FortiGateのISDBについて

ISDBとは

ISDB（Internet Service Database）は、Fortinetが提供するインターネットサービス定義のデータベースです。

Google、Microsoft 365、AWS、YouTubeなどのクラウドサービスやWebサービスについて、以下の情報をFortiGuardが常時更新し、FortiGateで利用できるようにしています。

• サービスに関連するIPレンジ
• ポート番号
• 関連するFQDN（参照用情報）

管理者は煩雑なIPやポートを手作業で指定する必要がなく、「サービス単位」でセキュリティポリシーやSD-WAN制御を適用可能です。

主な特徴

• 常時更新
  FortiGuard経由で自動的に最新状態に維持され、CDNやクラウドの頻繁なIP変更にも追従。
• サービス単位で制御
  「YouTubeをブロック」「Office 365は許可」といった直感的なポリシーが組める。
• サービスグループ化
  「Googleサービス」や「Microsoftサービス」といったグループオブジェクトも用意。
• 可視化・検索
  GUIのISDBブラウザやCLI（diagnose internet-service）でエントリを検索・確認可能。

主な利用シーン

• ファイアウォールポリシー
  宛先や送信元にISDBを指定して許可/拒否を定義。
• SD-WANポリシー
  SaaSごとに最適回線を振り分け（例：Office 365は低遅延回線へ）。
• QoS・帯域制御
  特定サービスの帯域を制御して業務アプリを優先。

利用上の注意点

• FortiGuard契約が必須。
• ISDBを使ったポリシーでは、通常の宛先アドレスやサービス指定と混在できない。
• マッチングはIPレンジとポートに基づく。DNS名を直接解決して制御するのではないため、プロキシやCDN経由の場合は意図通りにマッチしないケースがある。

実際の設定例

GUI

• ポリシー作成時に「宛先」で「インターネットサービス」を選び、対象サービスをプルダウンから指定。

CLI例（Google Gmailを許可する場合）

config firewall policy
    edit 1
        set srcintf "port1"
        set dstintf "wan1"
        set srcaddr "all"
        set internet-service enable
        set internet-service-id 65646    # Google Gmail のID
        set action accept
        set schedule "always"
        set nat enable
    next
end

YouTubeなど他サービスを利用する場合は、diagnose internet-service list | grep youtube などで最新IDを検索して指定してください。

カスタマイズ（ISDBの拡張）

ISDBには以下の拡張手段があります。

• internet-service-custom：完全に独自のサービスを定義。
• internet-service-addition：既存サービスにIPやポートを追加。
• internet-service-extension：既存サービスの範囲を拡張・除外。

これにより、公式定義をベースにしつつ、自社要件に合わせた調整が可能です。

実運用のポイント

• CLI診断コマンド

  diagnose internet-service id | grep <keyword>
  diagnose internet-service info root <proto> <port> <dst-ip>

どのISDBにマッチするかを調べられる。

• バージョン差異
  FortiOS 6.0以降では送信元/宛先いずれにもISDB指定が可能。
• リソース最適化
  ISDBのロード方式はフル／オンデマンドがあり、メモリリソースに応じて調整可能。

まとめ

FortiGateのISDBは、クラウドサービスやSaaS利用が一般化した環境において、セキュリティ運用の効率化・精度向上を実現する機能です。

IPの手動管理が不要となり、ファイアウォール・SD-WAN・QoSなど幅広い機能で「サービス単位の制御」を可能にします。

ただし、IDの確認やプロキシ/CDN経由時の挙動など、実運用での注意も欠かせません。

以上、FortiGateのISDBについてでした。

最後までお読みいただき、ありがとうございました。