はじめに
Fortinet で SASE / SSE を検討する際の中核となるのが FortiSASE です。FortiSASE は、FortiGate と同じ FortiOS と Fortinet Security Fabric を基盤としており、すでに FortiGate を運用している組織にとっては、同じ OS とポリシーの考え方をクラウドのエッジへ広げられる点が特徴です。
つまずきやすいのは、FortiSASE が FortiOS や Security Fabric から何を引き継ぐのか、そして FortiClient や既存の FortiGate(Secure SD-WAN)とどう組み合わせるのか、という点です。本記事では、FortiSASE の全体像を整理したうえで、主要コンポーネント、SIA / SPA など接続の方式、導入の流れ、よくあるトラブルまでを扱います。
なお、SASE / SSE そのものの定義や構成要素(SWG・CASB・ZTNA・FWaaS の役割や、SASE と SSE の違い)は、関連記事『SASE とは|SSE や ZTNA との違いと構成要素のポイント』で扱っています。本記事は、その考え方を Fortinet の構成に当てはめる位置づけです。
- FortiSASE の全体像(FortiOS / Security Fabric の基盤と、既存資産との関係)
- 主要コンポーネント(SWG・CASB・FWaaS・DNS、Universal ZTNA・DLP・RBI)
- アクセスと接続の方式(SIA / SPA / SaaS アクセスと、拠点の接続)
- 導入・設定の流れ(VPN からの段階移行)
- 接続やエージェント、ポリシーに関するトラブルの確認ポイント
Fortinet の SASE(FortiSASE)の全体像
FortiSASE は、FortiOS と Fortinet Security Fabric を基盤とするクラウド提供型の SASE です。既存の FortiGate や FortiClient と統合できる点が、他社にない特徴になります。
FortiSASE とは(FortiOS / Security Fabric の系譜)
FortiSASE は、SASE アーキテクチャをクラウドから提供する Fortinet のサービスです。
参考: Fortinet — FortiSASE Document Library(Introduction)
“FortiSASE is Fortinet’s cloud-delivered security service that implements the SASE architecture (FWaaS, SWG, ZTNA)”
(FortiSASE は、SASE アーキテクチャ(FWaaS・SWG・ZTNA)を実装した、Fortinet のクラウド提供型セキュリティサービスである)
https://docs.fortinet.com/document/fortisase/25.1.51/concept-guide/891466/introduction
FortiSASE の各機能は、FortiOS と Security Fabric に支えられています。FWaaS は FortiOS の NGFW 機能、SWG は FortiOS の Explicit Web Proxy・キャプティブポータル・認証機能に基づいており、FortiGuard Labs の脅威インテリジェンスが検知を支えます。Fortinet は、SWG・ZTNA・CASB・FWaaS・RBI・SSPM・Secure SD-WAN・DEM を「1 つの OS・1 つのエージェント・1 つのコンソール」で扱える点を強みとして挙げています。
用途としては、SIA(Secure Internet Access: インターネットアクセスの保護)、SPA(Secure Private Access: 社内アプリへのアクセス)、SSA(Secure SaaS Access: SaaS アクセスの保護)の 3 つが軸になります。また、自社のデータセンターに展開する FortiSASE Sovereign も提供されています。
FortiSASE は FortiGate と同じ FortiOS を基盤とするため、既存の FortiGate 利用者が、慣れた OS とポリシーの考え方をクラウドのエッジへ拡張できる点が、選定上の大きな判断材料になります。
既存資産との関係(FortiGate Secure SD-WAN / FortiClient / FortiGuard)
FortiSASE は、Fortinet の既存資産との連携を前提にできます。
- FortiClient
-
ZTNA・SASE へのトラフィック誘導・エンドポイント保護を 1 つでまかなう統合エージェントです。BYOD や Chromebook など、エージェントを導入しにくい端末向けにエージェントレスの方式も用意されています。
- FortiGate Secure SD-WAN
-
既存の FortiGate SD-WAN と統合できます。FortiGate を FortiSASE の LAN 拡張(FortiGate Secure Edge)として VXLAN-over-IPsec トンネルで接続すると、拠点配下の端末には FortiClient を入れずに FWaaS を適用できます(既存の FortiGate Secure SD-WAN の設定記事があれば、ここに内部リンクを設置すると回遊につながります)。
