FortiGate Upgrade Path Tool の使い方｜HA 構成での所要時間

はじめに

FortiGate（FortiOS）は広く利用されているセキュリティ製品ですが、そのファームウェアのバージョンアップ作業には独特の作法があります。

古いバージョンから最新バージョンへ直接アップグレードしてしまうと、設定データ（コンフィグ）の一部が消える、通信が停止する、最悪の場合は機器が正常に起動しなくなるといったトラブルにつながる可能性があります。

FortiGate を安全にバージョンアップするためには、メーカーが指定する「経由すべきバージョンの順番（アップグレードパス）」を正しく守って、段階的に更新していく必要があります。その複雑な順番を、誰でも簡単にシミュレーションできる公式の便利サイトが「FortiGate Upgrade Path Tool」です。

本記事では、このツールの概要から具体的な使い方、実際のアップグレード作業手順（GUI / CLI / HA 構成）、所要時間の目安、作業前の必須チェックまでを実務目線で解説します。

FortiGate Upgrade Path（アップグレードパス）とは

FortiGate の OS である「FortiOS」をアップデートする際、現在のバージョンから目標のバージョンへ到達するために経由しなければならない「安全なバージョンの道筋（ルート）」のことを、Upgrade Path（アップグレードパス）と呼びます。

なぜ直接最新バージョンに上げてはいけないのか？

スマホの OS や一般的なアプリであれば、古いバージョンから最新バージョンへボタン一つで一気に更新できるのが普通です。しかし、FortiGate でこれをやると、システム障害に陥る可能性があります。

その最大の理由は、「設定ファイル（コンフィグ）の内部構造がバージョンによって異なるから」です。

FortiOS は、バージョンが上がるごとに新しい機能が追加されたり、内部のデータベース構造やコマンドの記述方法が変更されたりします。バージョンを 1 つや 2 つ上げる程度であれば、FortiGate 自身が古い設定を新しい設定へと自動で変換（マイグレーション）してくれます。

しかし、バージョンを大きく飛ばしてアップグレードすると、この変換処理が追いつかず、以下のような事象が発生する可能性があります。

• 設定の一部または全部が消える（初期化される）
• 通信が突然遮断される
• OS が起動しなくなり、機器が利用不能となる

これを防ぐため、Fortinet 社は「v6.2.3 から v7.2.4 に上げたいなら、まずは v6.2.5 に上げて、次に v6.4.2 に上げて…」といったように、設定を正しく引き継げる「安全な階段の登り方」を厳密に定めています。これがアップグレードパスです。

FortiGate Upgrade Path Tool とは

公式が提供するパス確認ツールの概要

FortiGate Upgrade Path Tool は、Fortinet 社が公式に提供している「安全なバージョンアップの道筋（パス）を自動計算してくれる Web ツール」です。

自分が使っている機器のモデル（型番）と、「今のバージョン」および「目標のバージョン」を入力するだけで、経由すべき中継バージョンを順番に一覧表示してくれます。膨大なマニュアルや互換性マトリクスを読み解かなくても、システム障害やコンフィグ消失のリスクを避けた安全なルートが把握できるため、FortiGate を運用するエンジニアにとって活用価値の高いツールとなっています。

💡 Upgrade Path を検討する際に併せて確認しておきたい動向（2026 年時点）

Fortinet 社は 2026 年 3 月に、FortiOS 7.4.x および 7.6.x の EOES（エンジニアリングサポート終了日）をリリース日から 12 ヶ月延長しました。アップグレード先のバージョンを選定する際は、最新のサポートサイクルの確認を推奨します。延長の背景や実務上の意味については、関連記事「【FortiGate】FortiOS 7.4 サポート延長の背景と SSL-VPN 廃止に伴う移行の現実」で詳しく解説しています。

また、FortiOS 7.6.4 以降および 7.4.8 以降のバージョンには、保守契約未更新や EOES 経過時に同一メジャーバージョン内の後続版へ自動アップグレードされる機能が追加されています。Upgrade Path Tool で移行計画を立てる際は、この機能の対象バージョンを把握しておくと安全です。詳細は関連記事「【FortiGate】強制アップグレード（自動アップグレード）の仕様と回避対策」を参照してください。

