを利用してきた企業はどうすべきなのか。

　まずは前述したようにIPsec VPNへの回帰が推奨されている。IPsec VPNにも脆弱性がまったくないわけではないものの、重大なセキュリティインシデントはほとんど報告されていない。その理由は、動作するレイヤーが異なるためだ。

　そもそもVPNとは、拠点間接続で専用線を引くのが課題というケースにおいて、インターネット空間にIPsecで暗号化したトンネルを張って、仮想的にプライベートネットワークにするという技術だ。リモートアクセスも、当初はIPsecによる暗号化が使われた。

　その後、特別な装置が不要なSSL-VPNが登場。専用のVPNクライアントソフトウェアを必要とせず、ブラウザから簡単に接続できることなどが評価され、広く使われるようになった。特に、コロナ禍で従業員のテレワークが増えると、接続数を簡単には増やせないIPsec VPNの代替として、SSL-VPNの使用が広がった。

　つまり、IPsecは特定のIPアドレス間のネットワークトラフィック全体を暗号化するのに対し、SSL（※）は個々のWebセッションを保護する技術だ。OSI参照モデルで言えば、IPsecはレイヤー3（ネットワーク層）、SSL-VPNはレイヤー7（アプリケーション層）で動作する。

※次世代のTLSに引き継がれているが、引き続きSSLと呼ばれている

　SSL-VPN機器はWebサーバのように動作し、エンドユーザーがリクエストを送る。そこに不正なコードを紛れ込ませることは可能で、インターネット上で広く共有されている攻撃用コードや手法を参考に、攻撃が実行されるケースがある。一方でネットワークレイヤーでは専門的な知識なしに何かを動作させることはできない。SSLとIPsecを単純比較した場合、IPsecがより安全というわけだ。

IPsec VPNへの移行がすぐには難しい場合の暫定措置

　VPNをSSLからIPsecに変更する必要があるとしても、そう簡単に変更できないのがネットワークだ。運用方法が変更になる上、常時稼働している機器を止める作業は社内外のエンドユーザーとの調整が必要となる。また、設定変更に伴う検証にも時間がかかるなどの制約があるためだ。

　だが、そうした課題があったとしても、粕淵氏は「SSL-VPNを利用する企業は移行を検討し、自社環境へ適用する際はメーカーの公式情報を確認して各自で事前検証も実施すべき」と前置きした上で、移行がすぐに難しい場合の対策を「少なくともFortiOSを最新化した上での暫定対処」として次のようにまとめている。

VPNの廃止

　VPN接続の用途として、インフラ管理者がデータセンターに行かずに保守作業をするリモートメンテナンスのために使っている場合は、リモートアクセスは諦めて現地で作業する。

限定的な稼働

　リモートアクセスを常時許可するのではなく、送信元IPアドレスを限定し、社外から社内システムに接続して作業が必要な時間帯だけONにするなど、限定的に接続可能にする。

送信元IPアドレス制限

　海外からの利用がない場合、Geo-IP機能を利用して海外からの通信はあらかじめブロックしておく。

　「踏み台サーバを使われると完全に防ぐことはできませんが、やらないよりはやった方がいいでしょう」（粕淵氏）

ログおよび監視の強化

　何か不審な動作があればすぐに停止する状況で運用する。

IPsec VPNへ移行する際の手順と注意点

　WEST-SECメンバーの立田維吹氏は、FortiGateの設定画面を用いて移行の手順や設定の注意点を次のように解説した。

1. SSL-VPN機能を無効化する

　ダッシュボードからバージョンを確認し、接続設定でSSL-VPNをOFFにする。不要になった設定（ファイアウォールポリシーやユーザーなど）も削除しておく。

SSL-VPNの設定画面（立田氏の講演資料より）

2. 必要なソフトウェアを用意する

　リモートアクセスのクライアントソフト「FortiClient」は無料版もあるが、フォーティネットの公式テクニカルサポートの対象外となる。有償版（「FortiClient EMS」ライセンス）の利用を推奨した。

