Fortinet商品など
FortiGateの自動アップデートについて
概要
FortiGateの「自動アップデート機能(Auto Firmware Upgrade)」は、FortiGuardサーバを通じて最新のファームウェアを自動で取得・適用する仕組みです。
主に同一メジャー/マイナーバージョン内のパッチリリースを対象としており、セキュリティ修正やバグ修正を迅速に反映できるよう設計されています。
この機能はFortiOS 7.2.6以降で段階的に強化され、7.4.5以降では全モデルでデフォルト有効になりました。
特に近年は、脆弱性対策やゼロデイ対応の迅速化が求められており、企業ネットワークのセキュリティ維持において重要な役割を果たします。
適用範囲とバージョン仕様
適用対象
- 同一メジャー/マイナー内のパッチ(例:7.2.5 → 7.2.6)
- メジャーアップグレード(例:7.2 → 7.4)は対象外
※この場合は手動適用またはFortiManagerによる制御が必要
デフォルト有効条件
| FortiOSバージョン | デフォルト設定 | 備考 |
|---|---|---|
| 7.2.6 | エントリーモデル(100番台未満)で自動有効 | 既存機を7.2.6へアップグレードした場合も自動有効化される場合あり |
| 7.4.5以降 | 全モデルで自動有効 | FortiGate VMも含む |
これらの仕様は公式リリースノートおよび管理ガイドに明記されています。
設定方法(CLI/GUI)
CLIでの設定例
自動アップデートは config system fortiguard セクションで制御します。
config system fortiguard
set auto-firmware-upgrade enable
set auto-firmware-upgrade-day sunday monday tuesday wednesday thursday friday saturday
set auto-firmware-upgrade-start-hour 1
set auto-firmware-upgrade-end-hour 4
set auto-firmware-upgrade-delay 3
end
主なパラメータ
| パラメータ名 | 説明 |
|---|---|
enable / disable |
自動アップデートの有効・無効 |
auto-firmware-upgrade-day |
実施曜日を指定(複数指定可) |
start-hour / end-hour |
実施時間帯(0〜23時)を設定 |
delay |
公開から実施までの遅延日数(0〜14、既定=3日) |
GUIでは、System → FortiGuard → Firmware Updatesから同様の設定を行えます(バージョンによって表記差あり)。
FortiManager/FortiGate Cloud環境での動作
FortiManager配下の場合
- 自動アップデート機能は仕様上無効化されます。
- CLI上で
enableに設定しても実際には更新されません。 - FMG 7.2.5以降では、この挙動に関する注意喚起と既知バグ(ID:1017519)がリリースノートで明示されています。
FortiGate Cloud利用時
- FortiGate Cloud Premiumプランでは「Firmware Profile」機能を用いて、自動アップデートを一元管理可能。
- 各テナント単位で「最新パッチ適用」ポリシーを設定できます。
- 無料プランでは自動更新挙動が異なるため、クラウド側のプロファイルを必ず確認してください。
Security Fabricとの連携
FortiOS 7.2系
- 7.2.8以降では、自動アップデート対象がFortiGate本体のみに制限。
- FortiSwitchやFortiAPは対象外となります。
FortiOS 7.4系
- 「自動フェデレーテッドアップデート(Federated Upgrade)」機能を搭載。
- 設定により、Fabric配下のFortiSwitchやFortiAPも連動更新可能。
- この機能は明示的な有効化設定が必要です。
運用上のリスクと注意点
| リスク | 内容 | 対策 |
|---|---|---|
| 通信断 | 再起動を伴うため、短時間のネットワーク停止が発生 | 深夜帯など非稼働時間にスケジュール設定 |
| 不具合導入 | 新バージョンにバグが存在する場合 | 検証機で事前確認し、段階的に展開 |
| 設定競合 | FortiManager/Cloudと競合する設定が存在 | 運用ポリシーの整合性を確立 |
| アップデート忘れ | 自動無効化されている環境で放置 | 監査・通知機能を有効化して確認徹底 |
ベストプラクティス
- 事前バックアップ
ファームウェア更新前にconfigをバックアップ。 - ステージング運用
まず検証機や小規模拠点で動作を確認してから全社展開。 - スケジュール設定
start-hour / end-hourを使い、夜間実行に限定。 - 遅延設定(delay)
新リリース後すぐではなく、安定性確認後に適用する。 - 通知設定
メール通知やログ監視を活用し、更新状況を可視化。 - ロールバック手順の確保
問題発生時に即座に前バージョンへ戻せる体制を整える。
状態確認コマンド例
show full system fortiguard | grep firmware
現在の設定値を確認できます。
FortiManager配下では、以下の診断コマンドで状態を確認可能です。
diagnose test application forticldd 13
# “Automatic image upgrade: Disabled.” が表示されるのが正常
まとめ
FortiGateの自動アップデート機能は、運用負荷を大きく軽減しつつセキュリティを最新状態に保つための有効な仕組みです。
ただし、実運用では次の点に特に注意が必要です。
- デフォルト有効の範囲を正確に理解する(7.2.6〜7.4.5で挙動が異なる)
- FortiManager/Cloud環境では挙動が異なるため、重複制御を避ける
- 通信断や不具合のリスクを踏まえて、夜間帯・遅延設定を適用する
適切なスケジューリングと監査体制を組み合わせれば、FortiGateの自動アップデートは安全かつ効率的なセキュリティ運用を実現します。
以上、FortiGateの自動アップデートについてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
