FortiGateのユーザー認証について

FortiGateのユーザー認証は、ネットワークやセキュリティポリシーにおけるアクセス制御の中心的な機能であり、誰が何にアクセスできるかを制御するために非常に重要です。

以下では、FortiGateのユーザー認証の仕組み、主な認証方法、活用シーン、構成例などを網羅的に詳述します。

FortiGateにおけるユーザー認証の役割

FortiGateはUTM（Unified Threat Management）/次世代ファイアウォール製品であり、ユーザー認証は以下のような目的で利用されます。

• アクセス制御（ポリシー制御）：ユーザーの認証結果に基づいて通信の許可・拒否を行う。
• ユーザー単位でのログ追跡：通信ログにユーザー名を付加し、誰が何をしたかを追跡可能にする。
• VPN接続時の認証：SSL-VPN/IPSec-VPNユーザーの正当性確認。
• Webフィルタやアプリケーション制御の粒度強化：ユーザーやグループに応じた適用が可能。

主なユーザー認証方式

FortiGateでは以下の認証方式を使用できます。

オンボード方式から外部連携まで幅広い手段があります。

ローカルユーザー認証

FortiGate本体にユーザー情報を登録する方式。

• 管理がシンプルで、小規模ネットワークに適している。
• パスワード期限やアカウントロック等のポリシーも設定可能。

RADIUS認証

外部のRADIUSサーバと連携して認証を行う。

• 企業ネットワークでよく利用される。
• 認証・認可・アカウンティング（AAA）が可能。
• FortiAuthenticatorとの連携も可能。

LDAP認証（Active Directory連携含む）

Windows ADなどのLDAPサーバと連携。

• ユーザーの一元管理が可能。
• ADグループベースでのアクセス制御にも対応。

TACACS+認証

管理者用アクセス制御によく使用される。

• コマンド単位での制御が可能なため、ネットワーク機器の管理権限分離に便利。

二要素認証（2FA）

• FortiTokenを用いたOTP（二要素）認証が可能。
• FortiAuthenticatorとの連携でモバイルアプリ認証にも対応。
• SSL-VPNなどのリモートアクセスでセキュリティを強化。

SSO（Single Sign-On）認証

• Fortinet Single Sign-On（FSSO）を使用して、Windowsドメインへのログイン情報からユーザー認証を取得。
• ユーザーに再認証させることなくポリシー適用が可能。

ユーザー認証の利用シーン

Captive Portal（強制Web認証）

FortiGateではWebブラウザを通してユーザー認証を求める「キャプティブポータル」機能もあります。

• ゲストWi-Fiでの利用が多い。
• カスタムHTMLでブランド対応可能。
• 認証方式はローカル/RADIUS/LDAP等から選択可。
• 認証後のIPに対して、ユーザー名を付加してトラッキング可能。

ポリシーとの統合

FortiGateでは「ファイアウォールポリシー」や「SSL-VPNポリシー」に認証条件を組み込むことができます。

たとえば

送信元：内部セグメント（192.168.1.0/24）
宛先：任意のインターネット
サービス：HTTP, HTTPS
ユーザー：ADグループ「営業部」
アクション：許可

といった条件で、ADのグループ「営業部」に所属するユーザーだけがインターネットにアクセスできるように設定できます。

FortiGateでの認証の設定手順（LDAPの例）

以下はActive DirectoryとLDAP連携した認証設定の概要です。

1. ユーザー＆デバイス > 認証 > LDAPサーバに進む
2. サーバ名、IPアドレス、ポート（389 or 636）、DN（例：CN=Users,DC=example,DC=com）などを設定
3. バインドユーザーを入力して接続テスト
4. グループ作成でLDAPグループを定義
5. ポリシーまたはSSL-VPN設定にグループを指定

FortiAuthenticatorとの連携

Fortinet製品群との統合性を高めるには、FortiAuthenticatorの導入が非常に有効です。

以下のような強化が可能です。

• RADIUS / LDAP ProxyとしてFortiGateとの中継を担う
• ユーザー証明書、SMS・メールOTP、Push通知など複雑な認証方式に対応
• ユーザーセルフサービス機能（パスワードリセットなど）

ログとトラブルシューティング

• 認証ログはLog & Report > Events > User や VPN Logsなどで確認可能。
• RADIUSやLDAPの接続エラーはCLIのデバッグコマンドで確認。

diagnose debug application fnbamd -1
diagnose debug enable

• FSSOの問題はCollector Agentのログも併せて確認。

まとめ

FortiGateのユーザー認証は、単なるIDチェックを超えた高度なアクセス制御基盤です。

規模や用途に応じてローカル認証からLDAP/RADIUS/FSSO、さらに二要素認証まで段階的に組み合わせることで、セキュリティと運用効率のバランスを取ることが可能です。

導入時には「どのユーザーがどこへ、どのようにアクセスする必要があるか」という要件をしっかり整理し、最適な認証アーキテクチャを構築することが成功のカギとなります。

以上、FortiGateのユーザー認証についてでした。

最後までお読みいただき、ありがとうございました。