「WEST-SEC」ウェビナーから学ぶ、FortiGateユーザーのリモートアクセス現在地
フォーティネットの「SSL-VPN廃止」 IPsec移行と脱VPN、それぞれの注意点を総ざらい
「SSL-VPN」は、導入の手軽さなどからリモートワークの普及を支えてきた技術だ。一方で、セキュリティリスクが深刻化しており、フォーティネットはSSL-VPN機能の廃止を決定。同機能を利用できるOSのサポート(エンジニアリングサポート)も、2027年5月に終了する予定だ。
本記事では、2026年4月14日に開催された「WEST-SEC」のウェビナーの内容を基に、その背景や代替手段である「IPsec-VPN」への移行のポイント、さらに、脱VPNを実現する「ZTNA」「SASE」という新たな選択肢について紹介する。
ウェビナーには約400名が参加した
なぜ「SSL-VPN」を廃止にするのか?
WEST-SECは、初心者向けのセキュリティイベントや「8割解けるCTF」を手掛けるコミュニティである。「学びの共有」を目的に活動しており、本番環境への適用は自己責任という前提のもと、ハンズオン勉強会を展開する。
今回のテーマは、「FortiGateにおけるSSL-VPN機能の廃止」だ。まずは、WEST-SEC主宰の粕淵卓氏が、同テーマの背景と代替手段である「IPsec-VPN」への移行のポイントについて解説した。
WEST-SEC主宰 粕淵卓氏
SSL-VPNは、導入の手軽さやどこからでもVPNにつながる柔軟性から、コロナ禍のリモートワークを支えた技術である。実際に、ウェビナーの参加者へのアンケートでは、未だ4割が「VPN装置へのSSL-VPN接続」を利用中と回答している。
フォーティネットは、2025年4月、VPN装置として広く利用されている「FortiGate」において、このSSL-VPN機能を廃止する方針を発表した。「FortiOS 7.6.3」以降では、SSL-VPNトンネルモードが廃止され、すでに設定項目自体が消失している。なお、SSL-VPNが使えるFortiOS 7.4.xのエンジニアリングサポート(バグ修正や機能追加など)は2027年5月11日に、セキュリティパッチを含むすべてのサポートは2028年11月11日に終了する予定だ。
フォーティネットがSSL-VPN廃止の方針をとった背景には、SSL-VPNが恒常的に攻撃の標的となっている現状がある。SSL-VPNは、複雑で攻撃を受けやすいアプリケーション層で動作し、Webサーバーとして振る舞い、外部からのリクエストを解析するという仕様から、認証前の処理で致命的な脆弱性が生じやすい。
実際、フォーティネットに限らず、各社のVPN装置で脆弱性が確認されてきた。特にリモートコード実行(RCE)と呼ばれる脆弱性は、VPNの認証を回避するだけではなく任意のプログラムを直接実行でき、これを悪用した攻撃被害が多発していた。
2022年~2025年のランサムウェア感染経路はVPN機器が6割に達する(出典:2026年3月の警察庁資料より)
セキュアなVPN「IPsec」への移行のポイント
フォーティネットの方針を受け、FortiGateのSSL-VPN機能を利用している企業は、エンジニアリングサポート終了の2027年5月までに代替手段への移行を完了させる必要がある。まず、多くの企業が検討するのが、そのままFortiGateで利用可能な「IPsec-VPN」への切り替えだろう。
SSL-VPNはアプリケーション層で動作するのに対して、IPsec-VPNはネットワーク層で動作するプロトコルである。SSL-VPNのように複雑な処理を持たないため、ソフトウェアに脆弱性が生じにくい。また、暗号鍵が一致しないパケット、規定に反するパケットは破棄されるため、認証前の処理に攻撃を仕掛けられることも構造上難しい。
IPsec-VPNに移行する場合は、SSL-VPN同様、クライアントソフトとして「FortiClient」を使用する。無償版も提供されているが、公式サポートの対象外であるため、「基本的には有償版を推奨する」と粕淵氏。
