【FortiGate】Webフィルターでブロックされた通信を許可する方法

自宅のLANでは、ウィルス対策ソフトやパーソナルファイアウォールがインストールされている機器ばかりではなく、セキュリティ対策がされてないデバイスも複数接続されています。

その為、少しでもセキュリティを高めることに役立てばとの思いから、「FortiGate 60F」をバーチャルワイヤーペア（VWP）モードで導入しています。

その為、NURO光ルーターの配下に、FortiGateをVWP（L1モード）で導入します。

これで、NURO光環境でも、ネットワーク構成に影響を与えず、FortiGateを導入する事が可能になります。

FortiGateの役割としては、主に「Webフィルタ」で怪しいサイトにアクセスしないように、フィルターをかけることです。

簡単ですが、FortiGateの物理的な接続は以下のようです。

主に「Webフィルタ」で制限しているとお話しましたが、SSLインスペクションモードは、

「deep-inspection」ではなく、「certificate-inspection」を使用しています。

理由としては、すべての機器にFortiGate証明書をインストールすることは難しいので、Webアクセスだけでも、ある程度制限をかけられればという思いからです。

その為、Webフィルタ以外は、暗号化されている通信はチェック出来ないのは、やむなしといったところです。

現在の「Webフィルタ」設定

現在の「Webフィルタ」設定は、カテゴリーベースで「アダルトコンテンツ」「セキュリティリスクの高いコンテンツ」を中心に、ブロック設定を行っています。

必ず、ブロックするというよりは、抑止的な意味合いになります。

「ピッコマ」へアクセス出来なくなる

現在2024年12月半ばですが、2週間前くらいから、スマホで「ピッコマ」にアクセス出来なくなりました。

自宅以外、例えば、スマホからLTEアクセスでは、問題なく開くことからすると、ピッコマがにアクセス出来なくなったのは、明らかに「FortiGate」が原因というのが分かります。

そこで、原因を探る為、FortiGateの管理画面から、Webフィルタのログを確認してみます。
確認手順：「ログ＆レポート」-「セキュリティイベント」-「Webフィルタ」

ログを確認してみたろこと、マンガアプリの通信が、何故か、「その他アダルトマテリアル」で引っかかっていました。

「えっ、なんで・・」と、

念の為、「FortiGurd Labs」でコンテンツカテゴリーを確認してみましたが、マンガアプリ「ピッコマ」の通信は、

「その他の成人向けコンテンツ」

でした。

カテゴリーから除外を申請する事は大変なので、「スタティックURLフィルタ」を使って、「ピッコマ」へのアクセスを許可したいと思います。

「ピッコマ」への通信を許可する

「Webフィルタ」設定で、コンテンツ全体ではブロックしつつ、特定のURLを許可設定する為には、「スタティックURLフィルタ」を設定します。

「スタティックURLフィルタ」が、ホワイトリストのような動作をしてくれます。

「スタティックURLフィルタ」の許可設定には、2つのアクションがあります。「除外」と「許可」です。それぞれの違いについては以下に説明します。

今回は、その他UTM機能でもチェックがバイパスされる「除外」設定をしたいと思います。

理由としては、恐らく「Webフィルタ」がパス出来たとしても、その次「DNSフィルタ」でも、引っかかる可能性が高い為、今回はバイパスとします。

「スタティックURLフィルタ」で「ピッコマ」を除外設定する

① 「セキュリティプロファイル」-「Webフィルタ」から対象のプロファイルを選択し、「編集」をクリック

② 「スタティックURLフィルタ」-「URLフィルタ」のスライドボタンを有効にします

③ 「新規作成」をクリックして、以下情報を入力し、「OK」をクリックします

・URL：piccoma.com
・タイプ：シンプル※
・アクション：除外（exempt）
・ステータス：有効

※シンプルを選択する事で、「piccoma.com」ドメインを含むサブドメイン（api2.piccoma.comなど）も除外されます

⑤ エントリーが追加された事を確認し、「OK」をクリックします

以上で、「スタティックURLフィルタ」設定は完了です。

再度、スマホで「ピッコマ」を開きます。

問題なく、「ピッコマ」が開くようになりました！

今回はマンガアプリでしたが、その他どんなアプリでも、同様の設定で、通信を許可する事ができますので、困っている方はご参考にしていただけると幸いです。

それでは！