(1)バージョンの確認

・ダッシュボード > ステータス >システム情報 からバージョンの確認

(2)SSL-VPN機能の無効化

・設定方法として、SSL-VPNをOFFにすれば、無効化できる

(3)SSL-VPN設定の削除

機能の無効化だけでも攻撃されることはないが、不要な設定であるため、削除しておく
a)ファイアウォールポリシーの削除
b)SSL-VPN設定の削除
c)SSL-VPNユーザの削除
d) SSL-VPNユーザグループの削除
e)スタティックルート　※SSL-VPNのIPプール宛て（ssl.root）の静的ルーティングを書いていた場合
f)SSL-VPNポータル設定:　※ポータル自体の削除。
など

(4)設定画面の変化

❶旧画面　v7.2.10の場合

❷7.6.3 以降の設定できない画面

(1)概要

ローカルネットワークでのテストだが、設定手順は基本的に同じ。

(2)必要なソフトウェア

・FortiClient（無料版・有償版）
※ 無料版は、ライセンス費用ゼロで利用可能だが、Fortinetの公式テクニカルサポートの対象外であり、有償版（FortiClient EMSライセンス）を利用することが推奨。
※IPsecの脆弱性が出た場合、無料版でもソフトウェアのバージョンアップ自体は提供される（と思われます）。
※OS標準のVPNクライアントを利用すれば、ソフトウェアのインストールすら不要です。ただし、OS標準クライアントは、あくまで「トンネルを繋ぐだけ」の機能しか持ち合わせておらず、FortiClientを使うのが推奨です。

(3)認証設計

IPsecの認証は、フェーズに分けて考える
❶トンネルの認証（機器同士の接続）

❷ユーザ認証
・従来のIKEv1では「XAuth」と呼ばれる仕組みでユーザ名とパスワードの認証を実施していましたが、よりセキュアなIKEv2ではXAuthが利用できません。そのため、IKEv2の標準規格である「EAP（拡張認証プロトコル）」を用いて、個人ごとの認証を実施します。
・社内のActive Directory（AD）やRADIUSサーバーと連携して既存のアカウントを流用するか、利用者数が少ない環境であれば、FortiGate本体のローカルデータベースでユーザ管理（アカウント作成）を行います。

❸MFA（多要素認証）：【絶対必須（MUST）】
FortiGateで設定できる認証方法　

※SSL-VPNで証明書認証やワンタイムパスワード（MFA）を利用する場合、FortiGateの時刻が正確である必要があります。システム > 設定 からNTPが正しく同期されているか確認する。
❹送信元IPアドレス制限
・ 実施できる環境（接続元のIPが固定されている保守業者や特定拠点など）であれば、絶対に実施すべきです。
・認証が始まる前の段階で不正なパケットを破棄するため、セキュリティ対策として 非常に強固
・設定場所は、 通常の「ファイアウォールポリシー（IPv4ポリシー）ではなく、「ローカルインポリシー（Local-In Policy）」で行う。→設定方法は後述

(1)ネットワーク構成図

(2)設定パラメータ

・ VPN接続設定情報一覧

・インターフェース設定

(3)ポリシー

・通常のFWポリシー

・ローカルインポリシー

(4)7.4系の手順

a)VPN>IPsecウィザードから設定していく　※IPアドレス等が上記で書いたものと違うのはお許しください。
b)ポリシーアンドルーティング

c)クライアントオプション

d)VPNトンネルの編集
・IKEのバージョンは、バージョン2を使う

・フェーズ1プロポーザル　※画面が正しくなくてごめんなさい

・フェーズ２プロポーザル
先と同様

(5)7.6系の設定

a)左メニューの [VPN] ＞ [VPNウィザード] をクリック
b)「トンネル名」に任意の名前を入力（例：IPsec-VPN）

c)VPNトンネルの設定

※その他の、IKEバージョン、NATトラバーサルなどはデフォルトのまま

d)リモートエンドポイントの設定（IPプールの割り当て）
VPN接続してきた端末に対して、社内から割り当てるIPアドレスの範囲を指定

※上記2つは、社内で「FortiClient EMS（エンドポイント管理サーバー）」を導入・運用している場合のみ有効です。
e)ローカルFortiGateの設定（ルーティングとポリシー）
VPNの入り口となるインターフェースと、アクセスを許可する社内ネットワークを指定