3. 認証設計

　IPsecの認証は、以下のようなフェーズに分けて考える。

1. トンネルの認証（機器同士の接続）
2. ユーザー認証
3. MFA（多要素認証）

　トンネルの認証は、証明書を使ったPKI認証が最も強固だが、コストや期限切れを起こさないための証明書管理の運用負担が生じる。難しければ、事前にパスワードを共有するPSK（Pre-Shared Key）でも、16文字から20文字など長めの文字列を使って運用する手もある。

　一方で粕淵氏は「多要素認証は必須です」と述べた。こちらも証明書による認証が一番強固だが、コストや運用負荷の面で難しい場合は、スマートフォンアプリ（FortiToken Mobile）がある。他に無料で使える選択肢として、メールによるワンタイムパスワードもあるものの、「メールの盗聴やメールアカウントの乗っ取りといったセキュリティリスクがある」とした。

4. 送信元IPアドレス制限

　接続元のIPが固定されている場合（保守業者や特定拠点など）は、実施しておく。TCPの通信において、送信元IPの偽造は事実上不可能であり、不正な第三者の接続を確実にブロックできる。通常の「ファイアウォールポリシー（IPv4ポリシー）」ではなく、「ローカルインポリシー（Local-In Policy）」にて設定する。

5. FortiGate側の設定

WEST-SEC メンバー 立田維吹氏

　パラメーターがかなり細かくあるものの、「ウィザードを使ってデフォルトのまま進めるのではなく、それぞれON/OFFを細かく設定する必要があります」と、立田氏は指摘した。

　「暗号化アルゴリズムや認証アルゴリズムに古いもの（例：SHA1）が入っていることもあり、『AES256/SHA256』および『AES128/SHA256』のような強固なものに設定し直す必要があります。メールを使う二要素認証はGUIで設定できません。CLIコンソールを使う必要もあります」（立田氏）

リモートアクセスの展望

　SSL-VPNの機能が廃止されることから、FortiGateのSSL-VPN機能を使用している企業はIPsec VPN（あるいは別の代替先）への移行が必須となる。ただし、前述したように「IPsecに移行すれば絶対に安全」というわけではない。セキュリティはプロトコルだけで完結するものではなく、リスクを低減する仕組みの実装や、構築前後のセキュリティテストと継続的なモニタリングといった運用が重要だ。

　またここ数年、従来の境界型防御（ファイアウォールやVPN）の限界が指摘され、ゼロトラスト（Zero Trust）が注目されているが、フォーティネットにおいてもゼロトラストネットワークの機能が提供されており、リモートアクセスの将来的なステップとして、以下のように進めることが推奨されている。

• Step.1：IPsec VPNへの移行
• Step.2：ZTNA（Zero Trust Network Access）への移行
• Step.3：SASE（Secure Access Service Edge）への移行

　「FortiGate」でZTNAを実現するには、FortiClient EMSが必要となる。EMSのサーバが、登録されている「FortiClient」を中央管理して、継続的な信頼性確認、特定アプリケーションのみへの限定したアクセス許可、動的なルールやセッションごとのトンネル提供といった機能を提供する。

　SASEは、リモートアクセスやファイアウォール、CASB（Cloud Access Security Broker）など、これまで個別に存在していたさまざまなセキュリティサービスとネットワークサービスを一体化するネットワークセキュリティの概念で、「FortiSASE」はFortiOSとFortiClient EMSをベースに動作する。

フォーティネットジャパン エンジニア 本間圭亮氏

　クラウド型ネットワークサービスであるSASEは1カ所で管理できるものの、帯域のプランニングが課題となる。そこでフォーティネットでは、オンプレミスのFortiGateを生かしながら、リモートアクセスのユーザーにはクラウドでセキュリティサービスを提供するというアプローチを採っているという。

　フォーティネットジャパンのエンジニアである本間圭亮氏は、「リモートアクセスを利用するユーザーのためなら、SSL-VPNを廃止してFortiSASEに移行するのが楽でしょう」とした。ちなみに、リモートメンテナンスのためのVPN置き換えであれば、「FortiPAM」という特権アクセス管理ソリューションもあるという。

