Fortinet商品など
FortiGateのSSLインスペクションについて
概要 ― なぜSSLインスペクションが重要なのか
現代のインターネット通信の90%以上がHTTPSなどの暗号化通信で行われています。
その結果、サイバー攻撃やマルウェアも暗号化経路を悪用するようになり、従来のファイアウォールでは「見えない脅威」が増加しました。
FortiGateのSSLインスペクション(SSL/TLS Inspection)は、これらの暗号化通信を一時的に復号し、セキュリティ検査を実施する機能です。
この仕組みにより、FortiGateは暗号化通信の可視化・制御・防御を実現します。
動作の仕組み ― MITM(中間者)方式による通信検査
FortiGateは、SSLインスペクションを行う際にクライアントとサーバーの間に中継者(Man-in-the-Middle)として介入します。
通信の流れは以下の通りです。
- クライアントがHTTPS通信を要求(例:https://example.com)
- FortiGateがサーバーへ接続し、本物の証明書を取得
- FortiGateが独自のCA証明書を基に一時的な証明書を生成し、クライアントへ提示
- FortiGateが暗号化通信を復号し、コンテンツをスキャン(ウイルス・URL・アプリ制御など)
- 検査後に再暗号化してサーバーへ送信
- 結果をクライアントに返す
この二重のSSLセッション(クライアント⇔FortiGate⇔サーバー)により、HTTPS通信内の脅威を検出可能にします。
SSLインスペクションのモード(2種類)
Deep Inspection(ディープインスペクション)
- 通信を完全に復号して中身を検査する最も強力なモード。
- ウイルススキャン、Webフィルタ、アプリケーション制御などすべてのセキュリティ機能が利用可能。
- クライアント端末にFortiGateのCA証明書を信頼済みとしてインストールする必要あり。
主な用途
- 社内PCなど管理下の端末。
- 高セキュリティ要求の業務システム。
Certificate Inspection(証明書インスペクション)
- 通信内容を復号せず、サーバー証明書のみを検査。
- 証明書の有効期限・発行元・ドメイン一致などをチェック。
- 通信の中身(コンテンツ)までは検査しないため、セキュリティは限定的。
主な用途
- 復号が望ましくない個人端末(BYOD環境)。
- プライバシー保護が優先されるシステム。
FortiGateの設定構成要素
管理GUIパス
Security Profiles → SSL/SSH Inspection
主な設定項目
| 項目 | 説明 |
|---|---|
| Inspection Mode | Deep / Certificate から選択 |
| CA証明書 | FortiGateが生成するCA証明書をクライアントに配布 |
| Exempt(除外リスト) | 銀行・医療・政府サイトなどをスキャン対象外に設定 |
| Protocol設定 | HTTPS / SMTPS / IMAPS / POP3S / FTPS などを指定可能 |
| Proxy / Flow モード | FortiOS 7.xではHTTP/3やTLS1.3の完全検査にはプロキシモードが推奨 |
FortiGateのSSLインスペクションが優れている理由
- 統合セキュリティ検査
- Web Filter、Application Control、IPS、DLPと連動。
- HTTPS通信も通常トラフィックと同等に検査可能。
- ハードウェア支援による高速処理
- FortiASIC(SPU)によるSSLオフロードでスループット低下を最小化。
- 可視化と分析機能
- FortiViewやFortiAnalyzerを通じて、復号結果・証明書情報・暗号スイートを可視化。
- キャッシュ機構による効率化
- よくアクセスするサイトの証明書をキャッシュして再接続を高速化。
対応プロトコルと新技術(2025年時点)
| 技術要素 | FortiGate対応状況 |
|---|---|
| TLS 1.3 | 対応済(Deep/Certificate両モード)。ただし一部はプロキシベースが推奨。 |
| HTTP/3 / QUIC | FortiOS 7.4以降で検査強化。QUICの検査にはプロキシモードが必要。 |
| ECH(Encrypted Client Hello) | FortiOS 7.4~7.6で対応。SNI秘匿化に伴う制御ポリシー調整が必要。 |
| 証明書ピニング | 一部アプリ・Webサービスで発生。対象ドメインをExempt設定で除外。 |
注意点と運用上のリスク
証明書エラーの発生
FortiGateのCA証明書が信頼されていないと、ブラウザで「安全でない接続」と警告が出ます。
→ 対策:ADグループポリシー(GPO)などで全社端末へCAを配布。
機密通信の扱い
医療・金融系サイトの検査はプライバシー侵害リスクがあります。
→ 対策:Exemptリストで除外。
パフォーマンスへの影響
Deep Inspectionは復号処理が重く、同時セッションが多い環境ではスループットが低下。
→ 対策:高負荷サイトをCertificateモードに振り分け、混在運用。
法的リスク
社内通信の復号は、労務・個人情報保護法上のリスクを伴います。
→ 対策:社内規定で範囲を明示し、従業員同意を取得。
実務ベースの運用ベストプラクティス
| カテゴリ | 推奨運用 |
|---|---|
| 証明書管理 | FortiGate CAをADポリシーで自動配布。手動配布は禁止。 |
| 除外設定 | 金融・医療・政府・認証サービス(Google/Apple)などを除外。 |
| ポリシー設計 | 既知・信頼サイト→Certificate、未知サイト→Deep のハイブリッド運用。 |
| ログ監査 | FortiAnalyzerで“復号成功率”“除外率”を監視。 |
| アップデート | TLS/ECHの仕様変更に合わせ、FortiOSと証明書設定を定期更新。 |
FortiGateのSSLインスペクションを強化する設計ポイント
- プロキシベース検査モードを活用
- HTTP/3(QUIC)やTLS1.3完全解析には必須。
- 既定プロファイルをクローン運用
- デフォルトの
deep-inspectionやcertificate-inspectionを複製して自社向け設定に。
- デフォルトの
- 除外ルールを戦略的に管理
- 一律除外ではなく、アクセス実績に基づいて動的に更新。
- ECH対応ポリシーを策定
- FortiOS 7.4/7.6の新機能「ECHブロック・可視化」を活用。
まとめ
FortiGateのSSLインスペクションは、暗号化通信が主流となった現代において「見えない通信を見える化」し、「安全な復号」を実現する中核機能です。
- Deep Inspectionで高度な防御
- Certificate Inspectionで軽量な可視化
- 除外設定でプライバシーと法令を両立
- FortiASICによるハードウェア支援でパフォーマンスを確保
適切な設計とポリシー管理を行えば、セキュリティ・性能・ユーザー体験のバランスを高い次元で両立できます。
以上、FortiGateのSSLインスペクションについてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