f)設定のレビューと適用
ウィザードによって自動生成される設定（アドレスグループ、インターフェース、ファイアウォールポリシー等）のリストが確認できます。
「トンネルが正常に設定されました」と表示されれば完了です。
g)設定の確認
左メニューの [VPN] ＞ [VPNトンネル] をクリックします。
リストに作成した IPsec-VPN が表示され、インターフェースバインディングが wan1 になっていることを確認します。
(※誰も接続していない初期状態では、ステータスは「非アクティブ(赤色ダウン)」となります)

h) VPNトンネルの詳細設定と暗号化アルゴリズムの確認
・ウィザードで自動生成されたIPsecトンネルのパラメーターを確認・調整します。
・[VPN] ＞ [VPNトンネル] を開き、作成したトンネル（例：IPsec-VPN）を選択して [編集] をクリックします。
・設定を確認します。


・暗号化・認証アルゴリズム: 「フェーズ1の提案」「フェーズ2セレクター（高度）」を展開すると、ウィザードによって推奨される強固な暗号化（AES128/AES256など）と認証（SHA256など）、Diffie-Hellmanグループ（21など）になっていることを確認。
※この点は、クライアントソフトのバージョンによってはGCMが未対応だったりもするので、クライアントソフト側と設定を合わせる。


i)ファイアウォールポリシーのチューニング（アクセス制限）
セキュリティを高めるため、「必要なサーバーへ、必要な通信のみ」に制限します。

j)VPN経由でのインターネットアクセス許可
VPN接続中のPCが、自宅の回線から直接インターネットに出るのではなく、会社のFortiGate（wan1）を経由してインターネットにアクセスする運用とする場合の、インターネットへ抜けさせるための新規ポリシーの設定。※IPS等のセキュリティ設定は、必要に応じて実施。

(6)ローカルインポリシーによるVPN接続元の制限（セキュリティ強化）

特定のアクセス元（例：PCの固定IP 203.0.113.33/32）のみを許可し、それ以外をすべて拒否する設定を行います。
a)初期状態では設定メニューが表示されていないため、 [システム] ＞ [表示機能設定] を開き、「その他の機能」列にある [Local Inポリシー] のスイッチをオン（緑色）

b) [ポリシー＆オブジェクト] ＞ [ローカルインポリシー] を開く
c)画面上部の [新規作成] をクリックし、以下の通り設定。

d)それ以外のすべての通信を拒否するルールの作成
上記で許可したIPアドレス以外からの通信をすべて遮断するための「暗黙の拒否」ルールを作成します。
e)ファイアウォールポリシーは上から順番に評価されます。設定完了後、「カスタム」セクション内に作成した2つのルールが以下の順番に並んでいることを確認。

(1)ESPやUDPによる接続制限

IPsecは基本的にはESPというプロトコルを使います。しかし、ESPというプロトコルは多くのファイアウォールで拒否されているため、NAT Traversalを活用してUDPを使って通信をします。
よって、先の4.2の手順で実施した場合の利用プロトコルとポートは以下です。

(2)課題と解決策

・IPsecに移行すると、上記のように標準はUDP 500/4500番を使います。すると、このポートがFWでブロックされているネットワークから接続する人もいるのです。
・「SSL-VPNの時は出張先のホテルから繋がったのに、IPsecに変えたら弾かれて繋がらなくなった」という声があるかもしれません。
・そこで、「IPsec over TCP 443」です。この設定を入れておけば、IPsecのセキュリティを保ったまま、SSL-VPNと同じでどこからでも繋がる利便性（TCP 443）』を再現できます。
・FortiClient 7.0以降でIPsec/TCPに対応しており、特に7.4以上の最新版使用が推奨
・それほど実績が多いわけではありません。
・IPsec over TCPはEMS版FortiClientで正式サポートされており、EMSライセンスが事実上必須となります。つまり、無償版（VPN-only版）では基本的に使えません。※無償版と有償版は、ダウンロードして使用するインストールファイル自体が別物です。

(1)認証強化

・Client-to-SiteでIPsec-VPNを利用する場合はMFA（メール、証明書、FortiTokenなど）を必ず利用する。※ただし、二要素認証は、脆弱性を突かれたら意味がない。