そして、FortiGate側での設定が必要となるが、FortiOSの7.6系と7.4系で設定画面が大きく異なる。ウェビナーでは7.6系を用いて設定手順のデモが披露された。ここではその要点をまとめる。
①SSL-VPN無効化:
・バージョン確認
・SSL-VPN機能の無効化
・SSL-VPN設定の削除
ファイアウォールポリシーの削除、ユーザー・グループの整理など
②ユーザー・グループの作成:
・ユーザーの定義
・ユーザーグループの作成
③VPNウィザードを利用したVPNの設定:
・任意のトンネル名を入力して、リモートアクセスのテンプレート選択
・VPNトンネルの設定
今回はVPNクライアントの種類はFortiClient、認証方式は事前共有鍵、ユーザー認証方法は作成済みのユーザーグループを選択し、その他はデフォルト
・リモートエンドポイントの設定
VPN接続してきた端末に対して、社内から割り当てるIPアドレスの範囲を指定(あわせてFortiClientの設定を環境やセキュリティ方針に基づき設定する)
・ローカルFortiGateの設定
VPNの入り口となるインターフェースと、アクセスを許可する社内ネットワークを指定
VPNウィザードでのVPNトンネルの設定
加えて、VPNトンネルの詳細で、各項目を細やかにチューニングしていく必要がある。デモでは、以下の項目について触れた。
・IPv4スプリットトンネル:
指定されたネットワーク以外は直接インターネットに接続するかを設定(すべてを検閲する場合はオフに)
・暗号化・認証アルゴリズム:
「フェーズ1」「フェーズ2」において、強固な暗号化(AES128/AES256など)や認証(SHA256など)、Diffie-Hellmanグループ(21など)になっていることを確認
・PFS(Perfect Forward Secrecy):
秘密鍵が漏えいしても過去の通信データを復号できないようにする機能を設定
暗号化・認証アルゴリズムの確認
最後にクライアント(FortiClient)側でもVPNを設定・チューニングする(新規VPN接続で「IPsec-VPN」を選択)。今回は、FortiGateに合わせる形で、IKEをバージョン2に、暗号化・認証アルゴリズムを強固なものに変更した。
FortiClientの設定
ただしIPsec-VPNも安全というわけではない
一方で、IPsec-VPNも安全とは言い切れない。まず、SSL-VPNと比べると頻度や影響度が低いものの、IPsec-VPNにも脆弱性は見つかっている。後述するVPN自体の持つ脆弱さも変わらず、パッチ適用や各ファームウェア更新を怠れば脆弱性も残存してしまう。
さらに、認証情報自体が漏えいしてしまうと、不正アクセスのリスクは避けられないだろう。粕淵氏は、「IPsecに移行すれば直ちに安全になるという訳ではなく、トータルでセキュリティを考える必要がある」と強調する。
ウェビナーでは、IPsec-VPNのセキュリティを高めるための3つのポイントも紹介された。
1つ目は、「認証の強化」だ。Client-to-Siteで利用する際は、「MFA(多要素認証)」が必須となる。FortiGateでの設定手法はいくつかあるが、「クライアント証明書によるユーザー認証」が最も堅牢で、「スマホアプリ(FortiToken Mobile)」がそれに続く。
2つ目は、「送信元IPアドレス制限」だ。第三者の不正な接続を確実にブロック可能なため、「できるだけ実施すべき」だと粕淵氏。FortiGateのファイアウォールポリシーではなく、Local Inポリシー(初期状態では非表示)で設定する形となる。
ローカルインポリシーで送信元IPアドレス制限が可能
3つ目は、「IKEおよび暗号化設定の最適化」だ。IPSecの設定自体を現代の基準にあわせてチューニングする必要がある。
ユーザー認証では、従来の「IKEv1」を無効化して、よりセキュアな「IKEv2」を使用する。フォーティネットでもIKEv1を廃止する方向性で、FortiClient(有償版)のv7.4.4以降でサポートを終了している。前述の設定手順でも触れた、暗号化・認証アルゴリズムやPFSの有効化も確認する必要があるだろう。
本記事はアフィリエイトプログラムによる収益を得ている場合があります