ランサムウェア対策にもFortiGateは生かせる？

　ゼロトラストアーキテクチャが注目される背景の一つは、ランサムウェア（脅迫型マルウェア）の被害が拡大していることにある。

　粕淵氏はランサムウェア攻撃の流れを、以下の図で説明した。脆弱性を利用して侵入したマルウェアは、指令を出すC2（コマンド＆コントロール）サーバへの接続を試み、同一ネットワークセグメント内の端末に感染を拡大させる。

　一般的な境界型防御では、インバウンド（外から中へ）の接続だけを制限して、アウトバウンド（中から外へ）の通信は無制限に許可している傾向にある。そのため、まんまとC2サーバへの通信を許してしまうのだ。

ランサムウェア攻撃の流れ（粕淵氏の講演資料より）

　C2サーバへの接続をブロックすることで、被害を抑えることができる。完全にブロックできずに検知するだけでも、内部に感染しているPCがあることが分かり、対応が可能だ。

　C2サーバへの通信を遮断または検知をするのに、特別な製品や高度な仕組みが必要ではないという。図を見れば分かるように、ファイアウォールポリシーを適切に設定すればいいだけだ。「FortiGate」はUTM（統合脅威管理）だが、粕淵氏の経験では「ファイアウォール設定で送信元IPアドレスだけを制限し、宛先は全部ANYで開いていたり、IPS（Intrusion Prevention System）の機能があるのに全く使っていないことが多く、もったいない」と指摘する。

　粕淵氏はランサムウェア対策の一例として、以下のような設定の確認を推奨した。

ファイアウォールポリシー

　宛先IPを、ANYではなく、IPアドレスおよびポートで細かく設定し、必要最小限にする。業務で接続する必要のない国や地域への通信はGeo-IPでブロックする。

　「何千行もあるポリシーを全てチェックするのは面倒かもしれません。とはいえ、よく分からない設定をそのままにするのは、そこがセキュリティホールになる可能性もあります」（粕淵氏）

IPS（侵入防御システム）

　アウトバウンドの通信に対してもIPSを有効にする。IPSは処理負荷が高く誤検知もあるため、全てというわけにはいかないとしても、チューニングしながらブロックする。

Webフィルター（URLフィルタリング）

　デフォルトで幾つかの悪質なサイトをブロックする設定が入っているので、有効にしておく。

アプリケーションコントロール

　こちらもデフォルトでProxy（フリーProxyやTorなど）とP2Pをブロックする設定になっているので、有効にしておく。

SSLインスペクション

　Deep Inspection（フルSSLインスペクション）を有効にする。これにより、暗号化された通信を一度復号し、マルウェア、不正なスクリプト、機密情報の持ち出しをIPSやアンチウイルス機能で確実に検知・ブロックできる。ただし、全ての通信を復号すると、プライバシーの問題や技術的な不具合が生じるため、適切な「除外（Exempt）」設定が不可欠となる。

DNSフィルター

　社内のPCが危険なサーバと通信しようとした際、DNS（名前解決）の段階で強制的にストップをかけ、安全な警告画面（ブロックポータル）へ誘導する設定をする。

ログおよびアラート設定と監視

　さまざまな機能を有効にしても、きちんとログを取ってアラートを監視しておかないと、せっかくの攻撃の予兆に気付けない。

　「しっかり監視することが重要ではあるものの、日常業務と並行して監視するのは、特に夜間は限界があります。SOC（Security Operation Center）サービスの利用も検討してください」（粕淵氏）

　粕淵氏は「FortiGateにはランサムウェアの被害を防ぐために有効な機能が複数含まれています。SSL-VPNの移行と併せて、この機会に設定を見直すことを推奨します」と勉強会を締めくくった。

---

　SSL-VPNの機能廃止自体は広くアナウンスされている事実だが、現場が抱える移行へのハードルや、設定レベルの細かな注意点は見えてこない。フォーティネットのアナウンスと併せて、WEST-SECの勉強会で共有された「現場のリアルな知見」は、安全なネットワーク構築を進める上でのヒントになるのではないだろうか。

　なお、FortiGateの設定画面など詳細は、WEST-SECのブログでも公開されている。手を動かして設定を見直したいネットワーク担当者は、併せて参照してはいかがだろう。