FortiGateのQUICブロックについて

FortiGateでのQUIC（Quick UDP Internet Connections）プロトコルのブロックについて、詳細に解説いたします。

QUICとは何か

QUIC（Quick UDP Internet Connections）は、Googleが開発した高速通信プロトコルで、HTTP/3の基盤技術です。

従来のTCPベースの通信（HTTP/1.1やHTTP/2）に比べ、通信確立の高速化とパケット損失時の回復性が向上しています。

QUICは以下の特徴を持ちます。

• UDPポート443を使用
• TLS 1.3による暗号化を内包
• 接続・暗号化・HTTP通信をワンステップで処理
• 主にGoogle Chrome、YouTube、Facebook、Instagram、Microsoft Edgeなどで採用

なぜQUICをブロックすべきか？

QUICは、セキュリティ制御やトラフィック管理の面で企業ネットワークに以下のような影響を与えます。

そのため、FortiGate環境においてはQUICをブロックすることで、HTTPS経由のトラフィックをTCP/443へフォールバックさせ、SSLインスペクションやWebフィルタリングを有効化できるようになります。

FortiGateでのQUICブロック方法（3つの主要手法）

アプリケーション制御でのQUICブロック（推奨）

FortiGateのアプリケーション制御プロファイルを用いて、QUIC通信を直接ブロックします。

手順

1. FortiGate GUIにログイン
2. [Security Profiles] → [Application Control] を開く
3. 使用中のプロファイルを編集
4. 「QUIC.Protocol」を検索し、「Block」に設定
5. このプロファイルをファイアウォールポリシーに適用

備考
FortiGuardのアプリケーション制御データベースは最新版に保ってください。更新がない場合、QUICを正確に識別できないことがあります。

ファイアウォールポリシーでUDP/443をブロック

QUICはUDPポート443を使用しているため、これを直接ブロックすることで通信を止める方法です。

手順

• ファイアウォールポリシーで、サービスに「UDP/443」を指定
• アクションを「Deny」に設定

⚠ 注意点：
UDP/443は一部の正規サービス（Zoom、Microsoft Teams、WebRTCなど）でも使用されます。この設定はこれらの通信に影響を与える可能性があるため、慎重な適用が求められます。

SSLインスペクションとの併用による制御

QUICはSSL Deep Inspectionの対象外ですが、QUIC通信をブロックすることで、クライアントがTCPベースのHTTPS通信（HTTP/2等）へフォールバックします。

その上でSSLインスペクションを有効にすることで、通信内容の可視化やフィルタリングが可能になります。

補足

• SSL/SSH Inspectionプロファイルにて「deep inspection」を有効化
• CA証明書のインポートと配布も忘れずに実施

ブロックの効果と動作確認方法

ブロック後の挙動

QUICがブロックされると、Chromeなどのブラウザは自動的にTCPベースの通信（HTTP/2など）へフォールバックします。

その結果

• 通信自体は継続され、ユーザー側は変化に気づきにくい
• FortiGateによる検査やフィルタリングが可能となる

動作確認の方法

応用：部分的にQUICを許可する運用

FortiGateではアプリケーション制御プロファイルをポリシー単位で適用できるため、例えば以下のような柔軟な設定が可能です。

• 特定のユーザーやデバイスにのみQUIC通信を許可
• 時間帯（業務時間外など）によって制御を変える
• VPN接続元からのQUIC通信のみ許可

まとめ

以上、FortiGateのQUICブロックについてでした。

最後までお読みいただき、ありがとうございました。