Upgrade Path Tool の 2 つのアクセス方法

Fortinet 社は Upgrade Path Tool として 2 つの公式 URL を案内しています。状況に応じて使い分けることを推奨します。

① 専用ツールサイトに直接アクセスする（簡易確認用）

ブラウザから直接ツールにアクセスする方法です。アカウントログインが不要なため、経路のみを事前に確認したい場合に適しています。

• Fortinet Document Library – Upgrade Tools: https://docs.fortinet.com/upgrade-tool

② Fortinet Support Portal から確認する（作業当日向け）

ファームウェアのイメージファイルをダウンロードする作業と並行して実施できるため、実際のバージョンアップ作業時にはこちらの手順が基本となります。

1. Fortinet Support Portal にアクセスし、FortiCloud アカウントでログインします。
2. 上部メニューの Support → Firmware Download をクリックします。
3. 「Select Product」のプルダウンメニューから FortiGate を選択します。
4. 画面内の [Upgrade Path] タブをクリックすると、パス計算ツールが表示されます。

参考: FortiOS 7.6.6 Release Notes「Upgrade information」
“Supported upgrade path information is available on the Fortinet Customer Service & Support site.”
（サポートされているアップグレードパスの情報は、Fortinet カスタマーサービス & サポートサイトで確認できます。）
https://docs.fortinet.com/document/fortigate/7.6.6/fortios-release-notes/832438/upgrade-information

2 つのツールでパスが異なるケースへの対処

2 つのツールは、同じ条件でも微妙に異なるアップグレードパスを返す場合があります。この挙動について、Fortinet 公式ドキュメントでは以下のように説明されています。

参考: Fortinet Document Library「Upgrade information（FortiOS 7.2.4）」
“In some cases, these upgrade path tools may recommend slightly different upgrade paths. If that occurs, the paths provided by both tools are supported and you can use either one.”
（これらのアップグレードパスツールは、場合によっては微妙に異なるアップグレードパスを推奨することがあります。その場合、両方のツールが提示するパスはいずれもサポートされており、どちらを使用しても問題ありません。）
https://docs.fortinet.com/document/fortigate/7.2.4/hyperscale-firewall-release-notes/466825/upgrade-information

つまり、表示されたパスが 2 ツール間で異なっていても、どちらも公式サポート対象です。実務上は、メジャーバージョンをまたぐ際のステップ数が少ない方を選択するのが一般的です。

Upgrade Path Tool の使い方

ツールを開いたら、ご自身の環境に合わせて必要な情報をプルダウンメニューから選択していくだけで、安全なルートが自動計算されます。

STEP

対象のモデル（機器）を選択する

まずは、バージョンアップを行いたい FortiGate のハードウェアモデル（型番）を正確に指定します。同じ OS バージョンであっても、機器のモデル（例：FortiGate 60F や FortiGate 100F）によって経由すべきルートが異なる場合があるため、正確な指定が重要です。

• Product： FortiGate を選択します。
• Model： お使いの機器の型番（例：FGT-60F など）をリストから選択します。

STEP

現在のバージョンと目標のバージョンを入力する

次に、「今どのバージョンにいるのか」と「最終的にどのバージョンへ行きたいのか」を指定します。

• Current Version： 現在稼働しているバージョンを選択します。（例：6.4.5）
• Target Upgrade Version： 目標とする最新 / 安定バージョンを選択します。（例：6.4.10M）

情報を入力すると、自動的に画面下部に結果が表示されます（または [Go] ボタンをクリックします）。

現在のバージョンは、FortiGate の管理画面（GUI）のダッシュボードか、CLI で get system status コマンドを実行して確認できます。

STEP

出力された「経由すべきバージョン」の順番を確認する

結果画面には、最終目的地にたどり着くために「どのバージョンを順番にインストールしていくべきか」というステップが表示されます。

この結果が出た場合、「直接 6.4.10M に上げる」という手順は避け、「6.4.7 にアップグレード」→「次に 6.4.9 にアップグレード」→「最後に 6.4.10M にアップグレード」という、合計 3 回の再起動を伴う作業を実施することを推奨します。

作業当日は、ここに表示されたすべての経由バージョンのファームウェアイメージ（.out ファイル）を事前にダウンロードして準備しておくことを推奨します。

アップグレード作業の所要時間の目安

Upgrade Path Tool で経路が分かったら、次に知りたいのは「作業時間枠をどのくらい確保すべきか」です。公式には明言されていませんが、実機での運用報告や各種技術ブログに基づくと、以下が目安となります。

