FortiGateのアプリケーションコントロールについて

アプリケーションコントロールの役割

FortiGateのアプリケーションコントロールは、従来の「ポート番号やプロトコル」での制御ではなく、通信内容からアプリケーションそのものを特定し制御できる仕組みです。

これにより、以下の効果が得られます。

• 業務に不要なアプリの遮断
  例：P2Pソフトやゲームアプリをブロックして業務効率を維持。
• 業務アプリの品質確保
  ZoomやTeamsなどのビジネスアプリを優先制御し、帯域を安定化。
• セキュリティ強化
  不審なアプリやマルウェア関連通信を即座に遮断。
• 可視化とシャドーIT対策
  利用されているクラウドサービスや非承認アプリを把握。

動作の仕組み

アプリケーションコントロールは、以下の技術を組み合わせて実現されています。

• シグネチャベースの識別
  FortiGuardが提供する最新のアプリケーションシグネチャを利用し、アプリを特定。
• プロトコルデコード
  特定アプリに固有の通信パターンを解析して判定。
• 挙動分析
  パケットのやり取りやフロー特性を監視し、隠れたアプリを見抜く。

設定手順の概要

1. アプリケーションコントロールプロファイル作成
   • GUIまたはCLIでプロファイル（センサー）を作成。
   • アプリやカテゴリごとに「Allow」「Block」「Monitor」「Quarantine」を設定。
2. ポリシーへ適用
   • ファイアウォールポリシーにプロファイルを割り当てて有効化。
3. ログ・可視化
   • FortiViewで利用状況を監視し、レポート化。

制御方法とアクション

アプリごとに以下の動作を指定できます。

• Allow：利用を許可。
• Block：完全遮断。
• Monitor：ログ記録のみ。まずはこれで状況把握するのが安全。
• Quarantine：発信元を隔離リストに入れ、一時的に通信をブロック（解除はQuarantineウィジェットから可能）。

帯域制御との関係

アプリケーションコントロールは「識別」を担当し、実際の帯域制御はTraffic Shaping Policyで行うのが基本です。

具体的には、アプリやカテゴリを条件に指定し、シェーパ（優先度・帯域上限/下限）を適用します。

これにより、業務アプリの品質確保と不要アプリの帯域制御が両立可能です。

HTTPSとSSLインスペクション

• 一部のアプリはSNI情報などからSSLインスペクションなしでも識別可能。
• ただし、アプリ内部の細かい機能（例：Facebookの投稿可否制御）や暗号化強化されたアプリを判別するには、Deep Inspection（フルSSL復号）が必要。
• 運用上は、まずは監視モードで可視化し、必要なアプリだけ限定的にDeep Inspectionを適用するのが安全です。

運用上のポイント

• FortiGuardサブスクリプション契約が必須
  シグネチャ更新を怠ると最新アプリを識別できなくなる。
• 初期導入は“Monitor”から
  いきなりブロックすると業務影響が出る可能性があるため、まずは状況を把握してから段階的に制御。
• プリセットセンサーの活用
  「default」「wifi-default」などが標準提供されており、まずはこれをベースに調整。
• Quarantineの使い分け
  一時的な制御が必要な場合に活用可能。

まとめ

FortiGateのアプリケーションコントロールは、

• ポートやプロトコルではなくアプリ単位での制御
• 可視化と帯域制御の基盤
• SSLインスペクションとの連携で精度向上
  といった特徴を持ちます。

効果的な運用のためには、まずはモニタリングで実態を把握し、段階的にブロックや帯域制御を導入することが成功のポイントです。

以上、FortiGateのアプリケーションコントロールについてでした。

最後までお読みいただき、ありがとうございました。