FortiOS 8.0 の新機能と AI / PQC 対応のポイント

はじめに

Fortinet は 2026 年 3 月 10 日に開催された「Fortinet Accelerate 2026」において、自社のセキュリティファブリックを支える最新オペレーティングシステム「FortiOS 8.0」を発表しました。その後、2026 年 4 月 21 日にビルド 0167 として正式リリース（GA） され、リリースノートは 2026 年 5 月 14 日に最終更新されています。

ハイブリッドワークや生成 AI の普及に伴い、企業ネットワークの複雑化と攻撃対象領域（アタックサーフェス）の拡大が課題となっています。FortiOS 8.0 は、AI を活用したセキュリティ制御、次世代 SASE の拡張、そして将来的な量子コンピュータによる暗号解読の脅威に備える「耐量子（Quantum-Safe）」機能を提供し、デジタルインフラ全体の保護とパフォーマンスを両立させる方向性を示しています。

参考: Fortinet Introduces FortiOS 8.0（Fortinet Press Release, 2026/3/10）
“FortiOS 8.0 delivers powerful new AI-driven security, next-generation SASE, and quantum-safe capabilities to help organizations simplify their security architectures while delivering consistent protection and performance across the entire digital infrastructure.”
（FortiOS 8.0 は、強力な AI 駆動型セキュリティ、次世代 SASE、耐量子機能を提供し、デジタルインフラ全体で一貫した保護とパフォーマンスを実現しつつ、組織のセキュリティアーキテクチャの簡素化を支援します。）
https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2026/fortinet-introduces-fortios-8-expand-secure-networking-with-secure-ai-controls-fabric-based-ai-agents-flexible-sase-and-simplified-sdwan

本記事では、FortiOS 8.0 の新機能を実務的な視点から整理しつつ、既存環境からアップグレードする際に把握しておきたい制約や注意点 までを解説します。FortiGate 製品全体の概要については、関連記事『FortiGate の概要と特徴』も参考になります。

FortiOS 8.0 の全体像: 統合プラットフォームとしての進化

FortiOS 8.0 の特徴は、ネットワーク機能とセキュリティ機能を統合されたオペレーティングシステムにまとめる「One OS」アプローチの進化にあります。

多数の個別製品を組み合わせる従来の手法では、可視性の欠如や運用負荷の増大を招く傾向があります。Fortinet のソリューションガイドでも、この統合の重要性が以下のように言及されています。

参考: FortiOS 8.0 Solution Guide
“By unifying its operating system, endpoint agent, centralized management, data platform, post-quantum protection, and built-in AI, the Fortinet Security Fabric eliminates the gaps created by fragmented legacy tools and loosely connected vendor stacks.”
（オペレーティングシステム、エンドポイントエージェント、集中管理、データプラットフォーム、耐量子保護、組み込み AI を統合することで、Fortinet Security Fabric は、断片化されたレガシーツールや緩やかに接続されたベンダースタックによって生じるギャップを排除します。）
https://www.fortinet.com/content/dam/fortinet/assets/solution-guides/sb-fortios.pdf

Security Fabric を支える「One OS」戦略の意義

FortiOS は単なるファイアウォール OS ではなく、Fortinet Security Fabric 全体の基盤として機能します。AI が外部サービスとしてではなく OS にネイティブに組み込まれているため、追加の遅延なくネットワーク全体でインラインの脅威検知と防御を実行できる 点が特徴です。

既存の Fortinet 製品との連携強化

FortiOS 8.0 のリリースに伴い、周辺コンポーネントとの連携も強化されています。既存の Fortinet 環境を運用している組織にとっては、以下のアップデートが運用上のメリットとなります。

FortiClient（統合エージェント）

EPP／ZTNA 機能に加え、FortiOS 8.0 環境下では、安全な VPN 接続のための PQC（耐量子暗号）サポートや、AI アプリケーションの通信検知と制御に対応しました。なお、一部の PQC 機能は FortiClient 8.0 のリリースを待つ必要がある 点にご注意ください（2026 年 5 月時点）

