FortiGateを利用したリモートアクセス環境として、今まで多くの企業で使われてきた「SSL VPN」。
しかし、Fortinet社より、「FortiOS v7.6.3以降にアップグレードすると、SSL-VPNトンネルモード機能が使用出来なくなる」とアナウンスがありました。本件に関する情報は「v7.6.3のリリースノート」に記載がありますので、是非ご参照してください。
FortiOS 7.6.3 release note
このFortinet社からのアナウンスを聞き・・
ささ「今使っているSSL VPNはこのまま使えるのか?」
「アップデートすると接続できなくなるのでは?」
「代替手段は何を選べばいいのか?」
こうした不安を感じている方も多いのではないかと思います。私もその一人・・
本記事では、Fortinet公式発表の内容をもとに、
- SSL VPN廃止の概要
- 影響を受けるFortiOS・FortiGate
- 今後推奨される代替VPNと移行時の注意点
を実務目線で分かりやすく解説していきたいと思います。
ぜひ最後までご覧いただければ幸いです。
Fortinet公式が発表した「SSL VPNサポート終了」とは
Fortinet社は、FortiOS ver.7.6.3以降のバージョンにおいて、SSL VPNのサポートを終了する方針を公式にアナウンスしました。
これまでFortiGateのSSL VPNは、手軽に導入できるリモートアクセス手段として多くの企業で利用されてきましたが、セキュリティリスクや運用面の見直しを背景に、段階的な廃止が決定されています。
SSL VPN廃止の背景とFortinetの方針
近年、SSL VPNは以下のような理由から、攻撃対象になりやすい技術とされ、廃止に至ったと言われています。
「SSL-VPN廃止に至ったと考えられる理由」
FortiOSのSSL-VPNに関わる脆弱性の頻発による・・
- 脆弱性を狙った不正アクセスの増加
- ゼロデイ攻撃の頻発
- 認証情報の窃取リスク
Fortinet社としては、こうしたリスクを踏まえ、よりセキュアなリモートアクセス方式へ移行することを推奨しています。移行対象となるのが、「IPsec VPN」や「ZTNA(Zero Trust Network Access)」です。
いつ・どのFortiOSバージョンから影響するのか
今回のアナウンスでは、FortiOS ver.7.6.3以降が対象※と言われていますので、現在、FortiOS ver.7.4.Xを使用していたとしても、 将来的なアップデートでは、SSL VPN機能が利用できなくなってしまう事が分かります。※シリーズや機種によって若干違いがありますので、この後でご説明します
現時点でSSL-VPNが動作していたとしても、「バージョンアップを行うことで突然利用不可になるリスク」がある点には注意が必要です。
SSL VPNが使えなくなる影響
SSL VPNのサポート終了してしまう事は、IT管理者に大きな負担がかかる事になります。なぜなら、既にリモート接続環境が一般化している現状では、リモート接続を無くす選択肢はありません。その為、代替環境へ切り替える事が必須になるからです。
対象となるFortiGate機種・FortiOSバージョン
冒頭のご説明では、FortiOS ver.7.6.3以降とご説明してましたが、調べていくと、SSL VPNの廃止は、FortiGateシリーズ(Fシリーズ、Gシリーズ)や、機種によって若干違いがあるようでしたので、以下にまとめました。
影響を受ける主なFortiGateシリーズ
今確認できた情報は以下です。指定バージョンなどが違ってくる可能性がありますので、正確な情報は、Fortinet社の提供するリリースノートやドキュメントをご確認お願いします。
【Gシリーズ】
- FortiGate 120G/121G以降:FortiOS v7.6.3以降では、SSL VPNトンネルモードは利用できませんが、「エージェントレスVPN」としてWebモードが利用可能です
- FortiGate 90G/91Gおよびそれ以下のモデル:FortiOS v7.0.16以降、v7.6.1以降では、SSL-VPN機能は削除されています
- FortiGate 30G/50G:発売以来SSL VPN機能はサポートされていません
【Fシリーズ】
- FortiGate 40F/60F/80F/100Fなど:FortiOS v7.6.3以降では、SSL VPN機能は削除されています
SSL VPN廃止後の代替手段は?
Fortinet社が推奨しているのが、「IPsec VPN」への移行 です。
Fortinet社のドキュメントでも、IPsecへの置き換えが推奨されています。
IPsec VPNへの移行が推奨される理由
IPsec VPNは、以下のような特徴があり、
- 暗号化強度が高い
- 長年利用されている安定した技術
- FortiGateとの親和性が高い
さらに、設定が容易(ウィザードで設定可能)な点、FortiClientが共通な点、からも「IPsec VPN」への移行が最も現実的な方法という事になります。
その他のリモートアクセス手段(ZTNAなど)
よりセキュリティを重視する場合は、ZTNA(ゼロトラスト)の導入も検討対象となります。
ただし、ZTNAは、FortiGateのプロキシ機能を使用する為、必然的に2GB以下モデルで利用する事ができません。また、接続にはFortiClient EMSが必要になる為、接続数に応じたライセンス数も必要になります。
ただ、ZTNAでは、接続先毎に認証が発生するので、トンネル接続時のみ認証を行うIPsec VPNよりセキュアな通信が可能になります。
但し、ZTNAは、構成が複雑になりやすいため、小規模環境では利用が難しく、やはり、SSL-VPNからの移行では、「IPsec VPNへ移行」が現実解だと思います。
SSL VPNから移行する際の注意点
移行作業では、事前準備が非常に重要です。
設定変更時のトラブル例
- ルーティング設定の不足による通信不可
- ファイアウォールポリシーの未調整
- クライアント側設定ミス
特に、SSL VPNとIPsec VPNでは考え方が異なる部分があるため、慎重な確認が必要です。
移行前に必ず行うべきチェックリスト
- 現行設定のバックアップ取得
- テストユーザーでの接続確認
- 切り戻し手順の準備
これらを行うことで、業務影響を最小限に抑えた移行が可能になります。
まとめ|今後FortiGate管理者が取るべき対応
FortiOS ver.7.6.3以降でのSSL VPNサポート終了は、すべてのFortiGate管理者にとって無視できない変更点です。
- 公式アナウンス内容を正しく把握する
- 影響範囲を事前に確認する
- IPsec VPNなどへの移行を計画的に進める
これらを早めに実施することで、トラブルを未然に防ぎ、安全なリモートアクセス環境を維持できます。
コメント