(2)送信元IPアドレス制限

・Local-In Policyによる送信元IPアドレス制限を行う。送信元IPアドレスを偽装してIKEのネゴシエーションはできないので、非常に強固な防御策
・Local-In Policyは、デフォルトではFortiGateのGUI画面に表示されません。もし設定内容をGUI上でも確認できるようにしたい場合は、CLIで以下のコマンドを入れると、GUIの「ポリシー＆オブジェクト」メニュー内に「ローカルインポリシー」が表示されるようになります。

config system settings
    set gui-local-in-policy enable
end
||
❶通信相手がわかっている場合
・通信相手のIPアドレスが固定IPアドレスであり、わかっている。または、接続の都度、通信相手のIPアドレスを確認する。
【設定概要】
・許可する「特定のIPアドレス」のオブジェクトを作成する。GUIでも設定可能
>||
config firewall address
    edit "Allowed_IPsec_Source"
        set type ipmask
        set subnet 203.0.113.50 255.255.255.255  # ←許可したい特定のIPアドレス
    next
end

・2. Local-In Policyを設定する（IKEへの着信制限）

config firewall local-in-policy
    edit 1
        set intf "wan1"                 # ←インターネット側の公開インターフェース
        set srcaddr "Allowed_IPsec_Source" # ←先ほど作った特定IPのオブジェクト
        set dstaddr "all"
        set service "IKE"               # 重要：UDP 500 / 4500 を含む標準オブジェクト
        set action accept
        set schedule "always"
    next
    edit 2
        set intf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set service "ALL"            # ALLにしないとうまくいかない可能性あり
        set action deny
        set schedule "always"
    next
end

❷GeoIPにより日本国内のみを許可する
※ただし、踏み台経由で通信されたら意味がないので、効果は限定的。
【設定概要】
・GeoIPオブジェクトの作成: 日本国内（または業務を行う特定の国）のみを含むアドレスオブジェクトを作成します。

config firewall address
    edit "Japan"
        set type geography
        set country "JP"
    next
end

・Local-Inポリシーの適用:　GeoIPオブジェクトからの IKE (UDP 500/4500) を許可し、それ以外は拒否。

config firewall local-in-policy
    edit 1
        set intf "wan1"
        set srcaddr "Japan"  <-- 許可する国またはIPリスト
        set dstaddr "all"
        set service "IKE"    <-- UDP 500, 4500を含むサービス
        set action accept
        set schedule "always"
    next
    edit 2
        set intf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set service "IKE"
        set action deny      <-- それ以外はプロセスに到達させずに破棄
        set schedule "always"
    next
end

この設定により、攻撃対象領域を地理的に限定し、海外からの無差別な脆弱性スキャンを無効化できます 。

(3)IKEおよび暗号化設定の最適化

IPsecの設定自体も、現代の基準に合わせて強化する。

【参考】DH（Diffie-Hellman）グループ

参考　NSAとCISAによる発表

■IPsecの推奨
「NSAおよびCISAは、VPN向けの標準化されたセキュリティ要件に対して検証済みの標準化されたインターネット鍵交換/インターネットプロトコルセキュリティ（IKE/IPsec）VPNを推奨します。」

NSA and CISA recommend standardized Internet Key Exchange/Internet Protocol Security
(IKE/IPsec) VPNs that have been validated against standardized security requirements for VPNs.

■SSL/TLS VPNを非推奨
「非標準のVPNソリューション（Secure Sockets Layer/Transport Layer Security（SSL/TLS）VPNと呼ばれる製品群を含む）の選択は避けてください。
これらの製品には、TLS経由でトラフィックをトンネリングするためのカスタムかつ非標準の機能が含まれています。カスタムまたは非標準の機能を使用すると、製品で使用されるTLSパラメータが安全であっても、追加のリスクに晒されることになります。」

Avoid selecting non-standard VPN solutions, including a class of products referred to as Secure Sockets Layer/Transport Layer Security (SSL/TLS) VPNs.
These products include custom, non-standard features to tunnel traffic via TLS.
Using custom or non-standard features creates additional risk exposure, even when the TLS parameters used by the products are secure. 

出典：NSA（米国家安全保障局）とCISA（米サイバーセキュリティ・社会基盤安全保障庁)）による発表（2021年9月28日付）
https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/csi_selecting-hardening-remote-access-vpns-20210928.pdf

(1)ソフトウェアのライフサイクル

(2)EOESとEOSの主な違い

一言で言うと
・EOES:新機能や通常のバグ修正は止まるが、セキュリティパッチ（重大なもの）は出るため、移行準備期間として使える。
・EOS:セキュリティパッチもシグネチャも完全に止まるため、この日までに更改必須。