FortiManager（集中管理）

GenAI を活用した「FortiAI-Assist」が組み込まれ、自然言語によるガイド付きワークフローで、ファイアウォールや SD-WAN のトラブルシューティングおよび設定作業のエラー削減を支援します。

FortiAnalyzer（データレイク）

統合 XDR ダッシュボードが提供され、ネットワーク、エンドポイント、アイデンティティドメイン全体のリスク評価を行えるようになりました。

AI 利用の可視化とデータ保護の強化

組織内で生成 AI（GenAI）の導入が進む一方、IT 部門が把握していない AI ツールの利用（シャドー AI）や、それに伴う情報漏洩リスクへの対応が急務となっています。FortiOS 8.0 では、AI の利用を「禁止」するのではなく、「安全に活用」するための可視化と制御機能が強化されています。

シャドー AI の検知と GenAI アプリの細やかな制御

FortiOS 8.0 では、組織内でどのような AI アプリケーションが利用されているかをリアルタイムで可視化します。

参考: Fortinet Press Release（FortiOS 8.0 発表）
“FortiView for AI attack surface and shadow AI, providing real-time visibility into how AI applications and services are used across the organization and distinguishing sanctioned from unsanctioned tools…”
（AI アタックサーフェスおよびシャドー AI 向けの FortiView は、組織全体で AI アプリケーションやサービスがどのように使用されているかをリアルタイムで可視化し、認可されたツールと未認可のツールを区別します。）
https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2026/fortinet-introduces-fortios-8-expand-secure-networking-with-secure-ai-controls-fabric-based-ai-agents-flexible-sase-and-simplified-sdwan

また、「Model Context Protocol（MCP）」および「Agent-to-Agent（A2A）」の通信を可視化することで、アプリケーションやエージェント間に隠れた AI のアクティビティを明らかにし、データが不適切に処理される箇所を減らします。これにより、承認された GenAI ツールでの生産性向上を支援しつつ、機密データの入力といった危険なアクションのみをブロックする運用が可能になります。

画像からの情報漏洩を防ぐ OCR 対応 DLP

データ持ち出しの手口として、テキストではなく スクリーンショットや画像 に機密情報を含めて送信するケースが増加しています。

参考: Fortinet Press Release（FortiOS 8.0 発表）
“Enhanced data loss prevention (DLP) with optical character recognition (OCR), detecting sensitive data embedded in images, scans, and screenshots that bypass traditional text-based inspection…”
（光学式文字認識（OCR）を備えた強化されたデータ損失防止（DLP）により、従来のテキストベースの検査をバイパスする画像、スキャン、スクリーンショットに埋め込まれた機密データを検出します。）
https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2026/fortinet-introduces-fortios-8-expand-secure-networking-with-secure-ai-controls-fabric-based-ai-agents-flexible-sase-and-simplified-sdwan

OCR 対応 DLP により、画像に埋め込まれた機密データ（設計図面や顧客情報など）をインラインで検出し、テキストベース DLP では捕捉できなかった通信を検知することが可能になります。

運用効率を高めるカスタムタグ機能

FortiOS 8.0 で実務的に有用な追加機能として、アドレスオブジェクト、ポリシー、動的タグアドレスグループに対するカスタムタグの付与 がサポートされました。タグを使った動的なアドレスグループ化により、Linux サーバー群、特定の業務システム、地域別の拠点など、運用シーンに応じた柔軟なポリシー設計が可能になります。

次世代 SASE と耐量子（Quantum-Safe）セキュリティ

インフラのモダナイゼーションにおいて、SASE の導入と次世代の暗号化規格への対応は重要なテーマとなっています。FortiOS 8.0 は、拠点展開の柔軟性とポスト量子時代を見据えた保護機能を提供します。

