FortiGateのUTM機能とは？IPS・アンチウイルス・Webフィルタの設定手順

FortiGateは単なるファイアウォールではなく、UTM（統合脅威管理）機能を搭載した次世代ファイアウォールです。IPS、アンチウイルス、Webフィルタなどの高度なセキュリティ機能を単一のアプライアンスで提供し、多層防御を実現します。本記事では、FortiGateのUTM機能の基本概念から実務での設定手順まで、現場で即活用できる情報をお届けします。

UTM（Unified Threat Management）は、複数のセキュリティ機能を統合したアプライアンスの概念です。FortiGateでは、従来のファイアウォール機能に加えて、IPS、アンチウイルス、Webフィルタ、アプリケーション制御、DLPなどの機能を「セキュリティプロファイル」として提供しています。

これらの機能は、ファイアウォールポリシーに関連付けることで有効化され、通過するトラフィックをリアルタイムで検査します。重要なのは、これらの検査が専用ハードウェア（SPU/NPU）によって高速に処理される点で、パフォーマンスの劣化を最小限に抑えられます。

図1: FortiGate UTM機能の利用率（実務調査）

FortiGateのセキュリティ機能は「プロファイル」として管理されます。各プロファイルは独立して設定でき、ファイアウォールポリシーに複数のプロファイルを組み合わせて適用することが可能です。

主要なセキュリティプロファイルの種類と役割を以下に示します。

IPSはネットワークトラフィックを検査し、既知の攻撃パターンに一致する通信をブロックまたは監視します。GUIまたはCLIでIPSプロファイルを作成できます。

CLIでの設定はより細かい制御が可能です。以下はIPSプロファイルを作成するコマンド例です。

config ips sensor
    edit "IPS_Strict"
        set comment "Strict IPS policy for DMZ"
        config entries
            edit 1
                set severity critical high medium
                set action block
                set log enable
            next
        end
    next
end

IPSが正常に動作しているかは、FortiViewやログから確認できます。実際の攻撃をシミュレートするには、Metasploitなどのツールを使うか、IPSテストサイトにアクセスします。

diagnose debug application ipsmonitor -1
diagnose debug enable

# IPSイベントログの確認
execute log filter category 0
execute log filter field subtype ips
execute log display

アンチウイルス機能は、HTTP、FTP、SMTP、POP3、IMAPなどのプロトコルを通過するファイルをスキャンし、マルウェアを検出します。FortiGuardから定期的に更新されるパターンファイルを使用します。

config antivirus profile
    edit "AV_Full"
        set comment "Full antivirus scanning"
        config http
            set options scan avmonitor
            set archive-block encrypted
        end
        config ftp
            set options scan avmonitor quarantine
        end
        config smtp
            set options scan
            set executables virus
        end
    next
end

FortiGuardからのパターンファイル更新は自動的に行われますが、手動で確認・更新することも可能です。

# パターンファイルのバージョン確認
diagnose autoupdate versions

# 手動アップデート実行
execute update-now

# アップデート設定の確認
show system autoupdate schedule

Webフィルタは、URLカテゴリやFortiGuardレーティングに基づいてWebサイトへのアクセスを制御します。カテゴリは90以上に分類されており、業種や組織のポリシーに応じて柔軟に設定できます。

図2: Webフィルタカテゴリのブロック率

config webfilter profile
    edit "WebFilter_Standard"
        set comment "Standard web filtering policy"
        config web
            set blacklist enable
            set bword-table 1
            set urlfilter-table 1
        end
        config ftgd-wf
            config filters
                edit 1
                    set category 26
                    set action block
                next
                edit 2
                    set category 61
                    set action block
                next
            end
        end
    next
end

主要なWebフィルタカテゴリIDと推奨設定を示します。

作成したセキュリティプロファイルは、ファイアウォールポリシーに適用して初めて効果を発揮します。既存のポリシーに追加することも、新規ポリシーで適用することも可能です。

Policy & Objects → Firewall Policy から対象ポリシーを選択し、「Security Profiles」セクションで各プロファイルを選択します。「Feature Visibility」でUTM機能が有効になっていることを確認してください。

config firewall policy
    edit 10
        set name "Internal_to_Internet"
        set srcintf "port1"
        set dstintf "port2"
        set srcaddr "Internal_Network"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set utm-status enable
        set ips-sensor "IPS_Strict"
        set av-profile "AV_Full"
        set webfilter-profile "WebFilter_Standard"
        set application-list "default"
        set logtraffic all
    next
end

UTM機能を有効にすると、誤検知によって正常な通信がブロックされるケースがあります。適切なログ確認とチューニングが運用成功の鍵です。

# IPS/AV/Webフィルタすべてのログを確認
execute log filter category 0
execute log display

# 特定のIPアドレスに関連するログのみ表示
execute log filter field srcip 192.168.1.100
execute log display

# ブロックされた通信のみフィルタ
execute log filter field action block
execute log display

UTM機能はCPUとメモリを消費します。特にSSL/SSH検査を有効にする場合は、リソース状況を常時監視してください。

# システムリソースの確認
get system performance status

# UTM機能のセッション統計
diagnose sys session stat

# IPS/AVエンジンの稼働状況
diagnose test application ipsmonitor 1