FortiGateのバックアップ・リストアについて

2025-10-23

バックアップ概要

FortiGateのバックアップは、システム設定・ポリシー・VPN・証明書などを保存し、障害や誤設定時に復旧するための基本作業です。

特に以下を意識することが重要です。

暗号化バックアップ推奨
VPN秘密鍵や証明書を含める場合は、必ず暗号化を有効にします。
複数世代を保持
直近だけでなく、過去数世代を残すとトラブル時に役立ちます。
保存場所の分散
オンサイトとオフサイトの両方に保管することで災害対策にも有効です。

バックアップ手順

GUIからのバックアップ

FortiOS 7.4 / 7.6 系
右上の管理者名 → Configuration > Backup
→ 保存先（ローカルPC / USB）を選択
→ 「Encrypt configuration file」を有効化 → パスワード入力 → 保存
FortiOS 6.x 系
Dashboard > System Information → System Configuration → Backup

※7.2以降では YAML形式 での保存も可能。自動化や差分管理に向きます。

CLIからのバックアップ

# TFTP（暗号化付き）
execute backup config tftp <file.conf> <tftp_server_ip> <password>

# FTP
execute backup config ftp <file.conf> <ftp_server>[:port] <user> <pass> [<password>]

# SCP
execute backup config scp <file.conf> <scp_server>[:port] <user> [<password>]

# SFTP（FortiOS 7.0.1以降）
execute backup config sftp <file.conf> <sftp_server>[:port] <user> <pass> [<password>]

# 全デフォルト設定も含めたい場合
execute backup full-config <protocol> ...

CLIでパスワードを指定すると「暗号化バックアップ」になります。

リストア手順

GUIからのリストア

右上の管理者名 → Configuration > Restore
バックアップファイルを選択
暗号化バックアップの場合はパスワードを入力
実行すると FortiGateが自動再起動

CLIからのリストア

execute restore config tftp <file.conf> <tftp_server_ip> [<password>]
execute restore config ftp <file.conf> <ftp_server>[:port] <user> <pass> [<password>]
execute restore config scp <file.conf> <scp_server>[:port] <user> [<password>]
execute restore config sftp <file.conf> <sftp_server>[:port] <user> <pass> [<password>]

リストア後は必ず再起動が発生します。

注意点と制約

バージョンの整合性
原則として 同一モデル・同一バージョン のFortiOS間で利用。異なる場合は移行ツールや手動調整が必要。
HA構成（クラスタ）
HAでは大部分の設定が同期されますが、同期対象外の項目もあるため、両ノードでのバックアップ取得や復元計画が必須です。
private-data-encryption（7.6.1以降）
有効化している場合、同じ鍵を持つ装置でしか復元できません。RMAや機器交換時は公式手順に従い、必要に応じて一時的に無効化してからバックアップを取得してください。