FortiGateのレーティングエラーについて

FortiGateの「レーティングエラー（rating error）」とは、主にWebフィルタリング機能やセキュリティプロファイルの一環として、アクセス先のWebサイトをFortiGuard（Fortinetのクラウドベースの脅威インテリジェンスサービス）が評価できなかったときに発生するエラーです。

企業ネットワークや学校などで、不適切なWebサイトへのアクセスを制御するためによく利用されます。

レーティングとは何か？

FortiGateでは「Webフィルタリング」機能を使用する際、FortiGuardのデータベースに照会して、あるURLやドメインがどのカテゴリ（ニュース、アダルト、ギャンブルなど）に属しているかを判断します。

このカテゴリ情報に基づいて、管理者が定義したポリシーによりアクセス許可・ブロックが行われます。

このとき、FortiGateがFortiGuardに問い合わせた結果、何らかの理由で評価（rating）できなかった場合に「レーティングエラー」が発生します。

レーティングエラーの主な原因

レーティングエラーには以下のような原因が考えられます。

FortiGuardとの通信障害

• FortiGateがFortiGuardサーバと通信できない場合（インターネット接続不可、DNSエラー、ポートブロックなど）
• ファイアウォールがFortiGuardの必要なポート（TCP/UDP 53, 8888など）をブロックしている

URLが未評価（Unrated）

• FortiGuardがまだ評価していない新しいWebサイトやマイナーなドメイン
• マルウェア作成者が新たに登録したサイトなど

FortiGuardの契約や設定の問題

• FortiGuard Web Filteringのライセンスが期限切れ
• Webフィルタリングの設定で「評価できないサイトはブロックする」に設定されている場合

DNSの名前解決の失敗

• URLにアクセスする際に名前解決できない場合もレーティング不可になる

レーティングエラーが発生したときの対処法

FortiGuardへの接続状況の確認

CLIで以下のコマンドを実行して、FortiGuardとの通信状況を確認します。

diagnose debug rating

これでFortiGuardとの通信が正しく行われているか、どのサーバに接続しているかが表示されます。

また、

execute update-now

で手動アップデートを試すこともできます。

ライセンスの有効期限を確認

FortiGateのGUIから
[System] > [FortiGuard]
にアクセスし、Web Filteringのステータスと有効期限を確認してください。

ポリシー設定の確認

「Unrated」なサイトの扱いについて、以下のように設定できます。

• ブロック（デフォルトではこれが選ばれている場合あり）
• モニタリング（記録するがブロックはしない）
• アクセス許可

GUIでの確認手順
[Security Profiles] > [Web Filter] > プロファイルの編集
→ 「URL Category」内の「Unrated」の設定を確認・変更可能。

URLをFortiGuardで手動評価

Fortinetの公式サイトで、URLのカテゴリを調査・申請することができます。

• FortiGuard Web Filtering Lookup Tool
  https://www.fortiguard.com/webfilter

もし「Unrated」と表示されたら、「レーティングリクエスト（Re-evaluation）」を申請することが可能です。

企業ネットワーク運用におけるレーティングエラーの扱い方

セキュリティを重視する企業ネットワークでは、「評価できないサイト＝潜在的に危険」とみなしてブロックする方針が一般的ですが、過剰にブロックすると業務に支障をきたす可能性もあります。

以下のようなバランスが重要です。

• ポリシー例 1：
  • 評価不能（Unrated）はモニタリングにして記録だけ残す
• ポリシー例 2：
  • Unratedサイトへのアクセスは申請制にし、個別許可を与える
• ポリシー例 3：
  • IPアドレスへの直接アクセスや不審なTLDはブロック

まとめ

以上、FortiGateのレーティングエラーについてでした。

最後までお読みいただき、ありがとうございました。