(1)全体像

・現状と移行後のプロトコルを整理します。

(2)IPsecを使う

・必要なソフトウェア → 無料版FortiClient（VPN-only版）を使用すれば、ライセンス費用はゼロである。★これでいい？

(3)ゼロトラスト（ZTNA）機能

別途ライセンスが必要なはず　→ZTNAを利用するには、FortiClient EMSのライセンスが必須となる。
必要なソフトウェア
費用

(4)他社への移行

(1)バージョンの確認

・ダッシュボード > ステータス >システム情報 からバージョンの確認

(2)SSL-VPN機能の無効化

・設定方法として、SSL-VPNをOFFにすれば、無効化できる

(3)SSL-VPN設定の削除

機能の無効化だけでも攻撃されることはないが、不要な設定であるため、削除しておく
a)ファイアウォールポリシーの削除
b)SSL-VPN設定の削除
c)SSL-VPNユーザの削除
d) SSL-VPNユーザグループの削除

(4)設定画面の変化

❶旧画面　v7.2.10の場合

❷7.6.3 以降の設定できない画面

(1)概要

構成図、設計

(2)設定手順

　★詳細解説、デモ
www.scsk.jp

(3)IPsec IKEv2 over TCP (Port 443)の詳細な設定手順

❶ステップ1：グローバル設定とポートの競合解消
まず、IPsecがTCPポート443を使用できるように、システム全体の設定を変更する。同時に、HTTPS管理アクセスが443を占有しないよう変更する。
・ 管理ポートの変更（推奨）

config system global
    set admin-sport 4443
end

・IPsec用TCPポートの設定

config system settings
    set ike-port 500         # 標準UDP IKE
    set ike-natt-port 4500   # 標準UDP NAT-T
    set ike-tcp-port 443     # ★重要：ここを443に設定
end

解説: ike-tcp-portの設定により、FortiGateは指定されたTCPポートでIKEパケットをリッスンするようになる 。

❷フェーズ1インターフェースの作成
ダイヤルアップ（動的IP）クライアントを受け入れるフェーズ1設定を行う。

config vpn ipsec phase1-interface
    edit "RA_TCP_VPN"
        set type dynamic
        set interface "wan1"       # 公開インターフェース
        set ike-version 2          # ★重要：TCPカプセル化にはIKEv2が必須
        set peertype any
        set net-device disable     # ダイヤルアップ用にインターフェース生成を抑制
        set mode-cfg enable        # クライアントへのIP払い出しを有効化
        set transport tcp          # ★重要：トランスポートモードをTCPに固定
        set encapsulation tcp-encap
        set tcp-port 443           # ポート明示（global設定と一致させる）
        set proposal aes256-sha256 # 強固な暗号化スイート
        set dhgrp 14 21            # Diffie-Hellmanグループ
        set eap enable             # ユーザー認証にEAPを使用
        set eap-identity send-request
        set authusrgrp "VPN_Users" # 認証するユーザーグループ
        set ipv4-start-ip 10.200.1.1
        set ipv4-end-ip 10.200.1.254
        set psksecret <PreSharedKey>
    next
end

技術的洞察: set transport tcp および set encapsulation tcp-encap が、この構成の核となるコマンドである。ike-version 2以外では動作しない点に注意が必要である 。

❸フェーズ2インターフェースの作成
通信トラフィックの暗号化パラメータを定義する。

config vpn ipsec phase2-interface
    edit "RA_TCP_VPN_P2"
        set phase1name "RA_TCP_VPN"
        set proposal aes256-sha256
        set dhgrp 14 21
        set keepalive yes
    next
end

❹ファイアウォールポリシーの設定
VPNインターフェースから内部ネットワークへの通信を許可する。

config firewall policy
    edit 1
        set name "VPN_Access"
        set srcintf "RA_TCP_VPN"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "Internal_Subnets"
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable  # 必要に応じてNATを有効化
        set groups "VPN_Users"
    next
end

❺FortiClient（エンドポイント）
クライアント側の設定もサーバー側に合わせる必要がある。FortiClient（Windows/Mac）の設定XML例を示す。