1 ステップあたりの所要時間

パス全体での所要時間の目安

Upgrade Path Tool で表示されるステップ数に応じた合計時間の目安は以下のとおりです。

作業枠の考え方： 上記の「合計所要時間」は最短ケースの目安であり、実作業ではバックアップ取得・動作確認・トラブル発生時の切戻し時間を含めた余裕のある作業枠を確保することを推奨します。特にメジャーバージョンをまたぐアップグレード（例：6.4 → 7.0 → 7.2）では、コンフィグ変換に時間がかかるケースも報告されています。

所要時間が長くなる要因

以下の条件下では、所要時間が目安より長くなる傾向があります。

• コンフィグサイズが大きい： VDOM 数、ポリシー数、オブジェクト数が多い環境では変換処理に時間がかかる
• ディスク I/O が低いモデル： エントリーモデル（60F 等）は、ハイエンドモデル（100F 以上）と比べて書き込みに時間がかかる場合がある
• ログアーカイブの読み込み： 長期稼働機器では起動時のログ整合性チェックに時間がかかる

実作業の前に、検証環境で同じパスを一度通しておくと、本番での所要時間がより正確に見積もれます。

バージョンアップ実行前の重要チェックポイント

ツールで正しいルートを確認できたら、作業当日を迎える前に以下の 2 点を実施することを推奨します。これを怠ると、思わぬシステム障害に巻き込まれる可能性があります。

リリースノートの「Known Issues（既知の問題）」を確認する

Fortinet 社は、各ファームウェアバージョンの公開に合わせて「リリースノート（Release Notes）」という公式ドキュメントを発行しています。

このドキュメントの中にある「Known Issues（既知の問題）」の項目には目を通すことを強く推奨します。目標とする最新バージョンであっても、「特定の条件下で IPsec VPN が切断される」「GUI の一部が正しく表示されない」といった問題が残っている場合があります。

自社（または顧客）がメインで利用している機能が Known Issues に記載されている場合は、あえて最新版へのアップデートを見送り、一つ前の安定バージョン（パッチリリース）に目標を変更する、といった運用上の判断が必要になります。

事前のコンフィグ（設定ファイル）バックアップ手順

バージョンアップの途中で機器がフリーズしたり、完了後に通信ができなくなったりした場合、元の状態に安全に切り戻す（ダウングレードする）ために欠かせないのが「コンフィグ（設定ファイル）」です。

具体的なバックアップの取得手順や、トラブル発生時のリストア（復元）方法については、関連記事「【FortiGate】設定ファイルのバックアップとリストア（復元）手順」を参照してください。

💡 各ステップごとにバックアップを取得する
アップグレードパスに沿って「6.4.7 → 6.4.9 → 6.4.10M」と経由する場合、作業の一番最初だけでなく、それぞれのバージョンにアップグレードが完了した時点でもバックアップを取得することを推奨します。ファイル名に fgt_backup_v6.4.4_ok.conf のようにバージョン名を明記しておくと、次のステップで障害が起きた場合にも復旧先を迷わずに済みます。

実際のアップグレード作業手順

Upgrade Path Tool で経路を確認し、リリースノートとバックアップを準備したら、実際の作業に移ります。FortiGate のアップグレードは GUI（Web 管理画面）と CLI のどちらでも実施可能です。

事前確認コマンド

作業前に、現状を把握するためのコマンドを実行しておくことを推奨します。

# 現在のバージョンとシステム情報を確認
get system status

# 設定のサマリを確認（現在の VDOM、ポリシー数など）
get system performance status

# HA 構成の場合は同期状態を確認
get system ha status
diagnose sys ha checksum cluster

参考: Fortinet 公式デプロイメントガイド「FortiGate OSバージョンアップ手順」
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/FOS_verup_DeploymentGuide.pdf

GUI からのアップグレード手順

GUI での作業が最も一般的で、事前に TFTP サーバ等を用意する必要がないため推奨されます。

CLI からのアップグレード手順（TFTP 経由）

CLI を使う場合は、あらかじめ TFTP サーバにファームウェアイメージを配置しておく必要があります。

# TFTP サーバ経由でファームウェアをダウンロードし適用
execute restore image tftp <image_filename.out> <tftp_server_ip>

実行すると確認プロンプトが表示され、承認すると自動的に書き込みと再起動が行われます。

アップグレード後の確認コマンド

アップグレード完了後は、以下のコマンドで状態を確認することを推奨します。

# バージョンが目的のものに上がっているか確認
get system status

# コンフィグが正しく引き継がれているか主要部分を確認
show system interface
show firewall policy
show router static

# HA 構成の場合は同期状態を再確認
get system ha status
diagnose sys ha checksum cluster

アップグレード後に確認すべき機能

コンフィグの自動変換が完了していても、以下の機能は特に動作確認を推奨します。

• VPN（IPsec / SSL-VPN）： トンネル確立、ユーザー認証
• ルーティング： 静的ルート、動的ルーティング（OSPF / BGP）
• ファイアウォールポリシー： 通信が意図通りに許可・拒否されているか
• UTM 機能： Web フィルタリング、IPS、アンチウイルスの動作
• ログ送信： FortiAnalyzer 等への外部ログ送信