- Security Fabric
-
FortiSASE が Security Fabric に参加し、エンドポイント情報を社内の FortiGate と共有することで、社内 FortiGate を ZTNA のアクセスプロキシとして利用できます。
- FortiGuard / FortiClient EMS
-
FortiGuard が AI ベースの脅威インテリジェンスを提供し、エンドポイント管理は FortiClient EMS が担います。トラブルシュートや設定を補助する FortiAI-Assist も統合されています。
既存の FortiGate・FortiClient・Security Fabric を持つ組織では、エンドポイント・拠点・ポリシーを一貫して組み合わせられる点が、FortiSASE を選ぶ際の判断材料になります。
なお、利用できる連携や構成、対応バージョンは変わりうるため、実際の検討にあたっては Fortinet の最新ドキュメントでの確認を推奨します。
FortiSASE の主要コンポーネント
FortiSASE は、SSE の中核機能を FortiOS の上で統合しています。Web・SaaS・通信全般を守る SWG・CASB・FWaaS と、アプリ単位のアクセスを担う Universal ZTNA、保護を補強する DLP・RBI を備えます。
SWG / CASB / FWaaS / DNS
それぞれの役割は次のとおりです。
- SWG(Secure Web Gateway)
-
FortiOS の Explicit Web Proxy を基盤に、Web フィルタリング、DNS フィルタリング、アンチマルウェアなどで Web トラフィックを保護します。SWG が行う SSL インスペクションの考え方は、既存の FortiGate SSL ディープインスペクション関連記事も参考になります(該当記事があれば、ここに内部リンクを設置)
- CASB(Cloud Access Security Broker)
-
SaaS の利用を可視化・制御します。
参考: Fortinet — FortiSASE Architecture Guide(Technology used)
“FortiSASE provides Inline-CASB functionality with web filter and application control security features”
(FortiSASE は、Web フィルタとアプリケーション制御の機能を備えた Inline-CASB を提供する)
https://docs.fortinet.com/document/fortisase/23.4.49/architecture-guide/87005/technology-usedCASB は、インライン(Inline-CASB)と API ベース(FortiCASB)の両方に対応する Next-Generation Dual-Mode 方式で、Shadow IT の把握にも役立ちます。
- FWaaS(Firewall as a Service)
-
FortiOS の NGFW 機能を基盤に、IPS・アプリケーション制御・アンチマルウェア・サンドボックス・アンチボットネットなどを提供します。
いずれも FortiOS を基盤とするため、既存の FortiGate で使っているプロファイルやポリシーの考え方を流用しやすい点が、運用面の利点になります。
ZTNA(Universal ZTNA)と DLP / RBI
社内アプリへのアクセス制御は Universal ZTNA が担います。ZTNA は、アプリケーションのセッションごとに利用者と端末を検証し、ポリシーを満たす場合にのみアクセスを許可します。
- Universal ZTNA
-
アプリ単位の明示的なアクセスを実現し、「暗黙の信頼」から「明示的な信頼」への移行を可能にします。
- DLP(Data Loss Prevention)
-
機密データの外部流出を検知・防止します。
- RBI(Remote Browser Isolation)
-
Web のコンテンツをリモートで隔離して実行し、端末に直接到達させません。
ZTNA は FortiClient(エージェント)の利用と、社内 FortiGate を ZTNA アクセスプロキシとして構成することが前提になります。この点は、次のアクセス方式のセクションで具体的に整理します。
アクセスと接続の方式
FortiSASE の用途は、SIA(インターネット)・SPA(社内アプリ)・SSA(SaaS)の 3 つです。既定では、リモートユーザーの通信は FortiSASE へトンネルされ、各用途が連動します。ただし、ZTNA の通信は例外で、FortiSASE を経由せず、FortiGate の ZTNA アクセスプロキシ配下の社内リソースへ直接向かいます。
SIA / SPA / SaaS アクセス(エンドポイント・エージェント)
用途ごとの方式は次のとおりです。
- SIA(Secure Internet Access)
-
NGFW による境界防御を、リモートユーザーへ拡張します。