XML
<vpn>
    <options>
        <type>ipsec</type>
        <name>Corporate VPN (TCP)</name>
    </options>
    <ipsec>
        <remote_gateway>vpn.company.com</remote_gateway>
        <port>443</port>
        <protocol>ikev2</protocol>
        <auth_method>psk</auth_method>
        <prompt_certificate>0</prompt_certificate>
        <prompt_username>1</prompt_username>
    </ipsec>
</vpn>

GUIで設定する場合、「高度な設定」または「トランスポート」オプションにて「TCP」を選択し、ポートを443に指定する必要がある。また、FortiClientのバージョンは7.0以上、推奨は7.4.xである

(3)FortiConverter Serviceと移行ウィザード

・Fortinetは、この移行を支援するためのツールを提供している。
・SSL VPN to IPsec VPN Migration Wizard: FortiOS 7.6に組み込まれている無料の機能。既存のSSL-VPN設定（ユーザーグループ、認証設定、ポータル設定）を読み取り、同等のIPsec設定（フェーズ1/2、ファイアウォールポリシー）を自動生成する。
・設定は、VPN > SSL VPN to IPsec VPN Migration
・制限: FortiGate側の設定のみを変換する。クライアント（FortiClient）の設定配布は行わないため、EMS等で別途プロファイルを配布する必要がある 。

(1)認証強化

・Client-to-SiteでIPsec-VPNを利用する場合はMFA（メール、証明書、FortiTokenなど）を必ず利用する。または送信元IPアドレス制限により、通信社を限定する。
・二要素認証は、認証情報の突破される場合には有効だろう。ただ、脆弱性を突かれたら意味がない。

(2)要塞化

IPsecにも固有の弱点（IKEスキャンやDoS）が存在するため、それらを補完する厳格な「ハードニング（堅牢化）」設定が不可欠です。
❶Local-In PolicyによるIKE/ESPの着信制限（最重要）
IPsec VPNを有効にすると、デフォルトでは全世界のIPアドレスからのIKE接続試行（UDP 500/4500）を受け付けます。これにより、ikedプロセスが攻撃者のスキャンやDoS攻撃にさらされ、CVE-2025-58413のような潜在的な脆弱性を突かれるリスクが残ります 。

対策： local-in-policy を使用して、接続元IPアドレスを物理的に制限します。これは、パケットがikedプロセスに到達する前に、カーネルレベルでドロップさせる最強の防御策です。

推奨設定例:GeoIPオブジェクトの作成: 日本国内（または業務を行う特定の国）のみを含むアドレスオブジェクトを作成します。
Local-Inポリシーの適用:　許可ルール：GeoIPオブジェクトからの IKE (UDP 500/4500) を accept。拒否ルール：それ以外のすべてのソースからの IKE を deny。

config firewall local-in-policy
    edit 1
        set intf "wan1"
        set srcaddr "Japan"  <-- 許可する国またはIPリスト
        set dstaddr "all"
        set service "IKE"    <-- UDP 500, 4500を含むサービス
        set action accept
        set schedule "always"
    next
    edit 2
        set intf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set service "IKE"
        set action deny      <-- それ以外はプロセスに到達させずに破棄
        set schedule "always"
    next
end

この設定により、攻撃対象領域を地理的に限定し、海外からの無差別な脆弱性スキャンを無効化できます 。

❷IKEおよび暗号化設定のハードニング
IPsecの設定自体も、現代の基準に合わせて強化する必要があります。
・IKEv1の無効化: IKEv1（特にAggressive Mode）は、事前共有鍵（PSK）のハッシュを盗聴されやすく、辞書攻撃に脆弱です。必ず IKEv2 のみを使用する設定を強制してください 。
・強力な暗号化スイートの強制: DES, 3DES, SHA1, MD5などのレガシーアルゴリズムは排除し、AES-256-GCM および SHA-256 以上を使用します。FortiGateのNP（Network Processor）はこれらの処理を高速に行えるため、パフォーマンスへの懸念は不要です 。
・PFS (Perfect Forward Secrecy) の有効化: Diffie-Hellmanグループ（DH Group）は14以上（2048bit以上）または19, 21（ECC）を使用し、万が一鍵が漏洩しても過去の通信が解読されないようにします 。
★実際の画面設定。デフォルトの設定はどうなってる？

