FortiGate を工場出荷状態に初期化する手順と factoryreset コマンドの違い

はじめに

FortiGate を運用していると、検証環境の再構築や、設定ミスで最初からやり直したい場合、あるいは機器の廃棄や返却（RMA）の際に「工場出荷状態に戻したい」という場面に遭遇します。

初期化作業自体はシンプルですが、状況（リモート接続中なのか、手元に実機があるのか、HA 構成か）によって最適な手段が異なります。また、CLI の execute factoryreset には複数のバリエーションがあり、それぞれ維持される設定項目が異なる点も押さえておく必要があります。

本記事では、CLI コマンドによる初期化（複数バリエーション）、GUI からの操作、物理ボタンによる強制リセットの手順を、FortiOS 7.x の公式仕様に沿って解説します。

作業前の重要事項（バックアップ）

工場出荷状態（Factory Reset）を実行すると、インターフェース設定、ファイアウォールポリシー、VPN 設定、ログデータなど、すべてのデータが消去されます。

一度実行すると元に戻すことはできません。 万が一の事態に備えて、作業を行う前に設定ファイル（Config）のバックアップを取得しておくことをおすすめします。

バックアップとリストアの具体的な手順については、関連記事『FortiGate 設定ファイルのバックアップとリストアの手順と HA 構成の注意点』を参照してください。

初期化コマンドの全体像と使い分け

FortiGate の CLI には execute factoryreset 系のコマンドが複数存在します。それぞれ維持される設定項目と実行後の挙動が異なるため、状況に応じて適切なコマンドを選択することが重要です。

コマンド比較表

参考: Fortinet Community – Technical Tip: How to reset a FortiGate with the default factory settings/without losing management access
“Since FortiOS v7.0, it is also now a possible option to keep central management configurations after factory-reset. The command below resets the FortiGate to the factory default, except system.central-management.serial-number/system.central-management.fmg.”
（FortiOS 7.0 以降、中央管理設定を維持したままファクトリーリセットを実行できるコマンドが追加されました。このコマンドは system.central-management.serial-number と system.central-management.fmg を除いてすべてをリセットします）
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-reset-a-FortiGate-with-the-default-factory/ta-p/196896

コマンド選択のフロー

Q1. リモート接続を維持したまま初期化したいか？
  ├─ Yes → execute factoryreset2
  │         （インターフェース IP が維持され、初期化後も SSH / HTTPS でアクセス可能）
  └─ No  → Q2. FortiManager 管理接続を維持したいか？
              ├─ Yes → execute factoryreset-for-central-management（FortiOS 7.0 以降）
              └─ No  → Q3. 初期化後にシャットダウンが必要か？
                          ├─ Yes → execute factoryreset-shutdown
                          └─ No  → execute factoryreset

factoryreset-shutdown の補足

初期化後にそのまま電源を落とす場合（機器返却・廃棄前の処理・クローン作業など）に使用します。再起動を経ずにシャットダウン状態になるため、初期化後に誰かが意図せずアクセスできる状態を避けたい場合にも適しています。

execute factoryreset-shutdown

factoryreset-for-central-management の補足

FortiManager や FortiCloud で集中管理している環境で有効です。このコマンドを使用すると、設定リセット後も FortiManager との接続情報（シリアル番号・FMG アドレス）が維持されるため、リセット後に FortiManager 側で再登録作業が不要になります。FortiOS 7.0 以降で使用可能です。

execute factoryreset-for-central-management

方法 1: CLI で初期化する

CLI から実行する方法は、リモート接続中でもオンサイト作業でも利用でき、初期化手段として最も一般的です。SSH クライアント（Tera Term / PuTTY など）で接続するか、コンソールケーブルで接続してコマンドを実行します。

コンソール接続時のパラメータ

多くの FortiGate 機種では、コンソール接続時のシリアル設定は以下が既定値です。接続できない場合は機種のデータシートで値を確認することが推奨されます。

• 通信速度（ボーレート）: 9600 bps（一部の機種では 115200 bps）
• データビット: 8
• パリティ: なし
• ストップビット: 1
• フロー制御: なし

すべての設定を削除する（execute factoryreset）

機器を廃棄する場合や、設定を完全にゼロから作り直したい場合に使用します。このコマンドを実行すると、IP アドレスや管理者アカウントを含むすべての設定が消去され、再起動後は初期状態（デフォルト設定）となります。

実行コマンド

execute factoryreset

コマンドを入力すると、確認メッセージが表示されます。y を入力して Enter キーを押すと、初期化と再起動が始まります。

実行例

FortiGate # execute factoryreset
This operation will reset the system to factory default!
Do you want to continue? (y/n) y

System is resetting to factory default...