SASE Outpost と Sovereign SASE による柔軟な拠点展開

パブリックなクラウド基盤だけでなく、規制要件やパフォーマンス要件の厳しい環境向けに、新たな SASE の展開オプションが追加されました。

参考: Fortinet Press Release（FortiOS 8.0 発表）
“SASE Outpost, extending SASE enforcement closer to users and applications by deploying a SASE POP in customer-controlled locations, such as on-premises, private data centers, or co-location, while maintaining centralized cloud management.”
（SASE Outpost は、一元化されたクラウド管理を維持しながら、オンプレミス、プライベートデータセンター、コロケーションなどの顧客管理ロケーションに SASE POP を展開することで、SASE の適用をユーザーやアプリケーションのより近くに拡張します。）
https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2026/fortinet-introduces-fortios-8-expand-secure-networking-with-secure-ai-controls-fabric-based-ai-agents-flexible-sase-and-simplified-sdwan

これにより、独自のセキュリティスタックを個別に構築することなく、集中管理とローカルでのポリシー適用の両立（データ主権の確保）が可能になります。Sovereign SASE では、ログ保持地域、コントロールプレーンの所在地、Sovereign POP の選択、顧客データセンター内での完全主権展開といった、データ主権に関する多層的なコントロールが提供されます。

マルチパス IPsec トンネルと統合 SD-WAN バンドル

ネットワーク信頼性の観点では、マルチパス IPsec トンネル が新たに導入されました。複数の経路で IPsec トンネルを束ね、可用性とアプリケーションパフォーマンスを向上させる機能です。あわせて、オーバーレイとアンダーレイ接続、集中管理、レポーティングを統合した Unified SD-WAN バンドル も提供され、調達と運用の両面で簡素化が図られています。IPsec VPN の基本構築については、関連記事『FortiGate IPsec VPN の構築手順｜IKEv2 と NAT 越えの設定例』を参照してください。

PQC（耐量子暗号）の段階的な実装

将来の実用的な量子コンピュータの登場により、現在の暗号化通信が後から解読されるリスク（Harvest now, decrypt later）が懸念されています。FortiOS の PQC 対応はバージョンごとに段階的に進められてきました。

FortiOS 8.0 では、FIPS 204（ML-DSA） / FIPS 205（SLH-DSA）に準拠した PQC アルゴリズムをサポートし、エージェントレス VPN などの重要な管理アクセス経路を保護します。さらに、ハイブリッド鍵交換による SSL ディープインスペクションにより、強力なエンドツーエンド暗号化を維持したまま、暗号化トラフィック内に隠れた脅威を検査することが可能です。

参考: New features or enhancements（FortiOS 8.0.0 Release Notes）
https://docs.fortinet.com/document/fortigate/8.0.0/fortios-release-notes/743723/new-features-or-enhancements