❸謎のESPパケット検出の無効化（ログ溢れ対策）
FortiOS 7.2.4以降および7.6系では、IKEネゴシエーションなしで届いたESPパケットに対してログを生成する機能があります。攻撃者がランダムなESPパケットを送り付けることで、ログ領域を圧迫したりCPU負荷を上げたりする攻撃（DoS）が観測されています。

対策: Local-InポリシーでIKEを制限した上で、以下の設定を行い、不正なESPパケットの過剰な検知・ログ記録を抑制します。

config system settings
    set detect-unknown-esp disable
end

これにより、不必要なリソース消費を防ぎ、システムの安定性を高めます 。

(1)ZTNAアーキテクチャの構成要素

Universal ZTNAは以下の3つのコンポーネントが連携して動作する。
❶FortiGate
従来のファイアウォール機能に加え、「アクセスプロキシ（Access Proxy）」として動作する。外部からの接続要求を受け取り、認証とポスチャ（健全性）チェックを行った上で、内部のアプリケーションサーバーへ代理接続する。ユーザー端末と内部サーバーが直接IP通信することはない 。
❷FortiClient EMS
エンドポイントの管理サーバー。各端末からテレメトリ情報（OSバージョン、パッチ適用状況、AV稼働状況など）を収集し、それに基づいてZero Trust Tag（例：Corporate_PC, High_Risk, Patched）を動的に割り当てる。このタグ情報はリアルタイムでFortiGateに同期される 。
❸FortiClient
エンドポイント上で動作し、EMSへ情報を送信するとともに、ユーザーがアプリケーションへアクセスする際に、デバイス証明書を提示して相互TLS（mTLS）認証を行う 。

(2)ZTNAの動作フロー

a)ユーザーが https://crm.company.com にアクセス。
b)DNSはFortiGateのWAN IP（VIP）を返す。
c)FortiClientがFortiGateに対してTLS接続を開始し、デバイス証明書を提示。
d)FortiGateは証明書の正当性と、EMSから同期されたZTNAタグを確認（例：タグがCompliantであるか）。
e)ポリシーに合致すれば、FortiGateが内部のCRMサーバーへ接続を中継する。
※マイクロセグメンテーション: ユーザーには内部ネットワークのIPアドレスが付与されないため、VPNのようにネットワークスキャンを行ったり、許可されていないサーバーへ横展開（ラテラルムーブメント）したりすることが物理的に不可能となる 。

(3)技術構成詳細：ZTNAの実装

ZTNAの実装には、EMSとFortiGateの連携（Fabric Connector）が必須となる。
❶ステップ1：EMSでのタグ定義
EMS管理画面にて、「Zero Trust Tagging Rules」を作成する。
ルール例：「Windows Defenderが有効」かつ「ドメイン参加済み」の場合 → タグ Low_Risk を付与。
❷ステップ2：FortiGateでのプロキシ設定
CLIを用いたアクセスプロキシの設定例：
・ファブリックコネクタの設定（EMS連携）

config system csf
    set status enable
    set group-name "SecurityFabric"
end
config endpoint-control fctems
    edit "EMS_Server"
        set server "192.168.10.10" # EMSのIP
        set https-port 443
        set certificate "Fortinet_Factory"
    next
end

・ZTNAサーバー（VIP）の設定

config firewall access-proxy
    edit "Web_App_Proxy"
        set vip "Public_VIP_Object"
        set client-cert enable # デバイス証明書の要求
        config api-gateway
            edit 1
                set url-map "/crm"
                set service https
                config realservers
                    edit 1
                        set ip 10.0.1.50
                        set port 443
                    next
                end
            next
        end
    next
end

❸ZTNAルールの設定（ポリシー）

Bash
config firewall proxy-policy
    edit 1
        set name "Allow_CRM_Access"
        set proxy access-proxy
        set access-proxy "Web_App_Proxy"
        set srcintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set ztna-ems-tag "Low_Risk" # EMSタグによる制御
        set action accept
        set schedule "always"
    next
end

この設定により、「Low_Risk」タグを持つ端末のみがCRMへのアクセスを許可される。もし端末がウイルスに感染し、EMSがタグを外せば、即座にアクセスは遮断される 。

参考　NSAとCISAによる発表

■IPsecの推奨
「NSAおよびCISAは、VPN向けの標準化されたセキュリティ要件に対して検証済みの標準化されたインターネット鍵交換/インターネットプロトコルセキュリティ（IKE/IPsec）VPNを推奨します。」

NSA and CISA recommend standardized Internet Key Exchange/Internet Protocol Security
(IKE/IPsec) VPNs that have been validated against standardized security requirements for VPNs.