(1)概要

・FortiOS 7.4.8 および 7.6.4 より、特定の条件下にある機器のOSを「最新のパッチバージョン」へ強制的に自動アップグレードする機能が追加されました。
・発動条件:
　以下のいずれかに該当した場合に強制実行されます。

・アップグレードの範囲（仕様）:
現在のマイナーバージョン内での「最新パッチバージョン」へのアップデートのみが行われます（例：7.4.8 → 最新の 7.4.x）。
※勝手に 7.4.x から 7.6.x や 7.8.x などの別のマイナー・メジャーバージョンへと飛躍してアップグレードされることはありません。

(2) 目的と背景

→EOESの状態は変わらないが、そのバージョンにおける既知の脆弱性は塞がれた状態になります。
・アップデートは「完全ランダム」ではなく、機器で指定した開始～終了時間の枠内で、アクセス集中を防ぐために分散（ランダム）実行される。

(3)ケーススタディ

✅ ケース1：EOSEOES（サポート終了）を迎えた場合
2026/5/11にEOESを迎える → 機器が定期通信で判定し、数日以内（5/14頃など）に最新パッチ（例: 7.4.9）へ強制アップグレードされます。

✅ ケース2：ライセンス（サポート契約）が切れた場合
2026/2/10にライセンス切れ → 2/13頃に7.4.9へ強制Update

※重要なポイント:「7.4.3 → 7.4.9」 という動きになり、「7.6.x」のような別系統へ勝手に飛躍しません。（アップデートの範囲は3桁目のみ）

(4)実行スケジュールの調整と状態確認

強制アップグレードが走る場合でも、業務影響を抑えるために実行される曜日や時間帯をあらかじめ指定しておくことが可能です。

■ ①自動アップデートの事前設定（スケジュールルールの作成）
アップグレードが実行される際の基本ルールを設定します。
※CLIの「config system fortiguard」階層で設定します。

config system fortiguard
    # 自動アップグレード機能の有効化
    set auto-firmware-upgrade enable

    # 実行する曜日（例: 日曜日）
    set auto-firmware-upgrade-day sunday

    # 実行開始・終了時間（例: 深夜2時～5時）
    set auto-firmware-upgrade-start-hour 2
    set auto-firmware-upgrade-end-hour 5

    # リリース後の遅延日数（例: 3日待つ）
    # ※何も設定していない時はデフォルトの「3日後の午前2時-4時内」で更新されます。
    set auto-firmware-upgrade-delay 3
end

※注意：仕様上、「曜日（day）」と「遅延日数（delay）」は両立しません。遅延日数（delay）を設定した場合、その日数が経過したタイミングが優先され、曜日設定は上書き（無視）されます。

■ ②強制アップグレード対象の確認
現在の機器が強制アップグレードの対象になっているかは、以下のコマンドで確認できます。
※設定モード（config）を抜け、一番上の階層で実行します。

diagnose debug application forticldd

※結果の「Auto image upgrade」項目に「(Forced)」と記載があると強制アップグレードの対象です。

(5)強制アップグレードの停止・延期について

Q. CLIから「set auto-firmware-upgrade disable」を設定すれば、強制アップグレードを止められますか？
A. 止められません。（設定自体は入りますが、システムに無視されます）

通常の自動アップデートであればこのコマンドで無効化できますが、サポート切れやEOESに伴う「強制アップグレード条件」に合致してしまった場合、この disable 設定はオーバーライド（無視）され、強制的にアップデートがスケジュールされます。

■ 唯一の延期方法（ディレイコマンド）
検証が終わっていない等、どうしても強制アップグレードを避けたい（延期したい）場合は、以下のコマンドを利用します。

execute auto-upgrade delay-installation

• 効果：強制アップグレードのスケジュールが組まれた状態でも、インストールを「7日間固定」で延期することができます。
• 注意：アップグレードが実際に実行される前であれば何度でも実行可能ですが、恒久的に止めるコマンドは存在しないため、継続して延期したい場合は定期的に（7日ごとに）実行し続ける必要があります。

(6)システム管理者の対応

簡単に言うと、「EOESを迎える前に、計画的なアップグレード（移行）の実施」をする必要があるということです。なぜなら、今回の変更により、意図しないタイミング（デフォルトでは条件合致から3日後の深夜帯など）で機器の再起動が発生し、業務影響が出るリスクがあるからです。

