FortiGateのセキュアSD-WANについて

Secure SD-WANとは？ ― Fortinetが解決する課題

Fortinet Secure SD-WANは、拠点・データセンター・クラウド・SaaS・リモートユーザーを一体的に結び、アプリケーション単位で最適経路を自動選択しつつ、次世代ファイアウォール（NGFW）による完全なセキュリティ検査を同一装置内で実現するソリューションです。

従来のMPLS中心のWAN構成で発生していた「高コスト」「遅延」「運用の複雑化」といった問題を、ブロードバンド回線・5G・インターネット回線を組み合わせた柔軟なハイブリッドWANによって解消します。

結果として、ユーザー体験の向上・ネットワークコストの削減・セキュリティ統合・運用自動化を同時に実現します。

アーキテクチャ構成

FortiGate（物理・仮想）

Secure SD-WANの中核となるデバイスです。SD-WAN機能・NGFW・ルーティング・ZTNAゲートウェイ機能をすべてFortiOS上に統合。

Fortinet独自のASIC/SPU（Security Processing Unit）が、SSL検査やアプリ識別、トンネル処理をハードウェアレベルで加速します。

管理・運用スタック

• FortiManager：集中管理・ゼロタッチプロビジョニング・テンプレート展開
• FortiAnalyzer：ログ収集・レポーティング・可視化分析
• FortiOrchestrator（Fabric Overlay Orchestratorを含む）：ポリシー自動化・オーバレイ生成・大規模運用を効率化
  これらを組み合わせることで、数百～数万拠点規模のSD-WAN展開を容易にします。

FortiSASE（Single-Vendor SASE）

クラウドベースのSWG・CASB・ZTNA・FWaaSを統合。

Secure SD-WANとシームレスに連携し、リモートユーザーや小規模拠点も同一ポリシーで保護可能です。

アプリケーション識別とSLAベース制御

FortiGateはFortiGuardによる5,000以上のアプリケーション定義を参照し、First-Packet識別により通信開始直後にアプリを特定。

TLS 1.3を含むSSLトラフィックも、FortiOSのバージョンと検査モード条件下でディープインスペクションが可能です。

経路制御はSLAベースで行われ、各回線の遅延・ジッタ・パケット損失をリアルタイム監視。定義されたSLAを満たさない場合、自動で代替回線に切り替わります。

Active/ActiveやActive/Standby構成、ToS/DSCPによる優先度制御もサポートします。

WANリメディエーション（FEC／パケット複製）

音声・ビデオ会議・VDIなどリアルタイム通信の品質を担保するために、FortinetはWANリメディエーション機能を提供しています。

• FEC（Forward Error Correction）：損失率に応じた冗長データの送信でパケットロスを補正
• パケット複製：同一トラフィックを複数経路へ同時送信し、より健全なパケットを採用

これにより、通信品質が不安定なブロードバンド環境でも高品質な通話や映像配信が可能です。

セキュリティ統合 ― “Secure”の本質

FortiGateはNGFW・IPS・URLフィルタリング・アンチウイルス・アプリ制御・DLP・SSL検査など、フルセキュリティ機能をSD-WANと同一筐体上で処理します。

SPUによるハードウェアオフロードにより、セキュリティを有効化してもパフォーマンスを大幅に維持できます。

さらに、FortiGateはZTNAアプリケーションゲートウェイとしても動作可能。

ユーザーやデバイスの状態に応じてアプリケーション単位のアクセス制御を実現し、ゼロトラストモデルを強化します。

代表的なネットワーク構成例

• Hub & Spoke／ADVPN構成：必要に応じて拠点間にダイナミックなショートカットを自動生成し、メッシュ通信を最適化。
• Cloud on-ramp構成：SaaSやIaaSへの最適ルートを自動選定。Microsoft 365、Salesforce、AWS、Azure等へのアクセス品質を改善。
• FortiSASE連携構成：FortiGateを正式なOn-RampデバイスとしてFortiSASE PoPへIPsec接続し、クラウドベースのSWG/ZTNAと連携。

運用・可視化・自動化

FortiManager/Orchestratorを用いれば、ゼロタッチ展開やテンプレート自動化が可能。

FortiAnalyzerでは、SLA逸脱、遅延、損失、アプリ利用状況、セキュリティイベントなどを一元可視化できます。

また、FortiMonitor（DEM）を利用することで、ユーザー体験を数値化し、異常をAIOpsが自動検知する仕組みも備えます。

設計・導入時のポイント

• アプリケーション優先度表を定義（SaaS・UCaaS・基幹系・開発系など）
• SLA閾値をアプリごとに設定（遅延・損失・ジッタ）
• 複数回線の役割分担（MPLS・インターネット・5G等）
• SSL検査ポリシーの運用設計（復号対象・例外・証明書配布）
• テンプレート化で展開・変更・ロールバックを自動化
• FortiSASEへの段階的移行計画を策定し、将来的なSASE統合に備える

運用KPIの指標

• アプリ体感品質（遅延・ジッタ・SLA逸脱率）
• WANリメディエーション効果（損失補正率）
• セキュリティ検査率（SSL復号率・検知/遮断件数）
• コスト削減効果（MPLS→インターネット/5G置換率）
  FortinetはROI計算ツールも提供しており、導入効果を定量的に示すことが可能です。

実装ロードマップ

1. 現状可視化：トラフィック構成・アプリ依存度・回線品質の分析
2. 設計フェーズ：アプリ優先度/SLA/セキュリティポリシー策定
3. PoC（検証）：FEC/複製、SSL検査、SLA動作確認
4. テンプレート構築：FortiManagerで設定変数化
5. 段階展開：主要拠点→全国展開→リモート/小規模拠点
6. 運用最適化：Analyzer/Monitor/AIOpsで継続的改善

まとめ

Fortinet Secure SD-WANは、アプリケーション指向の経路制御と高度なセキュリティを単一のFortiGate上で統合し、ASIC加速・SASE連携・自動化運用により、パフォーマンス・セキュリティ・コストの三立を実現する次世代WAN基盤です。

以上、FortiGateのセキュアSD-WANについてでした。

最後までお読みいただき、ありがとうございました。