FortiOS 7.6 から 8.0 への主要な差分

既存の FortiOS 7.6 環境を運用している管理者にとって、8.0 へのアップグレードを検討する際の判断材料となる主要な差分を整理します。

機能カテゴリ別の差分

アップグレードする価値が高いケース

以下に該当する環境では、FortiOS 8.0 へのアップグレードを検討する価値が高いと考えられます。

生成 AI の業務利用が広がっており、シャドー AI の可視化が経営課題となっている環境

FortiView for AI と AI-aware Application Control による組織横断の可視化が直接の解決策になります。

画像・スクリーンショットによる情報持ち出しを検査したい環境

OCR 対応 DLP は他社製品との差別化要素として有効です。

マルチクラウドや拠点分散環境で、可用性・性能要件が高い IPsec 拠点間接続を運用している環境

マルチパス IPsec トンネルによる経路冗長化が効きます。

データ主権規制（GDPR、各国の個人情報保護法等）の対象事業者

Sovereign SASE の多層モデルがコンプライアンス対応を簡素化します。

慎重に判断したいケース

一方、以下のような環境では、しばらく FortiOS 7.6 系で運用を継続し、8.0.1 以降の安定版を待つ判断もあり得ます。

2GB RAM 機種を多数運用している環境

後述する制約事項により、機能制限がさらに広がる可能性があります。

Agentless VPN（旧 SSL-VPN Web モード）を 40F / 60F / 90G シリーズで継続利用したい環境

これらの機種では 8.0 でも Agentless VPN が利用できません。

Hyperscale モードや FortiGate 6000 / 7000 系の大規模環境

リリースノート上で非互換性と制限事項が明記されているため、十分な検証期間が必要です。

アップグレード前に把握しておきたい制約と注意点

FortiOS 8.0 はマーケティング上の新機能だけでなく、特定機種で利用できなくなる機能や、アップグレード前提として理解しておくべき動作変更 が複数あります。リリースノートの「Special notices（特記事項）」と「Changes in default behavior（デフォルト動作の変更）」から、実務に影響が大きいものを整理します。

Agentless VPN（旧 SSL-VPN Web モード）非対応機種

FortiOS 8.0 では、一部モデルで Agentless VPN が GUI/CLI のいずれからも利用できなくなりました。以前のバージョンの設定はアップグレード時に引き継がれません。

参考: Agentless VPN not supported on some FortiGate series models（FortiOS 8.0.0 Release Notes）
“On the following FortiGate models, the Agentless VPN (formerly SSL VPN web mode) feature is no longer available from the GUI or CLI. Settings will not be upgraded from previous versions.”
（以下の FortiGate モデルでは、Agentless VPN（旧 SSL-VPN Web モード）機能は GUI/CLI から利用できなくなりました。以前のバージョンの設定は引き継がれません。）
https://docs.fortinet.com/document/fortigate/8.0.0/fortios-release-notes/877104/agentless-vpn-formerly-ssl-vpn-web-mode-not-supported-on-some-fortigate-series-models

該当機種は主に FGT-40F / FWF-40F 系、FGT-60F / FWF-60F 系、FGT-90G 系、FGT-50G 系 などのエントリーモデルです。これらの機種で従来 SSL-VPN を利用していた場合、IPsec ダイアルアップ VPN への移行が必要 です。SSL-VPN 廃止の経緯と IPsec への移行手順については、関連記事『FortiGate SSL-VPN 廃止と IPsec VPN（TCP/443）への移行手順』で詳しく解説しています。

なお、SSL-VPN トンネルモード自体はすでに FortiOS 7.6.3 で全機種から削除済み です。FortiOS 8.0 環境では、リモートアクセス VPN の選択肢は IPsec VPN / Agentless VPN（対応機種のみ）/ ZTNA のいずれかとなります。

2GB RAM モデルでのプロキシ関連機能の制限

メモリ容量が 2GB 以下の機種（FortiGate 40F、60F、50G シリーズおよびその派生機種）では、ほとんどのプロキシ関連機能が利用できなくなっています。Web フィルタや SSL ディープインスペクション、AntiVirus などをプロキシモードで適用していた構成は、フローモードへの切り替えが必要です。

参考: 2 GB RAM FortiGate models no longer support most FortiOS proxy-related features（FortiOS 8.0.0 Release Notes）
“As part of improvements to enhance performance and optimize memory usage on FortiGate models with 2 GB RAM or less, FortiOS no longer supports most proxy-related features.”
（2GB RAM 以下の FortiGate モデルにおけるパフォーマンス向上とメモリ最適化の一環として、FortiOS はほとんどのプロキシ関連機能をサポートしなくなりました。）
https://docs.fortinet.com/document/fortigate/8.0.0/fortios-release-notes

自機が 2GB RAM 制約の対象かどうかは、以下のコマンドで確認できます。

diagnose hardware sysinfo conserve

出力された total ram の値が 2000 MB 未満であれば、2GB RAM 制約の対象機種です。

2GB RAM モデルでの Security Rating / Security Fabric topology 非対応

同じく 2GB RAM 機種では、Security Rating（セキュリティ評価レポート）機能と Security Fabric topology（ファブリックトポロジ表示）も利用できなくなりました。Fabric ルート機器として 2GB RAM 機種を運用していた場合、Fabric 構成の見直しが必要です。

