はじめに
FortiGate(FortiOS)は非常に人気のある製品ですが、そのファームウェアのバージョンアップ作業には特有の「お作法」があります。
「今使っている古いバージョンから、いきなり最新バージョンにポチッと更新!」
これをやってしまうと設定データ(コンフィグ)が消えたり、最悪の場合は機器が正常に起動しなくなったりする危険性があります。
FortiGate を安全にバージョンアップするためには、メーカーが指定する「経由すべきバージョンの順番(アップグレードパス)」を正しく守って、段階的に更新していく必要があります。 その複雑な順番を、誰でも簡単にシミュレーションできる公式の便利サイトが 「FortiGate Upgrade Path Tool」 です。
本記事では、このツールの概要から具体的な使い方、そして実際のバージョンアップ作業前に必ずやっておくべき注意点までをわかりやすく解説します。
- Upgrade Path(アップグレードパス)とは: なぜ一気に最新版へ上げてはいけないのか?
- ツールの概要: 公式ツール「FortiGate Upgrade Path Tool」とは何か
- ツールの使い方: 現在のバージョンから目標バージョンまでの「正しい手順」の調べ方
- 作業前の必須チェック: リリースノートの確認とバックアップの重要性
FortiGate Upgrade Path(アップグレードパス)とは
FortiGate の OS である「FortiOS」をアップデートする際、現在のバージョンから目標のバージョンへ到達するために経由しなければならない「安全なバージョンの道筋(ルート)」のことを、Upgrade Path(アップグレードパス)と呼びます。
なぜ直接最新バージョンに上げてはいけないのか?
スマホの OS や一般的なアプリであれば、古いバージョンから最新バージョンへボタン一つで一気に更新できるのが普通です。しかし、FortiGate でこれをやると、システム障害に陥る可能性があります。
その最大の理由は、「設定ファイル(コンフィグ)の内部構造がバージョンによって異なるから」です。
FortiOS は、バージョンが上がるごとに新しい機能が追加されたり、内部のデータベース構造やコマンドの記述方法が変更されたりします。 バージョンを1つや2つ上げる程度であれば、FortiGate 自身が古い設定を新しい設定へと自動で変換(マイグレーション)してくれます。
しかし、バージョンを大きく飛ばしてアップグレードしてしまうと、この変換処理が追いつかず(翻訳できず)、以下のような深刻な事態を引き起こします。
- 設定の一部、またはすべてが消える(初期化される)
- 通信が突然遮断される
- 最悪の場合、OS が起動しなくなる(文鎮化)
これ防ぐため、Fortinet 社は「v6.2.3 から v7.2.4 に上げたいなら、まずは v6.2.5 に上げて、次に v6.4.2 に上げて…」といったように、設定を正しく引き継げる「安全な階段の登り方」を厳密に定めています。これがアップグレードパスです。
FortiGate Upgrade Path Tool とは
公式が提供するパス確認ツールの概要
FortiGate Upgrade Path Tool は、Fortinet 社が公式に提供している 「安全なバージョンアップの道筋(パス)を自動計算してくれるWebツール」 です。
自分が使っている機器のモデル(型番)と、「今のバージョン」および「目標のバージョン」を入力するだけで、経由すべき中継バージョンを順番に一覧表示してくれます。 わざわざ膨大なマニュアルや互換性マトリクスを読み解かなくても、システム障害やコンフィグ消失のリスクを避けた最短・安全なルートがすぐに分かるため、FortiGate を運用するエンジニアにとって欠かせない必須ツールとなっています。
サポートポータル(Support Portal)からのアクセス方法
このツールには、大きく分けて2つのアクセス方法があります。状況に合わせて使い分けてください。
ブラウザから直接ツールにアクセスする方法です。アカウントログインが不要なため、「とりあえず経路だけサクッと調べたい」という時に便利です。
ファームウェアの実体(イメージファイル)をダウンロードする作業と並行して行えるため、実際のバージョンアップ作業時にはこちらの手順が基本となります。
- Fortinet Support Portal にアクセスし、アカウント(FortiCloud など)でログインします。
- 上部メニューの Support から Firmware Download をクリックします。
