Fortinet商品など
FortiGateのオートメーション機能について
FortiGateには、セキュリティイベントに応じて自動的に処理を実行するオートメーション機能(Automation Stitch)が搭載されています。
これにより、インシデントへの初動対応、アラート通知、連携アクションを人手を介さずに自動化でき、セキュリティ運用の効率化が実現します。
機能の全体像:Automation Stitchとは?
FortiGateにおける「Automation Stitch(オートメーション・スティッチ)」は、以下の3要素から構成されます。
トリガー(Trigger)
自動処理を開始する条件となるイベント。
代表的なものには以下があります。
- ウイルス検出(Antivirus Event)
- 不正侵入の検出(IPS Event)
- 管理者ログイン失敗
- Webフィルターイベント
- SyslogやSNMPトラップの受信
- スケジュールトリガー(定時実行)
- FortiAnalyzerやFortiSIEMからのアラート通知
条件(Condition)※必要に応じて
一部のトリガーには、追加でフィルタ条件を設定可能です。
たとえば、発生元IPやイベントの重大度などで制御できます。
ただし、すべてのトリガーでこの条件設定が使えるわけではありません。
アクション(Action)
トリガーが発生した際にFortiGateが実行する処理です。複数のアクションを組み合わせて設定できます。
主なアクション一覧
| アクション | 内容 |
|---|---|
| IPのブロック(Ban IP) | 特定のIPアドレスを自動的に隔離(quarantine listに追加)※実際に通信を遮断するにはFirewall Policyなどの連携設定が必要 |
| メール通知 | 管理者宛にアラートメールを送信 |
| Syslog送信 | 外部のSIEMやログ管理サーバーに情報を転送 |
| Webhook送信 | SlackやWebhook対応アプリへのJSON形式通知 |
| CLIスクリプト実行 | FortiGate内の設定コマンドを自動で実行 |
| FortiAnalyzer/FortiSIEM連携 | 外部管理システムと連携して拡張アクションを実行 |
| REST API呼び出し | 外部APIと連携した独自処理が可能(高度な連携) |
活用シナリオ例
例①:ウイルス検出時にIP隔離と通知
- トリガー: Antivirusイベント(マルウェア検出)
- アクション1: 検出元IPをquarantine listに追加(ban-ip)
- アクション2: 管理者へアラートメール
- アクション3: SlackにWebhook通知
例②:管理者ログイン失敗を検知して通知
- トリガー: 管理者ログイン失敗イベント(eventid:
admin_login_failed) - 条件: 一定回数連続で失敗した場合
- アクション: メール通知とSyslog出力で追跡可能に
例③:外部の脅威インテリジェンスと連携し、IPを動的に制御
- トリガー: 外部Threat Feedで脅威IPを検出
- アクション: 対象IPを即座にブロック & アラート通知
FortiOS上での設定手順(GUI)
- FortiGateのGUIにログイン
- [Security Fabric > Automation] へ移動
- 「Create New」でスティッチ作成
- トリガーを選択し、必要なら条件を追加
- アクションを一つ以上追加
- 名前を付けて保存・有効化
CLIでの設定例
config system automation-stitch
edit "malware_detected"
set trigger "av-event"
config actions
edit 1
set action "ban-ip"
set ban-ip-addr "source-ip"
set duration 3600
next
edit 2
set action "send-email"
set email-to "admin@example.com"
set subject "Malware Detected"
next
end
next
end
FortiAnalyzerやFortiSIEMとの連携強化
FortiAnalyzerやFortiSIEMを組み合わせることで、オートメーション機能はさらに高度になります。
- より複雑なイベント相関による対応の自動化
- プレイブック機能で段階的な処理フローを自動化(FortiSoC)
- 複数FortiGateを横断した一元管理と分析
オートメーション機能の導入メリット
| メリット | 説明 |
|---|---|
| 即時対応の実現 | 脅威検出後すぐに自動処理が可能 |
| 運用負荷の削減 | 手動操作を最小限に抑え、SOCの負担を軽減 |
| 誤検出の調整 | 条件設定により柔軟な対応が可能 |
| 他システムとの統合性 | Webhook・APIを介して、他のセキュリティツールとも連携可能 |
注意点・補足
- 「ban-ip」は通信を即時遮断しない点に注意。対象IPは quarantine list に登録されますが、これに対してFirewall PolicyやWeb Filter側で参照設定が必要です。
- スクリプトの自動実行は誤設定によるシステム影響があるため、事前検証が重要です。
- **通知系アクション(メール/Webhook)は事前にSMTPサーバ設定やWebhook URL形式の確認が必要です(特にMicrosoft Teamsでは独自のJSON構造を要求されます)。
まとめ
FortiGateのオートメーション機能(Automation Stitch)は、セキュリティイベントをトリガーに、柔軟で実用的なアクションを自動実行できる仕組みです。
小規模な監視から大規模SOCとの連携まで対応可能であり、システム運用者の負荷軽減とセキュリティの強化に大きく寄与します。
以上、FortiGateのオートメーション機能についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