Hyperscale モードと FortiGate 6000 / 7000 系の非互換性

Hyperscale ファイアウォール構成および FortiGate 6000 / 7000 系シャーシ型機種については、リリースノートに Hyperscale 非互換性と制限事項 が個別に記載されています。これらの環境を運用している場合、アップグレード前に該当ページの確認を推奨します。

Hairpin 通信のポリシーチェック必須化

FortiOS 8.0 では、Hairpin 通信（同一インターフェースから入って同一インターフェースへ抜ける通信）に対して、ポリシーチェックが必須化されました。従来は暗黙的に許可されていた一部の Hairpin 通信が、明示的なファイアウォールポリシーを必要とするケースがあります。VIP（Virtual IP）を使った内部公開構成などでは、アップグレード後に通信が止まる可能性があるため、検証環境での事前確認を推奨します。

Private-data-encryption キーの仕様変更

FortiOS 7.6.1 以降、private-data-encryption キーの仕様が変更されており、管理者が 32 桁の 16 進数キーを手動入力する必要はなくなりました。コマンドを有効化するとランダムなキーが自動生成される動作になっています。FortiManager 8.0.0 と組み合わせる場合、FortiManager 側の動作も変更されているため、リリースノートの該当ページを参照してください。

意図しない自動アップグレードのリスク

FortiOS 7.4.8 以降では、ライセンス無効や EOES 到達を条件に、同一マイナーバージョン内の最新パッチへ自動でアップグレードがスケジュールされる仕様があります。FortiOS 7.6 系を運用したまま意図せず 7.6.3 以降や 8.0 系へアップグレードされると、SSL-VPN や Agentless VPN が停止する可能性 があります。仕様の詳細と回避手順については、関連記事『FortiGate 強制アップグレード（自動アップグレード）の仕様と回避対策』を参照してください。

アップグレード前のチェックリスト

実機への適用前に確認しておきたい項目を整理します。

• 運用中の機種が Agentless VPN 非対応リストに含まれていないか
• 2GB RAM 機種でプロキシモードのセキュリティプロファイルを使っていないか
• 2GB RAM 機種を Fabric ルートとして運用していないか
• VIP やヘアピン通信の構成に対して、ファイアウォールポリシーが明示的に定義されているか
• FortiClient や FortiManager のバージョンが互換性要件を満たしているか
• 公式のアップグレードパス（Fortinet Customer Service & Support サイト）で推奨経路を確認したか
• バックアップ取得と切り戻し手順の準備が完了しているか

まとめ

本記事では、2026 年 4 月に GA リリースされた FortiOS 8.0 の新機能と、既存環境からアップグレードする際に把握しておきたい制約や注意点を整理しました。

• FortiOS 8.0 は AI 駆動セキュリティ、次世代 SASE、耐量子暗号の 3 領域で機能拡張された統合 OS として 2026 年 4 月 21 日に GA リリースされた。
• FortiView for AI と OCR 対応 DLP により、シャドー AI と画像経由の情報漏洩に対する可視化と制御が強化された。
• SASE Outpost / Sovereign SASE により、顧客管理ロケーションでの SASE 適用とデータ主権対応が可能になった。
• PQC は 7.2（PPK）、7.6（ML-KEM、HQC）、8.0（X25519MLKEM768、PQC エージェントレス VPN）と段階的に積み上げられている。
• 一部のエントリーモデルでは Agentless VPN が利用できず、2GB RAM 機種ではプロキシ関連機能と Security Rating が制限される。
• アップグレード前には、対象機種の制約、Hairpin 通信のポリシー、FortiClient / FortiManager との互換性を確認することが推奨される。

以上、最後までお読みいただきありがとうございました。