ある日、ファイアウォールのポリシー変更中に誤って全通信を遮断してしまい、数百ユーザーがインターネットに接続できなくなったことがあります。幸いにも変更前にバックアップを取っていたため、3分でリストアして復旧できました。
以来、どんな小さな変更でも必ずバックアップを取る習慣が身につきました。バックアップは「保険」ではなく「必須作業」です。
FortiGateの設定バックアップは、システム管理者にとって最も重要な保全作業の一つです。ハードウェア障害や誤操作によるサービス停止を最小限に抑えるため、適切なバックアップ戦略が不可欠です。
以下の状況では必ずバックアップを取得してください。設定変更前のスナップショットは、トラブル時の復旧時間を大幅に短縮します。
| タイミング | 理由 | 優先度 |
|---|---|---|
| ポリシー変更前 | 誤操作による通信遮断リスク | 最高 |
| ファームウェア更新前 | アップグレード失敗時の復旧 | 最高 |
| 週次・月次 | 定期的な設定保全 | 高 |
| 新規導入完了時 | ベースライン設定の記録 | 中 |
WebブラウザからFortiGateにアクセスして設定をバックアップする方法です。最も簡単で視覚的にわかりやすい手順となっています。
https://FortiGateのIPアドレス にアクセスし、admin権限でログインします。
「System」→「Backup」→「Backup」の順にクリックします。
「Scope」で全設定または特定VDOM、「Encrypt configuration file」でパスワード保護の有無を選択します。
「OK」ボタンをクリックすると、.confファイルがダウンロードされます。ファイル名には日付を含めると管理しやすくなります。
バックアップファイルから設定を復元する手順です。リストア実行後、FortiGateは自動的に再起動します。
1. System → Backup → Restore を選択
2. 「Browse」からバックアップファイルを選択
3. 暗号化されている場合はパスワード入力
4. 「OK」をクリック(自動再起動開始)
5. 再起動完了後、設定が復元されたことを確認リストア時は全ユーザーの通信が一時的に切断されます。必ず業務時間外やメンテナンス時間内に実施し、関係者に事前通知してください。
SSHやコンソール経由でコマンドラインから設定をバックアップする方法です。自動化スクリプトに組み込むことも可能です。
# 全設定を画面表示
FortiGate # show full-configuration
# 全設定をテキストファイルとして保存(SSH経由)
FortiGate # execute backup full-config tftp config_backup.conf 192.168.1.100
# SCPで外部サーバーへバックアップ
FortiGate # execute backup config scp config_backup.conf 192.168.1.100 adminTeraTerm等のターミナルソフトでログ保存を有効にしてから「show full-configuration」を実行すれば、画面出力をそのままテキストファイルとして保存できます。
# TFTPサーバーから設定をリストア
FortiGate # execute restore config tftp config_backup.conf 192.168.1.100
# SCPでリストア
FortiGate # execute restore config scp config_backup.conf 192.168.1.100 admin
# USBメモリからリストア(USBポート搭載モデル)
FortiGate # execute restore config usb config_backup.confFortiGateのバックアップファイルは独自形式で暗号化オプションにも対応しています。ファイル構造を理解することで適切な管理が可能になります。
図1: バックアップファイル管理方法の比較
バックアップファイルには日時や目的を含めた命名規則を適用すると管理が容易になります。
| 命名例 | 用途 | 推奨度 |
|---|---|---|
| FG100_20250110_pre-change.conf | 変更前バックアップ | ◎ |
| FG100_20250101_weekly.conf | 定期バックアップ | ◎ |
| FG100_v7.4.1_golden.conf | ゴールデンコンフィグ | ○ |
| backup.conf | 情報不足で推奨しない | × |
リストア作業で発生しやすい問題とその対処法を知っておくことで、緊急時の復旧時間を短縮できます。
異なるファームウェアバージョン間でバックアップをリストアすると、一部の設定が失われる可能性があります。以下の原則を守ってください。
# 現在のバージョン確認
FortiGate # get system status | grep Version
Version: FortiGate-100F v7.4.1,build2463,230904
# 推奨リストアパターン
○ v7.4.1 → v7.4.1(同一バージョン)
○ v7.2.5 → v7.4.1(アップグレード後)
△ v7.4.1 → v7.2.5(ダウングレード、機能喪失の可能性)
× v6.4.x → v7.4.x(メジャーバージョン差、非推奨)暗号化されたバックアップファイルのパスワードを忘れた場合、そのファイルは使用不可能になります。復号方法は存在しないため、パスワード管理は厳格に行ってください。
暗号化パスワードはパスワード管理ツール(1Password、Bitwarden等)で組織全体で共有し、複数名が把握できる体制を構築してください。個人のメモ帳だけでは引き継ぎ時に問題が発生します。
図2: リストア失敗の主な原因
FortiGateは自動バックアップ機能を内蔵しており、定期的に外部サーバーへ設定を送信できます。人的ミスを防ぐため、必ず自動化を実装してください。
# 自動バックアップの基本設定
config system auto-script
edit "daily-backup"
set interval 86400
set repeat 0
set script "execute backup config scp daily-backup.conf 192.168.1.100:22 backupuser password"
set start auto
next
end
# cron形式での詳細スケジュール設定(毎日午前3時)
config system automation-trigger
edit "daily-backup-trigger"
set trigger-type scheduled
set trigger-frequency daily
set trigger-hour 3
next
endFortiCloudアカウントを持っている場合、クラウドストレージに自動バックアップすることも可能です。GUI から System → FortiGuard → FortiCloud で設定できます。
FortiGateのバックアップとリストアは、ネットワーク運用における最重要タスクです。GUI・CLI両方の方法をマスターし、状況に応じて使い分けることで、迅速な復旧が可能になります。
- 変更前・定期実施のバックアップ習慣を確立する
- バックアップファイルは必ず暗号化し、パスワード管理ツールで共有する
- 自動バックアップを設定して人的ミスを防ぐ
- リストア前にファームウェアバージョンの互換性を必ず確認する
- バックアップファイルには日時と目的を含む命名規則を適用する