■SSL/TLS VPNを非推奨
「非標準のVPNソリューション（Secure Sockets Layer/Transport Layer Security（SSL/TLS）VPNと呼ばれる製品群を含む）の選択は避けてください。
これらの製品には、TLS経由でトラフィックをトンネリングするためのカスタムかつ非標準の機能が含まれています。カスタムまたは非標準の機能を使用すると、製品で使用されるTLSパラメータが安全であっても、追加のリスクに晒されることになります。」

Avoid selecting non-standard VPN solutions, including a class of products referred to as Secure Sockets Layer/Transport Layer Security (SSL/TLS) VPNs.
These products include custom, non-standard features to tunnel traffic via TLS.
Using custom or non-standard features creates additional risk exposure, even when the TLS parameters used by the products are secure. 

出典：NSA（米国家安全保障局）とCISA（米サイバーセキュリティ・社会基盤安全保障庁)）による発表（2021年9月28日付）
https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/csi_selecting-hardening-remote-access-vpns-20210928.pdf

(1)ソフトウェアのライフサイクル

(2)EOESとEOSの主な違い

一言で言うと
・EOES:新機能や通常のバグ修正は止まるが、セキュリティパッチ（重大なもの）は出るため、移行準備期間として使える。
・EOS:セキュリティパッチもシグネチャも完全に止まるため、この日までに更改必須。

(3)メーカ―の見解

以下、メーカの資料

(1)概要

・FortiOS 7.6.4 および FortiOS 7.4.8 より、「機器のサポート契約が無効」もしくは「OSがEnd of Support（EOS）を迎えている」場合に、OSが最新のパッチバージョンに強制的に自動アップグレードされる機能が追加された。
・ここでの「パッチバージョン」とは、「3桁目の数字のみが変わるアップデート（例：7.4.8 → 7.4.9）」**を指します。7.4.8 が勝手に 7.6.x や 7.8.x（架空のバージョン）などの別メジャー/マイナーバージョンへアップグレードされることは、この機能の仕様上はありません。
・目的は？

・アップデートは「完全ランダム」ではなく、機器で指定した開始～終了時間の枠内で、アクセス集中を防ぐために分散（ランダム）実行される。

(2)ケーススタディ

✅ ケース1：EOS（サポート終了）を迎えた場合
2026/5/11にEOS → 5/14頃に7.4.9（最新パッチ）へ強制Update

✅ ケース2：ライセンス（サポート契約）が切れた場合
2026/2/10にライセンス切れ → 2/13頃に7.4.9へ強制Update

✅ ケース3：古いバージョン（機能未搭載）の場合
バージョン 7.2.x（古い） → 強制Update無し

※重要なポイント:「7.4.3 → 7.4.9」 という動きになり、「7.6.x」のような別系統へ勝手に飛躍しません。

(3)調整コマンド

config system fortiguard
    # (1) 自動アップグレード機能の有効化（強制される場合は enable になっているはずです）
    set auto-firmware-upgrade enable

    # (2) 実行する曜日（例: 日曜日）
    set auto-firmware-upgrade-day sunday

    # (3) 実行開始・終了時間（例: 深夜2時～5時）
    set auto-firmware-upgrade-start-hour 2
    set auto-firmware-upgrade-end-hour 5

    # (4) 【重要】リリース後の遅延日数（例: 3日待つ）
    # これを設定しないと、リリース直後の深夜に走る可能性があります
    set auto-firmware-upgrade-delay 3
end

(4)強制を止める方法はないのか

CLIにて機能を無効化（disable）するコマンド自体は存在します。
以下のコマンドが入るか（設定が有効か）を確認してみてください。★コマンドが入る？

config system fortiguard
    set auto-firmware-upgrade disable
end