FortiGateのOSについて

概要：FortiOSとは何か

FortiOS（フォーティオーエス）は、Fortinet社が開発するセキュリティアプライアンス「FortiGate」シリーズの基盤となる専用OSです。

ファイアウォール、VPN、IPS/IDS、アプリケーション制御、Webフィルタリング、アンチウイルス、SSL/TLSインスペクション、無線LAN制御など、複数のセキュリティ機能を1つの統合プラットフォーム上で実行します。

このOSは、単なるファイアウォールではなく「統合型セキュリティ＆ネットワークOS（Converged Security & Networking Platform）」として設計されています。

また、物理アプライアンス版だけでなく、FortiGate-VM（仮想アプライアンス版）やクラウド版（AWS、Azure、GCPなど）にも対応しており、さまざまな環境で同一の管理性を維持できる点が特徴です。

内部構造とアーキテクチャ

カーネル層とユーザ層の二層構造

FortiOSはLinux系カーネルをベースにしており、カーネルモードとユーザーモードに分かれています。

• カーネルモードでは、ルーティング、パケット転送、セッション管理、ASIC（専用チップ）との通信など、高速な処理を担当。
• ユーザーモードでは、Web UI・CLI操作、ログ処理、各種セキュリティ機能（IPS、AV、Webフィルタなど）の制御を行います。

この二層構造により、管理系処理とデータプレーン処理を分離し、安定性と高速性を両立させています。

※使用しているLinuxカーネルの具体的なバージョンは機種やビルドによって異なり、公式には明示されていません（CLIコマンド fnsysctl cat /proc/version で確認可能）。

ファームウェア構成と安全なアップデート

FortiOSはデュアルパーティション構成を採用しています。

これは「現在使用中のOS」と「新しいOS」を別領域に格納することで、アップデート時に安全な切り替えを可能にする仕組みです。

• 新しいファームウェアを別パーティションに書き込み
• 起動後に動作確認
• 問題がなければ新バージョンを正式適用
• もし不具合が発生した場合は旧イメージにロールバック可能

さらに、すべての公式ファームウェアにはFortinet署名付きデジタル署名が付与されており、起動時にはOSが自動的にイメージ整合性を検証します。

これにより、改ざん・不正ファームウェア起動を防止します。

ハードウェアオフロード（ASIC / NPU）

FortiGateシリーズの大きな特徴の一つが、専用チップによるハードウェアオフロードです。

最新世代では「SPU（Security Processing Unit）」や「NP7（Network Processor）」が搭載されており、以下のような処理をCPUから分離して高速化します。

• パケット転送（L2/L3）
• NAT、セッション処理
• 暗号化（IPSec、SSL）
• IPS/アプリ制御の一部処理
• フィルタリングルールの照合

これにより、ソフトウェア処理よりも大幅に高速かつ低遅延な通信を実現できます。

ただし、すべての機能がオフロード対象ではなく、SSLインスペクションや複雑なポリシー処理はCPUで処理されることもあるため、設計段階でトラフィック特性を考慮する必要があります。

FortiOSの主要機能モジュール

FortiOSは多数の機能モジュールを持ち、それぞれを一元管理できます。

主なモジュールは以下の通りです。

このように、単一OS上でセキュリティ・ネットワーク・分析・可視化を包括的に提供できる点がFortiOSの最大の特徴です。

FortiOSのバージョンと開発進化

バージョン体系

FortiOSはおおむね以下の体系で進化しています。

特に7.xでは、Security FabricやZTNAの高度な統合、Wi-Fi保護機能の拡張が大きな進化ポイントです。

FortiOS 7.6（2025年時点 最新安定版）の注目ポイント

FortiOS 7.6系では、ネットワークとセキュリティの統合をさらに深化させ、次のような新機能・改善が行われています。

主な新機能

• Wi-Fiセキュリティ強化：Beaconフレーム保護機能により、無線LANのなりすまし攻撃（Beacon Spoofing）を防止
• 802.11mc（RTT）対応：Wi-Fi Round Trip Timeによる測距機能で、屋内位置情報の精度向上
• Traffic Control強化：IPv4セッション数制限、NPUリソース制御、帯域管理がより細かく設定可能
• Security Fabric統合改善：他のFortinet製品との連携性がさらに強化
• FortiExtender管理の拡張：リモートWANモジュールとの連携管理を改善

これらの機能は、公式ドキュメント（FortiOS 7.6 Release Notes）で正式に確認されています。

運用・設計の実務ポイント

バージョン選定

• 最新版（例：7.6.4）では脆弱性修正が迅速に反映されるため、長期運用を視野に入れる場合は「Mature（成熟）」とマークされた安定版を選定。
• 検証環境での動作確認を行った上で本番導入するのが推奨です。

性能設計

• SSLインスペクションやIPSなど高負荷機能を多用する場合は、モデルのNPU性能（例：NP7搭載）を確認しておくこと。
• トラフィック分析・ログ量を考慮し、メモリ・ストレージ容量に余裕をもたせる設計が望ましいです。

冗長化とアップデート戦略

• FortiGateはHA（High Availability）構成をサポートしており、片系ずつアップデートしてサービス停止を最小化可能。
• アップデート前には設定バックアップとロールバックポイントの確認が必須です。

ログと可観測性

• FortiAnalyzerやSyslog連携を活用してトラフィック状況を可視化。
• リソース利用率・メモリ消費・セッション数などを定期監視することで、早期障害検知が可能になります。

まとめ

FortiOSは、ファイアウォールという枠を超えた「ネットワーク統合セキュリティOS」です。

物理・仮想・クラウドを問わず統一した運用性を保ちつつ、高速なハードウェア処理と高度なセキュリティ制御を両立しています。

一方で、機能が豊富なだけに「性能設計」「バージョン選定」「冗長化」「検証手順」を慎重に組み立てることが運用成功の鍵です。

FortiOSを適切に理解し、Security Fabric全体の一部として活用することで、強固で柔軟なネットワーク防御基盤を構築できるでしょう。

以上、FortiGateのOSについてでした。

最後までお読みいただき、ありがとうございました。