FortiGateのポリシーIDについて

FortiGateファイアウォールの運用において、「ポリシーID（Policy ID）」はセキュリティポリシーを一意に識別するための非常に重要な要素です。

ログ分析、ポリシーの管理、トラブルシューティングなど、あらゆる場面で活用される基盤情報となります。

ポリシーIDとは？

定義と役割

ポリシーIDは、FortiGateに設定された各ファイアウォールポリシーに自動で割り当てられる一意の番号です。

この番号は、以下のような用途で使用されます。

• ポリシーの一意な識別
• トラフィックログやイベントログへの出力
• CLIによる個別ポリシーの設定・編集
• トラブル発生時のログ追跡

ポリシーIDの具体的な活用例

ログ分析

FortiGateはトラフィックログに policyid を含めて出力します。

これにより、どのポリシーによって通信が許可・拒否されたかを特定することができます。

ログ例

date=2025-06-25 time=14:22:01 policyid=5 action=accept src=192.168.1.10 dst=10.0.0.5 service=HTTP

この例では、「ポリシーID = 5」のルールが該当トラフィックを許可したことがわかります。

CLIでのポリシー操作

ポリシーIDはCLIでの設定変更や確認にも活用されます。

たとえば、ポリシーID 5 を編集する場合は以下のように操作します。

config firewall policy
edit 5
set action deny
next
end

また、現在のポリシー一覧を確認するには以下のように入力します。

config firewall policy
show

CLI上では各ポリシーが edit [ID] という形式で表示され、そのブロック内に詳細な設定内容が続きます。

GUIとの違いに注意

GUIで表示されるポリシーの「番号（表示順）」は、実際のポリシーIDとは異なります。

たとえGUI上でポリシーの並び順を変更しても、ポリシーIDは変わりません。

そのため、ログとポリシーを突き合わせる際は、表示順ではなくポリシーIDで照合することが重要です。

ポリシーIDに関する注意点

再利用の可能性

削除されたポリシーIDは、通常の運用では即座に再利用されることはありません。

ただし以下のケースでは再利用される可能性があります。

• FortiGateを再起動した後
• コンフィグファイルのインポートやリストアを実行した後
• FortiManagerを使ってポリシーを再展開した場合

そのため、ログを分析する際にはポリシーIDだけに頼らず、ポリシーの中身（ソース／宛先／サービス／アクション）と組み合わせて確認することが推奨されます。

ポリシーIDの手動設定は不可

ポリシーIDはFortiGateによって自動的に割り振られるため、管理者が任意のIDを設定することはできません。

IDの付与順は作成された順番に依存しています。

grepによるポリシー検索時の注意

ポリシーIDを特定して設定を確認する際は、以下のように edit [ID] を含む行をgrepで検索するのが実用的です。

show firewall policy | grep -A 10 "edit 5"

policyid という文字列は show 出力には明示されないため、edit をキーワードに検索する方法が現実的です。

FortiAnalyzerやFortiManagerとの連携における補足

大規模な環境では、FortiAnalyzerやFortiManagerを使ってポリシーやログを一元管理することが一般的です。

これらのツールでは、ポリシーIDに加えてUUID（ユニバーサル一意識別子）を併用するケースが増えています。

たとえば

• FortiAnalyzerでは policyid と policy-uuid の両方をログフィルターとして使用可能
• FortiManagerでは、ポリシーのテンプレートやバージョン管理で UUID を基準に識別される場合がある

まとめ

以上、FortiGateのポリシーIDについてでした。

最後までお読みいただき、ありがとうございました。