FortiGateのサービスオブジェクトについて

2025-09-06

FortiGateの「サービスオブジェクト（Service Object）」は、ファイアウォールポリシーやNATルールなどで通信の許可・拒否を制御する際に使用される、プロトコルやポート番号を定義した設定オブジェクトです。

通信の「内容」に関わる情報を扱うため、ネットワークセキュリティの細かい制御において非常に重要な役割を果たします。

サービスオブジェクトとは？

サービスオブジェクトは、主に以下のような情報を含んでいます。

プロトコル種別（TCP / UDP / ICMP / SCTP など）
送信元ポート番号（Source Port）
宛先ポート番号（Destination Port）
ICMPタイプとコード（ICMPの場合）
サービスの説明

たとえば、「HTTP」サービスオブジェクトは、TCPプロトコルのポート80番を宛先とする通信を定義しており、これを使ってポリシーを作成することで、HTTP通信だけを許可または拒否できます。

FortiGateにおけるサービスオブジェクトの主な種類

デフォルトサービス

FortiGateには、最初から数百種類の一般的なサービス（プリセット）が用意されています。

以下は一例です。

サービス名	プロトコル	宛先ポート	説明
HTTP	TCP	80	Webブラウジング
HTTPS	TCP	443	SSL暗号化Web通信
DNS	UDP	53	DNSクエリ
SMTP	TCP	25	メール送信
FTP	TCP	21	ファイル転送

これらは変更・削除できませんが、そのまま利用することで素早くポリシーを作ることができます。

カスタムサービス

ユーザーが独自に作成できるサービスです。

次のような場面で使用されます。

業務アプリで使う特殊なポートの通信を制御したい
一般サービスにないUDPポートを対象にしたい
複数ポートをまとめて一つのサービスにしたい

設定例（CLI）

config firewall service custom
  edit "MyApp_TCP_12345"
    set tcp-portrange 12345
    set protocol TCP
  next
end

GUIでの作成手順（概要）

FortiGateのWebGUIにログイン
「ポリシー＆オブジェクト」 > 「オブジェクト」 > 「サービス」 > 「サービス」
「作成」ボタンをクリック
サービス名・プロトコル・ポート番号などを入力し保存

サービスグループ

複数のサービスオブジェクトをまとめて「サービスグループ」として管理できます。

これにより、ポリシーの作成・運用がより効率的になります。

例：グループの構成

サービスグループ名：Web_Services
含まれるサービス：HTTP, HTTPS, HTTP_PROXY

ポリシーでこのグループを指定することで、3つのサービスを一括で許可・拒否できます。

サービスオブジェクトを使ったファイアウォールポリシーの例

config firewall policy
  edit 1
    set srcintf "port1"
    set dstintf "port2"
    set srcaddr "all"
    set dstaddr "all"
    set action accept
    set service "HTTP" "HTTPS"
    set schedule "always"
  next
end

上記では、HTTPとHTTPS通信のみを許可するポリシーを定義しています。

よくあるユースケース

ユースケース	使用するサービスオブジェクト
Webアクセス制限	HTTP, HTTPS
社内限定アプリ許可	カスタムサービス（TCP/UDPポート指定）
メールフィルタリング	SMTP, SMTPS, POP3, IMAP
DNS制御	DNS
ファイル転送制限	FTP, FTPS

注意点とベストプラクティス

注意点 / 推奨事項	内容
明示的に必要なポートだけ許可	「all」サービスを使わず、必要な通信のみ定義
名前の付け方を統一	`TCP_12345_AppName` などわかりやすく命名
サービスグループを活用	多数のサービスを整理して運用しやすく
ログとの連携	サービス単位でログを取得しやすくなる
不要なサービスを見直し	攻撃対象となりやすいポートを極力閉じる