Fortinet商品など
UTMのブリッジモードについて
企業ネットワークにUTM(Unified Threat Management:統合脅威管理装置)を導入する際、「ルーターモード(NATモード)」と並んでよく検討されるのがブリッジモード(Bridge Mode/Transparent Mode)です。
この記事では、UTMのブリッジモードについて、その仕組み・利点・注意点・構成例・運用上の実践ノウハウまでを、専門的にかつわかりやすく解説します。
ブリッジモードとは?基本概念
UTMはファイアウォール、IPS/IDS、アンチウイルス、URLフィルタ、VPNなどを統合した多機能セキュリティ装置です。
一般的にネットワークの出入口(LANとWANの間)に設置し、通信の監視・制御・防御を行います。
UTMには大きく分けて2つの動作モードがあります。
| モード名 | 概要 |
|---|---|
| ルーターモード(NATモード) | UTMがルーターとして動作し、NATを行いながらLAN/WANを分離する構成。 |
| ブリッジモード(Transparentモード) | UTMがL2(データリンク層)で透過的に通信を中継。NATを行わず既存ネットワーク構成をそのまま活かせる。 |
つまり、ブリッジモードはUTMを「ネットワーク上で見えない防御壁」として挿入するイメージです。
ブリッジモードの仕組み
ブリッジモードでは、UTMがレイヤー2デバイス(スイッチと同等の動作)として機能します。
通信のパケットはそのまま通過しますが、UTM内部で脅威検知・アプリ識別・ウイルススキャンなどが実行されます。
構成イメージ
[LAN] --- [UTM(Bridge Mode)] --- [Router] --- [Internet]
- LAN・WAN両側で同一IPアドレス体系を維持可能
- UTMはNATやルーティングを行わず透過的に通信を中継
- ただし、管理用IPアドレスは別途設定(後述)
ブリッジモードの主なメリット
既存ネットワークを変更せず導入可能
ルーターモードと異なり、IP設計やルーター設定を変更する必要がありません。
既存環境に手を加えずに導入できるため、システム停止リスクを最小化できます。
テスト導入(PoC)に最適
ブリッジモードは通信経路を変えないため、段階的な導入・評価に向いています。
例えば「まずは監視のみ(検知のみ)」→「問題なければ遮断」へとステップアップできます。
トラブル時の影響を最小化
フェイルオープン(バイパス)機能を備えた機種なら、UTMが故障しても通信を自動的にバイパス。
業務を止めずに障害を回避できます。
※フェイルオープンはハードウェアバイパス対応モデルに限るため要確認。
ブリッジモードの注意点・制約
ルーティング・NATが基本的に使えない
UTMがL2動作のため、ユーザートラフィックに対してルーティングやNATは行えません。
ただし、管理プレーン上の静的ルートやVPN通信の一部は製品によっては設定可能です。
VPNは「制限付きで対応可能」
ブリッジモードでもVPNを利用できる製品がありますが、多くは管理IPを終端とする/特定IFのみ対応など制約があります。
VPNを多用する環境では、事前にベンダー仕様の確認が必須です。
冗長化構成がやや複雑
ブリッジモードでもHA(冗長構成)は可能ですが、上流・下流のスイッチ設計(STP・LAG設定)との整合性を慎重に検討する必要があります。
VLAN透過設定に注意
VLANタグ付き通信をそのまま通過させるか、UTMで終端するかは設計上の要です。
VLANトラフィックを誤って遮断しないよう、透過設定を明確化しましょう。
導入構成例
【ケース1】既存ネットワークへの後付け導入
[LAN] → [UTM(Bridge Mode)] → [既存Router] → Internet
- LAN・WANともに同一アドレス体系
- RouterがNAT・ルーティングを担当
- UTMではIPS・Webフィルタ・アンチウイルスを中心に稼働
→ 既存構成を維持したまま可視化と防御を強化
【ケース2】トラフィック分析・PoC導入
一時的にUTMを挟み込み、実通信を監視・ログ収集。
問題がなければ後にルーターモードに移行するステップ導入が可能です。
→ 本番ネットワークを変えずに実運用環境で評価できるのが大きな利点。
運用・管理のポイント
管理IPアドレス設定
ブリッジインターフェースそのものにはIPを持たせず、別途“管理用IP”をブリッジインターフェースまたは専用管理ポートに付与します。
ポリシー制御
L2動作でも、IPS・アプリケーション制御・URLフィルタ・アンチウイルスなどの高度な検査が可能です。
ルーティングベースではなく、ゾーンやVLANベースのポリシー設計を行うのが実務的です。
ログ・可視化
ブリッジモードでもフロー・アプリ・ユーザ単位の可視化は十分可能です。
セグメント識別を明確にするにはゾーンやVLAN設計を併用しましょう。
トラブルシューティングの着眼点
- ブリッジペアのリンク状態
- VLANタグの扱い(透過/終端)
- フェイルオープン機能の有無
- フィルタポリシーの優先度ミス
主なUTM製品とブリッジモード対応状況
| 製品名 | モード名称 | 備考 |
|---|---|---|
| FortiGate | Transparent Mode | 管理IP・静的ルート・VPNなど限定的L3機能に対応。 |
| Sophos Firewall(旧XG) | Bridge Mode | GUIで容易に設定可能。HeartbeatやSSL検査も対応。 |
| WatchGuard Firebox | Bridge/Drop-In Mode | 透過構成を公式サポート。ゾーンポリシー制御も可。 |
| SonicWall | Transparent Mode | 既存ネットワークの段階的保護に最適。VPNは制限付き。 |
まとめ:ブリッジモードは“安全な第一歩”に最適
| 項目 | 内容 |
|---|---|
| 動作層 | L2(データリンク層) |
| NAT | なし |
| 既存ルーター変更 | 不要 |
| 主な用途 | 可視化・段階導入・後付けセキュリティ |
| 利点 | 導入容易・構成変更不要・検証に最適 |
| 注意点 | VPN・HA・VLANはベンダー仕様を要確認 |
結論
UTMのブリッジモードは、
「既存ネットワークを壊さずに、セキュリティを強化したい」というニーズに最適な運用モードです。
初期段階では監視中心の導入(可視化)から始め、その後必要に応じて遮断/SSLインスペクション/VPN連携などへ拡張していくのが理想的です。
以上、UTMのブリッジモードについてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