初期化から再起動完了までの所要時間は、機種やファームウェアサイズにより 3〜10 分程度が目安です。

参考: Fortinet Community – Technical Tip: How to reset a FortiGate with the default factory settings/without losing management access
“execute factoryreset / A warning will appear. This operation will reset the system to factory default! Do you want to continue? (y/n) / The system will reboot and load a basic configuration.”
（execute factoryreset を実行すると確認メッセージが表示され、y を入力するとシステムが再起動して初期構成がロードされます）
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-reset-a-FortiGate-with-the-default-factory/ta-p/196896

管理アクセスを維持して初期化する（execute factoryreset2）

リモート作業で非常に役立つのが execute factoryreset2 です。「遠隔地にある FortiGate を初期化したいが、IP アドレスまで消えると接続できなくなる」というケースで有効です。

このコマンドを使用すると、以下の設定項目を維持したまま、それ以外の設定（ファイアウォールポリシー・VPN・管理者アカウントなど）を初期化できます。

factoryreset2 で維持される項目（FortiOS 7.6 公式定義）

• system.global.vdom-mode（VDOM モードの設定）
• system.global.long-vdom-name（長い VDOM 名の設定）
• VDOMS（VDOM 構成そのもの）
• system.virtual-switch（仮想スイッチ設定）
• system.interface（インターフェース設定。管理ポートの IP アドレスを含む）
• system.settings（VDOM ごとのシステム設定）
• router.static / router.static6（IPv4 / IPv6 のスタティックルート）

注意: 一部の旧来のブログ記事では「管理者アカウントや DNS / IPsec 設定も維持される」と記載されているケースがありますが、FortiOS 7.x の公式仕様では、factoryreset2 は管理者アカウント・DNS・IPsec 設定を維持しません。リモート作業で初期化する場合は、初期化後に admin アカウント（パスワードなし） でログインする必要がある点を事前に確認しておくことが推奨されます。

実行コマンド

execute factoryreset2

実行例（FortiOS 7.6 系の出力イメージ）

FortiGate # execute factoryreset2
This operation will reset the system to factory default!
(Keep system.global.vdom-mode/system.global.long-vdom-name/VDOMS/
 system.virtual-switch/system.interface/system.settings/
 router.static/router.static6 setting)
Do you want to continue? (y/n) y

参考: Fortinet Document Library – execute factoryreset2（FortiOS 7.6.6）
“Reset to factory default except system.global.vdom-mode/system.global.long-vdom-name/VDOMS/system.virtual-switch/system.interface/system.settings/router.static/router.static6”
（system.global.vdom-mode / long-vdom-name / VDOMS / system.virtual-switch / system.interface / system.settings / router.static / router.static6 を除いて、工場出荷状態にリセットします）
https://docs.fortinet.com/document/fortigate/7.6.6/cli-reference/328448866/execute-factoryreset2

リモート作業での再構築や、ネットワーク設定だけ残してテスト環境をリセットしたい場合に適した手段です。

実行後の確認ポイント: factoryreset2 実行後は管理者アカウントが初期化されるため、再ログインには admin ユーザー（パスワードなし） で接続する必要があります。

初回ログイン時には新しいパスワードの設定が求められます（FortiOS 7.6.5 以降はデフォルトで有効化されているパスワードポリシーに準拠する必要があります）

方法 2: GUI で初期化する

コマンド操作に慣れていない場合や、管理画面でログイン可能な状態であれば、GUI からも初期化を実行できます。FortiOS 7.x では Dashboard の「System Information」ウィジェットから操作する方式、または Dashboard に「CLI Console」ウィジェットを追加して CLI コマンドを実行する方式が利用できます。

※ FortiOS のバージョンによってメニューの位置が若干異なる場合があります。メニュー名が見当たらない場合は、後述の CLI コンソールからの実行が確実です。

手順（System Information ウィジェット経由）

1. FortiGate の管理画面（例:https://192.168.1.99）に管理者権限でログインします
2. Dashboard（または Status）画面を開きます
3. System Information ウィジェットの中から「Configuration」関連の項目を探します
4. 「Restore」または「Factory Reset」のオプションを選択します
5. 確認ダイアログで OK を選択すると、初期化と再起動が始まります

手順（CLI Console ウィジェット経由）

GUI 上の項目が見つからない場合や、バージョン差異が気になる場合は、Dashboard に CLI コンソールを追加して CLI コマンドを実行する方法が確実です。

1. Dashboard 画面右上の 「+ Widget」 をクリックし、CLI Console を追加します
2. CLI コンソールウィジェットに execute factoryreset（または factoryreset2）を入力します
3. 確認プロンプトで y を入力し、初期化を実行します

補足: GUI からの初期化実行時も、内部的には CLI の execute factoryreset と同じ動作をします。GUI 操作・CLI 操作のどちらも、維持される項目や所要時間は同じです。