参考: Fortinet — FortiSASE Architecture Guide
“SIA extends an organization’s security perimeter typically achieved by a NGFW to remote users”
(SIA は、通常 NGFW で実現される組織のセキュリティ境界を、リモートユーザーへ拡張する)
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/ac518143-4d9b-11ee-8e6d-fa163e15d75b/FortiSASE-23.3-Architecture_Guide.pdf - SPA(Secure Private Access)
-
社内アプリへのアクセス方式で、2 つの選び方があります。ZTNA を用いる方式は TCP ベースのアプリが対象で、FortiClient(エージェント)と、ZTNA アクセスプロキシとして構成した FortiGate が必要です(UDP ベースのアプリやエージェントレス端末では利用できません)。一方、SD-WAN または NGFW を用いる方式は、TCP・UDP 両方のアプリに対応し、既存の FortiGate SD-WAN のハブ&スポーク構成や、FortiGate NGFW を SPA ハブとして利用します。
- SSA(Secure SaaS Access)
-
FortiCASB の API ベースの検査と、Inline-CASB(Web フィルタ・アプリ制御)で SaaS 利用を保護します。
端末側の接続方式としては、FortiClient によるエージェント方式(VPN トンネルを張る Endpoint モード)、ブラウザベースのエージェントレス方式(BYOD や Chromebook 向け)、OS やブラウザに FortiSASE を SWG サーバとして設定する SWG モードがあります。
SPA は、TCP かつエージェント前提の「ZTNA 方式」と、TCP・UDP に対応する「SD-WAN / NGFW 方式」を、対象アプリに応じて使い分けるのが設計のポイントです。
拠点の接続(Secure SD-WAN / トンネル)
拠点単位での接続には、FortiGate を活用できます。FortiGate を VXLAN-over-IPsec トンネルで FortiSASE に接続する FortiGate Secure Edge(LAN 拡張)では、FortiGate がデフォルトゲートウェイとして拠点の通信を集約するため、配下の端末に FortiClient を導入する必要がありません。また、既存の FortiGate SD-WAN のハブ&スポーク構成と統合して SPA を実現することもできます(既存の FortiGate Secure SD-WAN の設定記事があれば、ここに内部リンクを設置)。
接続先となるグローバルな PoP は多数提供されており、利用者の近くの PoP を選んで遅延を抑えられます。
拠点は FortiGate(Secure Edge / SD-WAN)でまとめて FortiSASE へ接続でき、端末ごとのエージェント導入を減らせる点が、既存 FortiGate を持つ組織にとっての利点になります。
導入・設定の流れ
FortiSASE はクラウドサービスのため、設定は FortiSASE ポータルでの操作が中心です。初回ログイン時には、SIA(エンドポイント用途)の初期設定を案内する組み込みのオンボーディングガイド(手順・動画・確認用チェックリスト)が表示されます。
参考: Fortinet — FortiSASE Administration Guide
“An embedded onboarding guide for FortiSASE displays upon first login”
(初回ログイン時に、FortiSASE の組み込みオンボーディングガイドが表示される)
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/3d59bf35-3fcd-11ef-bfe5-fa163e15d75b/FortiSASE-24.2.63-Administration_Guide.pdf
段階的なロールアウト(VPN からの移行)
エンドポイントモードでのプロビジョニングは、おおむね次の流れです。
管理者が FortiSASE 環境を初期化します。
ポリシーとセキュリティコンポーネント(ディープインスペクションのプロファイルなど)を設定します。
エンドユーザーをプロビジョニングし、招待メールを送付します(LDAP などのリモート認証や SAML SSO に対応)
FortiClient を端末へ配布し、招待コードで FortiClient Cloud へ接続します。
FortiClient が FortiSASE ライセンスを有効化し、FortiSASE VPN トンネルをプロビジョニングします。
エンドユーザーが FortiSASE トンネルへ接続します。
FortiSASE が端末にポリシーを適用します。
管理者がログを確認し、設定を調整します。
