FortiGateのオーバーライドについて

FortiGateの「オーバーライド（Override）」機能は、主にWebフィルタリングやアプリケーション制御、SSL検査などのセキュリティポリシーにおいて、一時的に制限を解除したい場合に使われる非常に重要な機能です。

ここでは、特にWebフィルタリングのオーバーライドを中心に解説しながら、他の用途でもどのように使われるのかを含めて、以下の構成で詳しく説明します。

オーバーライド（Override）とは？

オーバーライドとは、FortiGateが通常ブロックする通信やコンテンツに対して、一時的または条件付きでアクセスを許可する例外処理のことです。

ユーザーや管理者がこの制限を手動または自動で解除できる仕組みです。

主な利用シーンと適用対象

Webフィルタリングにおけるオーバーライドの仕組み

ブロックの対象

FortiGateでWebフィルターを有効にしていると、たとえば「SNS」カテゴリがブロック設定されている場合、そのカテゴリのサイト（例：Facebook）は全ユーザーに対して遮断されます。

オーバーライドの実行方法

ブロックされたページにアクセスすると、以下のようなページが表示されることがあります。

Access Denied
This website is categorized as "Social Networking" and has been blocked.
[Override] ボタン

この時、「Override」ボタンが表示されていれば、ユーザーはそれをクリックして制限解除の申請ができます。

認証方式と制御

オーバーライドのために、以下のような認証が必要になります。

• LDAP/ADユーザー認証
• ローカルユーザーアカウント
• RADIUS認証

これにより、「管理部門のユーザーだけがオーバーライドできる」などの制御が可能です。

オーバーライドの設定方法（Webフィルタ例）

以下はFortiGate GUIでの手順の一例です。

【ステップ1】セキュリティプロファイルを作成

1. Security Profiles > Web Filterに移動
2. 新規作成 or 既存プロファイルを編集
3. ブロックするカテゴリを設定（例：Social Networking → Block）
4. 「Enable Web Filter Override」にチェックを入れる

【ステップ2】オーバーライド設定

• オーバーライド方式を選択：
  • User Authentication Required
  • Administrator Override Only
• 必要であれば、有効時間（例：10分、1時間）を設定
• ログ出力設定も推奨（後で監査に使える）

【ステップ3】ポリシーに適用

作成したWebフィルタプロファイルを、対応するポリシー（IPv4/IPv6 Policy）に割り当てます。

CLIによる設定例

config webfilter profile
  edit "webfilter_profile"
    config override
      set status enable
      set user-group "OverrideUsers"
      set expiry 60  # 単位：分
    end
  next
end

ログと監査

• オーバーライドのログは「Log & Report > Web Filter」や「Forward Traffic」で確認可能
• 管理者によるオーバーライド操作、ユーザー名、IPアドレス、対象URL、オーバーライド時間などが記録されます

メリットと注意点

メリット

• 一時的なアクセス許可が可能（恒久的なポリシー変更が不要）
• 特定部署や管理者だけに柔軟なアクセスを許可
• ユーザーエクスペリエンス向上（柔軟な業務遂行）

注意点

• 誤用するとセキュリティリスクが高まる
• 誰が、いつ、なぜオーバーライドしたかを記録・監査すべき
• オーバーライド可能なユーザーの管理が重要（LDAPグループで制御推奨）

よくある質問（FAQ）

Q. オーバーライドの有効時間は設定できますか？

A. はい、10分、1時間など、任意の時間で設定可能です。

Q. ユーザーによるオーバーライド申請を完全に禁止できますか？

A. はい。ポリシー上のプロファイルで「オーバーライド無効化」にする、または、ユーザー認証方式を使わなければブロックのみが実施されます。

Q. ログに残らないことはありますか？

A. ログ設定が無効でない限り、オーバーライドは基本的にログに記録されます。ログ保存期間や容量設定も重要です。

補足：CLIでの確認コマンド

diagnose debug enable
diagnose debug application webfilter 255

このようなデバッグログを取ることで、オーバーライド処理の挙動を詳細に確認できます。

まとめ

FortiGateのオーバーライド機能は、組織内のセキュリティポリシーを堅牢に保ちながらも、「一部例外を柔軟に許可する」ための強力なツールです。

業務の円滑化とセキュリティの両立を実現するために、適切な設定と運用ルールを組み合わせて活用しましょう。

以上、FortiGateのオーバーライドについてでした。

最後までお読みいただき、ありがとうございました。