(1)リモートアクセスの将来的なステップ

❶VPNの強化
脆弱性の多いSSL-VPNなどを廃止し、よりセキュアなIPsec-VPNに移行

❷ZTNAへの移行
クラウドを使わず、また、オンプレのFortiGateを使ったまま、アクセス制御だけを強化。
ネットワーク単位のVPNから、FortiClient EMS等を使ったアプリ単位のZTNAへ切り替え

❸SASEへの移行
クラウドのFortiSASEに移行

(2)Fortinet ZTNAとFortiSASE

違いを表にします。

(1)ZTNAアーキテクチャの構成要素

Universal ZTNAは以下の3つのコンポーネントが連携して動作する。
❶FortiGate
・従来のファイアウォール機能に加え、「アクセスプロキシ（Access Proxy）」として動作する。外部からの接続要求を受け取り、認証とポスチャ（健全性）チェックを行った上で、内部のアプリケーションサーバーへ代理接続する。ユーザー端末と内部サーバーが直接IP通信することはない 。
・追加ライセンス不要（機器標準機能）
❷FortiClient EMS
・ エンドポイントの管理サーバー。クラウド版（FortiClient Cloud）またはオンプレミス版
・各端末からテレメトリ情報（OSバージョン、パッチ適用状況、AV稼働状況など）を収集し、それに基づいてZero Trust Tag（例：Corporate_PC, High_Risk, Patched）を動的に割り当てる。このタグ情報はリアルタイムでFortiGateに同期される 。
❸FortiClient
・有償版クライアントソフトで、「FortiClient EMS」のサブスクリプションライセンス（利用する端末数に応じた課金）が必要にです。
・エンドポイント上で動作し、EMSへ情報を送信するとともに、ユーザーがアプリケーションへアクセスする際に、デバイス証明書を提示して相互TLS（mTLS）認証を行う 。

(2)FortiClient EMSの3つの重要機能

ZTNAを実現する上で、EMSが重要な役割を担います。

(3)IPアドレスベースからタグベース（ZTNA型）による制御

❶従来型VPN：IPプール方式
a)認証: ユーザーがVPNにログインする。
b)IP付与: 所属グループ（例：営業部）に応じて、ファイアウォールがIPプール（例：10.0.1.x）からIPアドレスを払い出す。
c)FWポリシー: ファイアウォールにはIPアドレスベースでルールを書く。

❷ZTNA：タグ＋ID方式
実際のFortiGateの設定画面（ZTNAルール）では、送信元IPの代わりに「ユーザー情報」と「ZTNAタグ」を直接指定して制御します。

a)ID認証: SAML（Entra IDなど）でユーザを認証
b)状態確認: EMSから送られてきたタグ情報を確認
c)ZTNAポリシー: FortiGateには「送信元IP」を書く欄すらなく、ユーザIDとタグによるルールを書く

(4)ZTNAタグの実態

・ZTNAタグは、VLANなどのようにフレームに付与されるものではありません
・ZTNAの通信において、デバイス証明書によってタグが識別されます。このデバイス証明書は、TLSプロトコルにおける「クライアント証明書（Client Certificate）」と全く同じ位置づけです。
・ブラウザには「セッションCookie」が付与される。そして、以降のHTTPリクエストは、TLSのセッション管理に加えて、このCookieによってユーザを識します。

(5)ZTNAの動作フロー

a)ユーザーが https://crm.company.com にアクセス。
b)DNSはFortiGateのWAN IP（VIP）を返す。
c)FortiClientがFortiGateに対してTLS接続を開始し、デバイス証明書を提示。
d)FortiGateは証明書の正当性と、EMSから同期されたZTNAタグを確認（例：タグがCompliantであるか）。
e)ポリシーに合致すれば、FortiGateが内部サーバーへ接続を中継する。
※マイクロセグメンテーション: ユーザーには内部ネットワークのIPアドレスが付与されないため、VPNのようにネットワークスキャンを行ったり、許可されていないサーバーへ横展開（ラテラルムーブメント）したりすることが物理的に不可能となる 。

(3)技術構成詳細：ZTNAの実装

ZTNAの実装には、EMSとFortiGateの連携（Fabric Connector）が必須となる。
❶ステップ1：EMSでのタグ定義
EMS管理画面にて、「Zero Trust Tagging Rules」を作成する。
ルール例：「Windows Defenderが有効」かつ「ドメイン参加済み」の場合 → タグ Low_Risk を付与。
❷ステップ2：FortiGateでのプロキシ設定
CLIを用いたアクセスプロキシの設定例：
・ファブリックコネクタの設定（EMS連携）

config system csf
    set status enable
    set group-name "SecurityFabric"
end
config endpoint-control fctems
    edit "EMS_Server"
        set server "192.168.10.10" # EMSのIP
        set https-port 443
        set certificate "Fortinet_Factory"
    next
end