- 「Select Product」のプルダウンメニューから FortiGate を選択します。
- 画面内にある [Upgrade Path] ボタンをクリックすると、パス計算ツールが表示されます。
Upgrade Path Tool の使い方
ツールを開いたら、ご自身の環境に合わせて必要な情報をプルダウンメニューから選択していくだけで、安全なルートが自動計算されます。
まずは、バージョンアップを行いたい FortiGate のハードウェアモデル(型番)を正確に指定します。 実は、同じ OS バージョンであっても、機器のモデル(例: FortiGate 60F や FortiGate 100F)によって経由すべきルートが異なる場合があるため、非常に重要です。
- Product:
FortiGateを選択します。 - Model: お使いの機器の型番(例:
FGT-60Fなど)をリストから選択します。
次に、「今どのバージョンにいるのか」と「最終的にどのバージョンへ行きたいのか」を指定します。
- Current Version: 現在稼働しているバージョンを選択します。(例:
6.4.5) - Target Upgrade Version: 目標とする最新 / 安定バージョンを選択します。(例:
6.4.10M)
情報を入力すると、自動的に画面下部に結果が表示されます(または [Go] ボタンをクリックします)
現在のバージョンは、FortiGate の管理画面(GUI)のダッシュボードか、CLI で get system status コマンドを実行して確認できます。
結果画面には、最終目的地にたどり着くために「どのバージョンを順番にインストールしていくべきか」というステップが表示されます。
この結果が出た場合、「一気に 6.4.10M に上げる」のはNGです。 「6.4.7 にアップグレード」→「次に 6.4.9 にアップグレード」→「最後に 6.4.10M にアップグレード」という、合計3回の再起動を伴う作業が必要になることを意味しています。
作業当日は、ここに表示されたすべての経由バージョンのファームウェアイメージ(.out ファイル)を事前にダウンロードして準備しておく必要があります。
バージョンアップ実行前の重要チェックポイント
ツールで正しいルートを確認できたら、作業当日を迎える前に以下の2点を必ず実施してください。これを怠ると、思わぬシステム障害に巻き込まれる可能性があります。
Fortinet 社は、各ファームウェアバージョンの公開に合わせて必ず「リリースノート(Release Notes)」という公式ドキュメントを発行しています。
このドキュメントの中にある 「Known Issues(既知の問題)」 の項目には絶対に目を通してください。 目標とする最新バージョンであっても、「特定の条件下で IPsec VPN が切断される」「GUI の一部が正しく表示されない」といったバグが残っている場合があります。
自社(または顧客)がメインで利用している機能が Known Issues に記載されている場合は、あえて最新版へのアップデートを見送り、一つ前の安定バージョン(パッチリリース)に目標を変更する、といった運用上の判断が必要になります。
万が一、バージョンアップの途中で機器がフリーズしたり、完了後に通信ができなくなったりした場合、元の状態に安全に切り戻す(ダウングレードする)ために絶対に必要なのが「コンフィグ(設定ファイル)」です。
具体的なバックアップの取得手順や、トラブル発生時のリストア(復元)方法については、以下の記事で、解説しています。
アップグレードパスに沿って「6.4.7 ➔ 6.4.9 ➔ 6.4.10M」と経由する場合、作業の一番最初だけでなく、それぞれのバージョンにアップグレードが完了後にも、毎回必ずバックアップを取得してください。 ファイル名に「fgt_backup_v6.4.4_ok.conf」のようにバージョン名を明記しておくと、万が一次のステップで障害が起きても、迷わず安全な状態へ復旧できます。
まとめ
本記事では、FortiGate を安全に運用するための必須知識である「Upgrade Path Tool」について解説しました。
- 設定の消失や文鎮化を防ぐため、段階的なバージョンアップ(階段)が必須です。
- 公式の「FortiGate Upgrade Path Tool」を使えば、「安全な経由ルート」を自動計算してくれます。
- 作業前には必ずリリースノートを確認し、各ステップごとにコンフィグのバックアップを取得しましょう。
以上、最後までお読みいただきありがとうございました。
