FortiGateのアドレスグループについて

FortiGate（フォーティゲート）のアドレスグループは、ファイアウォールポリシーやセキュリティポリシーを効率よく管理するための「アドレス（IPアドレスやネットワーク）の集合体」を定義するオブジェクトです。

複数のIPアドレスやサブネットをひとつのグループとして扱うことで、ポリシー管理の簡素化と柔軟性が向上します。

アドレスグループとは？

定義

アドレスグループ（Address Group）は、個別に定義した複数の「アドレスオブジェクト（IP, サブネット, FQDN, IPレンジなど）」を論理的にまとめたものです。

ポリシー上ではこのグループ単位でアクセス制御やセキュリティ適用が可能です。

主な用途とメリット

アドレスグループの種類（FortiOS 6.x〜7.x）

FortiGateのGUIやCLIから作成できるアドレスグループには以下のような形式があります。

Static（静的）グループ

• 手動で個別にアドレスオブジェクトを追加して作るタイプ。
• グループ内容は固定され、変更は手動で行います。
• 最も一般的なタイプ。

Dynamic（動的）グループ

• タグ（タグ付きアドレス）やFabric Connector（例：FortiClient、EMSなど）と連携し、条件に一致するオブジェクトを動的に追加。
• ゼロトラストやSD-WANと組み合わせて使うケースが多い。

アドレスグループの作成手順（GUI編）

アドレスオブジェクトの作成

1. FortiGate管理画面にログイン
2. ポリシー＆オブジェクト > オブジェクト > アドレス へ移動
3. 「新規作成」からIPアドレスやサブネットを定義

アドレスグループの作成

1. ポリシー＆オブジェクト > オブジェクト > アドレスグループ
2. 「新規作成」をクリック
3. 以下の項目を設定：
   • 名前：わかりやすい名前（例：Internal_Servers）
   • メンバー：作成済みアドレスオブジェクトから選択
4. 保存

CLIでの設定例

config firewall addrgrp
    edit "Internal_Servers"
        set member "Server1" "Server2" "Server3"
    next
end

補足：アドレスオブジェクトの例

config firewall address
    edit "Server1"
        set subnet 192.168.10.10 255.255.255.255
    next
end

アドレスグループの利用シーン例

社内サーバ群へのアクセス制御

送信元：外部IP
宛先：Internal_Servers（アドレスグループ）
許可：HTTP, HTTPS

複数拠点のLANを1グループにまとめてアクセス制御

送信元：Branch_LANs（アドレスグループ）
宛先：本社DC
許可：任意

ブラックリスト用途の「拒否グループ」作成

アドレスグループ名：Blocked_IPs
→ このグループを宛先とする拒否ポリシーを上位に設定

注意点・制限事項

関連するFortiOS設定項目

• firewall address：アドレスオブジェクトの定義
• firewall addrgrp：アドレスグループの定義
• firewall policy：ポリシーにグループを適用
• firewall service group：サービス（ポート）グループも併用可能
• firewall schedule group：時間帯での制御も組み合わせ可

補足：動的アドレスグループの例（SD-WANやZTNA向け）

config firewall dynamic addrgrp
    edit "ZTNA-Clients"
        set fabric-object enable
        set default-src negated
        set default-src-exclude enable
        set filter "ZTNA-Tag" "value"
    next
end

この設定を使うと、FortiClient EMSで登録されたタグ情報に応じて、リアルタイムでメンバーが更新される動的グループになります。

まとめ

以上、FortiGateのアドレスグループについてでした。

最後までお読みいただき、ありがとうございました。