HA 構成でのアップグレード挙動と断時間

HA（High Availability）構成を組んでいる場合でも、アップグレード手順自体はシングル構成と同じです。ただし、クラスタ内での処理順序と通信断の発生タイミングを把握しておくと、メンテナンス計画が立てやすくなります。

HA 構成でのアップグレード動作順序

Primary を 1 号機（Priority が高い側）、Secondary を 2 号機とした場合の一般的な動作順序は以下のとおりです。

参考: Fortinet Administration Guide（FortiOS）
HA 構成でのアップグレード手順はシングル構成と同様の操作で実施可能であることが明記されています。
https://docs.fortinet.com/document/fortigate/7.6.6/fortios-release-notes/832438/upgrade-information

通信断時間の目安

フェイルオーバー発生時の通信断時間は、製品グレード・バージョン・周辺ネットワーク機器の仕様により異なりますが、一般的な目安は以下のとおりです。

アップグレードパスが複数ステップある場合、この通信断がステップ数分発生する点に注意が必要です。例えば 3 ステップ経由のアップグレードでは、通信断の累積が 3 分〜5 分程度になる可能性があります。

HA 構成でのアップグレード時の留意点

作業前に HA 同期が正常であることを確認する

diagnose sys ha checksum cluster で Primary と Secondary の設定チェックサムが一致していることを確認することを推奨します

1 台ずつ手動でアップグレードする運用も可能

自動転送に頼らず、計画的に 1 号機・2 号機それぞれに手動で適用する方法もあります

FGCP クラスタの監視

アップグレード中は Primary / Secondary の状態遷移を get system ha status で監視することを推奨します

アップグレード中は設定変更を避ける

同期が不安定になる時間帯での設定変更は、予期しない挙動を招く可能性があります

アップグレード失敗時の切戻し（ダウングレード）

万が一アップグレード後に問題が発生した場合、ダウングレードにも同様にアップグレードパスを逆にたどる作法があります。FortiOS は古いバージョンのコンフィグを新バージョンで自動変換しますが、逆方向（新→旧）ではコンフィグの互換性が保証されないため、事前に取得したバックアップの活用が前提となります。

推奨される切戻し手順

切戻しを想定した準備

各ステップごとのコンフィグバックアップ

各バージョンでの完了時にバックアップを取得しておくことで、任意のステップへの切戻しが可能になります

メンテナンス窓の十分な確保

切戻し作業の時間も含めた作業枠を確保することを推奨します

作業担当者の切戻し手順の共有

事前に切戻し手順書を作成し、当日の担当者間で共有しておくことが望まれます

具体的なコンフィグのバックアップとリストア手順については、関連記事「【FortiGate】設定ファイルのバックアップとリストア（復元）手順」を参照してください。

まとめ

本記事では、FortiGate を安全に運用するための知識である「Upgrade Path Tool」と、実際のアップグレード作業手順について解説しました。

• 設定の消失や機器の起動不能を防ぐため、段階的なバージョンアップ（階段）を推奨します。
• 公式の「FortiGate Upgrade Path Tool」は 2 種類あり、簡易確認用（ログイン不要）と作業当日向け（ログイン要）を使い分けると効率的です。
• 1 ステップあたりの所要時間は約 5〜10 分、複数ステップ経由時はステップ数分を見込んで作業枠を確保することを推奨します。
• HA 構成では Secondary → Primary の順でアップグレードが進行し、1 サイクルあたり数十秒〜1 分程度の通信断が発生します。
• 作業前にはリリースノートの Known Issues を確認し、各ステップごとにコンフィグのバックアップを取得することを推奨します。
• 2026 年 3 月の EOES 延長、および強制自動アップグレード機能の導入により、アップグレード計画の前提条件にも注意が必要です。

以上、最後までお読みいただきありがとうございました。