・ZTNAサーバー（VIP）の設定

config firewall access-proxy
    edit "Web_App_Proxy"
        set vip "Public_VIP_Object"
        set client-cert enable # デバイス証明書の要求
        config api-gateway
            edit 1
                set url-map "/crm"
                set service https
                config realservers
                    edit 1
                        set ip 10.0.1.50
                        set port 443
                    next
                end
            next
        end
    next
end

❸ZTNAルールの設定（ポリシー）

Bash
config firewall proxy-policy
    edit 1
        set name "Allow_CRM_Access"
        set proxy access-proxy
        set access-proxy "Web_App_Proxy"
        set srcintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set ztna-ems-tag "Low_Risk" # EMSタグによる制御
        set action accept
        set schedule "always"
    next
end

この設定により、「Low_Risk」タグを持つ端末のみがCRMへのアクセスを許可される。もし端末がウイルスに感染し、EMSがタグを外せば、即座にアクセスは遮断される 。

(1)3つの機能

(2)FortiSASEに必要なもの

社内サーバー（プライベートアプリ）にアクセスするため必要なのは以下の3つです。

(2)社内のサーバに接続する際の通信経路

リモート端末から社内サーバーまでの通信経路は、ハブ＆スポーク型のネットワーク通信になります。
a)リモート端末 (PC) からインターネット を経由して最寄りの FortiSASE PoP（クラウド） に接続。※443ではなくIPsec
b)FortiSASEから、本社のFortiGate（ハブ） へルーティング　※通信はIPsecトンネルの中を通る
c)本社のFortiGateから、社内サーバー または 支店のFortiGate（スポーク） へ通信が届く。

※FortiSASEはADVPN(Auto Discovery VPN)をサポートするため、有効にした場合は本社HUBを経由せずにPOPから支店のFortigateへの直接通信が可能。(スポークtoスポーク)

(3)Zscalerとの違い

【参考】FortiSASEの構成

【参考】Zaclaerの構成

(1)概要

・多くの企業では、社内からインターネットへ向かう「Outbound（中から外）」のポリシーが、非常に雑になっている場合があります
・たとえば、FWの更改をするときに、お客様とポリシーを見直すのですが、何千行ものポリシーがあったりします。

「これ、残しますか？」

と聞くと、

「わからないから残しましょう」

と言われることがよくあります。それは危険です。
そこがセキュリティホールになったりします。

・また、サーバからインターネットの通信ですが、送信元IPアドレスだけを制限し、あて先はANYにする場合があります。これだと、サーバが乗っ取られると、C&Cサーバに自由に通信できてしまいます。仮にWindowsのUpdateだけしかインターネットに接続する必要が無いのであれば、そこに限定します。

(2)実際の設定

・送信元、あて先IPを、ANYではなく、IPアドレスおよびポートで細かく設定します。必要最小限にします。
・仮にWindowsのUpdateだけしかインターネットに接続する必要が無いのであれば、ファイアウォールポリシーにて、ISDBを使ってMicrosoft-Windows.Update や Microsoft-Web などを許可、または、FQDN（ワイルドカードドメイン）で、「*.update.microsoft.com」を指定します。
・Geo-IPによる通信制御: 業務で通信する必然性のない国や地域への通信（インバウンド・アウトバウンド共に）をオブジェクト化し、FWポリシーの最上位でブロックします。
（参考）[ポリシー＆オブジェクト] > [アドレス] から新規オブジェクトを作成、タイプを「ジオグラフィ」に設定して、日本を選択

(1)Deep Inspection

Deep Inspection（フルSSLインスペクション）を有効にすることで、FWがクライアントとWebサーバの間に入り、通信を一度復号します。これにより、暗号化された通信内に潜むマルウェア、不正なスクリプト、機密情報の持ち出しをIPSやアンチウイルス機能で確実に検知・ブロックできる。

・こちらも、ファイアウォールポリシーにて、SSLインスペクションを [オン] に。

(2)除外設定（Exempt）

・すべての通信を復号すると、プライバシーの問題や技術的な不具合が生じるため、適切な「除外（Exempt）」設定が不可欠です。
・たとえば、オンラインバンキング（金融機関）や、個人の医療情報、クレジットカード情報などの通信