方法 3: 物理リセットボタンを使用する

「ログインパスワードを忘れてしまった」「設定を間違えて管理画面にも CLI にも繋がらない」といった場合の最終手段として、筐体にある RESET ボタンを使用した強制初期化が利用できます。

対応モデル

この方法は、小規模オフィス向け機種（40F / 60E / 60F / 61F / 70F / 70G / 80E / 80F / 81F / 90G / 100F / 101F / 120G など）で利用できます。200E 以上の中〜大規模機器では RESET ボタン自体が搭載されていないモデルもあるため、操作前にデータシートでの確認が推奨されます。

手順（FortiOS 7.x の公式 KB 準拠）

1. FortiGate 本体の前面または背面にある 「RESET」 または 「BLE/RESET」 と書かれた小さな穴を確認します（機種により位置が異なります）
2. 電源ケーブルを一度抜き、10 秒以上待機してから再度接続して起動します（ハードリブート）
3. 起動開始から 30〜60 秒の間に STATUS（STA）ランプがゆっくり点滅し始めます
4. STATUS ランプの点滅を確認したら、クリップの先など細い棒で RESET ボタンを押し続けます
5. STATUS ランプの点滅が速くなるまでボタンを押し続けます
6. 点滅が速くなったらボタンを離します。自動的に工場出荷状態への初期化と再起動が行われます

重要: 時間制約と注意点

• RESET ボタンは起動後の最初の 30 秒以内しか有効ではありません。 起動後にタイミングを逃すと反応しないため、STATUS ランプの点滅タイミングを注視する必要があります
• モデルによっては、このボタンが RESET ではなく NMI（Non-Maskable Interrupt）ボタンとして設定されているケースもあります。事前に機種のデータシートや Fortinet ドキュメントライブラリで用途を確認することが推奨されます

参考: Fortinet Knowledge Base – How to reset to Factory Default configuration using external button（FD33883）
“This button is labelled ‘RESET’ or ‘BLE/RESET’ (located either on the Back Panel near the power connector or on the Front Panel, like in 80F) and is enabled by default but usable only during the first 30 seconds after boot up.”
（このボタンは「RESET」または「BLE/RESET」と表記され、電源コネクタ付近の背面パネル、または 80F のように前面パネルに配置されています。既定で有効ですが、起動後の最初の 30 秒間のみ使用可能です）
https://kb.fortinet.com/kb/viewContent.do?externalId=FD33883

物理ボタンでも復旧できない場合

筐体に RESET ボタンがない機種や、ボタン操作でも状況が改善しない場合は、コンソールケーブルで接続して起動時メニューからファームウェアの TFTP ブートを行う復旧手段もあります。この方法は手順が複雑なため、Fortinet TAC（サポート）への問い合わせと併せて検討することが推奨されます。

HA 構成での初期化の注意点

FortiGate を FGCP HA クラスター（Active-Passive / Active-Active）で運用している場合、初期化手順に特別な注意が必要です。Primary 側で execute factoryreset を実行しても、Secondary 側は自動的に初期化されません。

基本的な考え方

• execute factoryreset は実行した機器のみをリセットします
• HA クラスター全体をリセットするには、Secondary → Primary の順に個別に初期化します
• HA 接続を維持したまま Primary を先にリセットすると、Secondary が Primary に昇格してトラフィックを引き継ぐため、スプリットブレイン（両系が同時に Primary として動作する状態）を防ぐためにケーブル管理が重要です

Secondary から先に初期化する手順

execute ha manage <secondary-index> admin

execute factoryreset

HA 環境での factoryreset2 の使用

factoryreset2 を HA 環境で使用する場合も、インターフェース設定とルートは維持されますが、HA 設定（config system ha）は初期化されます。 初期化後に HA に再参加するには、HA 設定を再投入する必要があります。

HA 設定の再投入については、Primary の設定ファイルを参照しながら Secondary に HA パラメータ（グループ ID / グループ名 / パスワード / ハートビートインターフェース / 優先度）を設定します。詳細な HA 再構築手順は、関連記事『FortiGate 設定ファイルのバックアップとリストアの手順と HA 構成の注意点』を参照してください。

初期化方法の選定ガイド（ユースケース別）

状況に応じて最適な初期化手段は異なります。以下の表を参考に選定してください。

初期化後の接続方法（デフォルト IP）

初期化と再起動が完了すると、FortiGate は工場出荷時の設定に戻ります。以前の管理 IP アドレスは消去されているため、初期設定を行うには、PC のネットワーク設定を FortiGate のデフォルト値に合わせる必要があります（factoryreset2 を使用した場合は、インターフェース設定が維持されるためこの手順は不要です）。