オンボーディングは、少人数なら事前設定済みのインストーラを「Onboard Users」から配布する方法、多人数なら GPO や MDM で集中展開する方法(Managed Endpoint)が選べます。接続できているかは、Zero Trust Telemetry の状態が「Connected / Managed by FortiClient Cloud」になることで確認できます。
VPN からの移行は、段階的に進めるのが現実的です。まず SIA(インターネットアクセスの保護)から始め、次に SSA(SaaS アクセス)、その後 SPA(ZTNA または SD-WAN / NGFW)を対象アプリから順に導入する、という順序が無理がありません。
既存の FortiGate がある場合は、FortiGate Secure Edge や SD-WAN 統合で拠点をまとめて接続すると、端末ごとの作業を減らせます。
よくあるトラブルと対処
FortiSASE のトラブルは、設定値そのものより、エージェントの登録、トンネルの接続、ポリシー(特にディープインスペクションの除外)に原因があることが少なくありません。これらを順に確認すると、切り分けが進めやすくなります。
接続・エージェント・ポリシーの確認ポイント
代表的な確認の観点は次のとおりです。
- エージェントの登録(オンボーディング)
-
FortiClient が FortiClient Cloud に接続できているか(Zero Trust Telemetry の状態)を確認します。招待コードや認証(SAML SSO)も確認します。なお、事前設定済みの FortiClient インストーラが Microsoft Defender で「不明な発行元」と判定されることがあり、配布時の留意点になります。Windows で DEM(デジタルエクスペリエンスモニタリング)を使う場合は、MSI 版ではなく実行ファイル版のインストーラが必要です。
- 接続(トンネル)
-
エンドポイントモードは常時 VPN 接続が前提です。トンネルが確立しているか、利用する PoP / リージョンが適切かを確認します。
- ポリシー(ディープインスペクションの除外)
-
Fortinet のインフラ宛ての通信は、ディープインスペクションを無効にした除外ポリシーが必要です。
参考: Fortinet — FortiSASE Document Library(Managed endpoint client onboarding)
“you must create a policy with deep inspection disabled for Fortinet infrastructure destinations”
(Fortinet インフラ宛ての通信には、ディープインスペクションを無効にしたポリシーを作成する必要がある)
https://docs.fortinet.com/document/fortisase/latest/mature-administration-guide/374953/managed-endpoint-client-onboarding特に macOS のエンドポイント管理接続では、Fortinet-FortiSASE・Fortinet-FortiCloud・Fortinet-FortiClient.EMS・Fortinet-FortiSandbox.Cloud といった宛先を除外しないと、接続が確立しないことがあります。あわせて、SSL ディープインスペクションを行う場合は、検査用の証明書が端末に配布されているかも確認します。
- ログ・可視化
-
FortiSASE のログや Analytics、DEM を用いて、エンドポイント・経路・アプリのどこに原因があるかを切り分けます。設定やトラブルシュートを補助する FortiAI-Assist も利用できます。上流への到達性をパケットレベルで確認したい場合は、関連記事『Wireshark のフィルタ書き方と複数条件の使い分け|TCP 再送と HTTP エラーの追跡』も参考になります。
切り分けは「エージェントの登録 → トンネルの接続 → ポリシー(特に Fortinet インフラ宛ての除外)」の順に進めると、原因を絞り込みやすくなります。
まとめ
- Fortinet の SASE は、FortiOS と Security Fabric を基盤とする FortiSASE が中核で、既存の FortiGate と親和性が高い構成です。
- 主要コンポーネントは SWG・CASB・FWaaS・DNS と Universal ZTNA で、DLP・RBI が保護を補強します。
- いずれも FortiOS ベースのため、既存 FortiGate のポリシーの考え方を流用しやすい点が利点です。
- 用途は SIA(インターネット)・SPA(社内アプリ)・SSA(SaaS)で、リモートは FortiClient やエージェントレス、SWG モードで接続します。
- SPA は ZTNA 方式(TCP・エージェント前提)と SD-WAN / NGFW 方式(TCP・UDP)を使い分けます。
- 拠点は FortiGate Secure Edge / SD-WAN でまとめて接続でき、端末ごとの導入を減らせます。
- 効かないときは「エージェント登録 → トンネル接続 → ポリシー(Fortinet インフラ宛ての除外)」を確認します。
以上、最後までお読みいただきありがとうございました。