PC との物理接続

FortiGate の port1（モデルによっては mgmt ポートや internal ポート）と PC を LAN ケーブルで直接接続します。対象ポートの名称は、機種のデータシートで事前に確認することが推奨されます。

PC の IP アドレス設定

FortiGate のデフォルト管理 IP は 192.168.1.99/24 です。PC 側の IP アドレスを同じネットワーク帯に手動で設定します。

• PC の IP:192.168.1.10（例）
• サブネットマスク:255.255.255.0

ブラウザまたは SSH でアクセス

PC のブラウザから https://192.168.1.99 にアクセスします。ログイン画面で、以下のデフォルト認証情報を入力します。

• Username:admin
• Password:（空欄）※何も入力しない

参考: Fortinet Document Library – Default administrator password（FortiOS 7.6.6）
“By default, your FortiGate has an administrator account set up with the username admin and no password. Starting in FortiOS 7.6.5, the password policy is enabled by default and enforced, and your password must meet the policy requirements.”
（FortiGate には既定で、ユーザー名 admin、パスワードなしの管理者アカウントが設定されています。FortiOS 7.6.5 以降、パスワードポリシーが既定で有効化・強制され、パスワードはポリシー要件を満たす必要があります）
https://docs.fortinet.com/document/fortigate/7.6.6/administration-guide/99980/default-administrator-password

初回ログイン後、新しいパスワードの設定が求められます。FortiOS 7.6.5 以降では、デフォルトで有効化されているパスワードポリシー（最低文字数・文字種制約など）に適合する必要がある点に注意が必要です。ポリシーに準拠しないパスワードを設定しようとするとエラーが表示されます。

パスワード紛失時の対応

管理者パスワードを紛失した際の対応方法は、使用している FortiOS のバージョンによって大きく異なります。

FortiOS 7.2.3 以前: maintainer アカウントによる復旧

FortiOS 7.2.3 以前では、maintainer という隠しアカウントを使った管理者パスワードのリセットが可能でした。コンソールケーブルで接続し、FortiGate 再起動直後の短い時間内に以下の認証情報でログインする方式です。

• ユーザー名:maintainer
• パスワード:bcpb + シリアル番号（大文字）

ログイン後、config system admin で管理者パスワードをリセットできました。

FortiOS 7.2.4 以降: maintainer アカウントは廃止

FortiOS 7.2.4 以降、maintainer アカウントはセキュリティ上の理由で廃止されています。 現在このバージョン以降の FortiGate でパスワードを紛失した場合、以下の手段が選択肢となります。

設定バックアップが存在する場合

バックアップファイル（.conf）をテキストエディタで編集し、set password の行を削除してからファームウェアの TFTP リストアを実施する（コンソール接続・物理アクセス必須）

FortiGate Cloud（FortiCloud）管理接続が有効な場合

FortiCloud 経由で管理者パスワードのリセットが可能なケースあり

上記手段がいずれも利用できない場合

物理リセットボタンによる工場出荷状態への初期化、または Fortinet TAC（サポート）への問い合わせ

参考: Fortinet Community – Technical Tip: Resetting a lost admin password
“Starting with v7.2.4, the ‘maintainer’ account was removed, meaning this method to reset a password will no longer work.”
（v7.2.4 以降、maintainer アカウントは廃止されており、この方法でのパスワードリセットはできなくなりました）
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Resetting-a-lost-admin-password/ta-p/197045

現行環境のバージョン確認方法

get system status | grep Version

Version 欄に表示される FortiOS バージョンが v7.2.4 以上の場合は maintainer アカウントは使用できません。

パスワード紛失時の詳細な復旧手順については、Fortinet Community の公式 KB（上記 URL）を参照することが推奨されます。

まとめ

本記事では、FortiGate を工場出荷状態にリセットする手段と、factoryreset コマンドのバリエーションについて解説しました。

• execute factoryreset: 機器の廃棄や完全リセット時に使用する基本コマンド
• execute factoryreset2: VDOM・インターフェース・スタティックルート設定を維持したままリセットする、リモート作業向けのバリエーション（管理者アカウントは維持されない点に注意）
• execute factoryreset-shutdown / factoryreset-for-central-management: 廃棄前シャットダウン・FortiManager 接続維持といった用途に応じたバリエーション
• GUI での初期化: Dashboard の System Information ウィジェットまたは CLI Console ウィジェット経由で実行可能
• 物理ボタン: パスワード紛失時などの最終手段。起動後 30 秒以内の操作が必要で、モデルによりボタン配置や挙動が異なる
• HA 構成では Primary 側の初期化だけでは Secondary は初期化されないため、Secondary → Primary の順で個別に手順を踏む必要がある
• FortiOS 7.2.4 以降は maintainer アカウントが廃止されており、パスワード紛失時の対応手段が変わっている

以上、最後までお読みいただきありがとうございました。