FortiGateの管理者用のパスワード変更について

FortiGateファイアウォールの管理者用パスワードの変更は、セキュリティ上非常に重要な作業です。

ここでは、GUI（Webインターフェース）とCLI（コマンドライン）の両方を使った方法に加えて、ベストプラクティスや注意点も詳しく解説します。

FortiGateの管理者パスワード変更：基本知識

FortiGateでは管理者アカウント（例：admin）を使ってファイアウォールの設定や監視を行います。

特権管理者アカウントのパスワードは、定期的に変更すること、複雑で推測されにくいものにすることが推奨されています。

方法①：GUI（Webベースの管理画面）からパスワードを変更する方法

ステップバイステップガイド

1. ブラウザでFortiGateの管理画面にアクセス
   • 通常は https://<FortiGateのIPアドレス> でアクセスします。
2. 現在の管理者アカウントでログイン
   • 例：ユーザー名 admin
3. 右上のユーザー名をクリック → [パスワード変更（Change Password）] を選択
   • または、左側のメニューで「システム」＞「管理者」＞「管理者アカウント」を選択してもOK
4. 現在のパスワードと新しいパスワードを入力
   • 新しいパスワードは FortiGateのポリシーにより、
     • 最小長（通常は8文字以上）
     • 英大文字、小文字、数字、記号の組み合わせ
     • 過去に使用したパスワードは使用不可（設定による）
       などの条件を満たす必要があります。
5. [OK] または [適用] をクリックして変更を保存

方法②：CLI（コマンドラインインターフェース）での変更方法

SSHやコンソール接続後に以下のように入力

config system admin
edit admin
set password <新しいパスワード>
next
end

<新しいパスワード> の部分は適切なものに置き換えてください。

例

config system admin
edit admin
set password S3cur3P@ssw0rd!
next
end

※CLIでは打ち間違いしても画面上にパスワードが表示されてしまうことがあるため注意が必要です。

ベストプラクティスと注意点

パスワード設計のポイント

• 12文字以上推奨
• 数字・記号・大小文字を組み合わせる
• 個人情報（誕生日、社名、adminなど）を含めない
• 定期的（例：90日ごと）に変更する

万が一忘れた場合の対処法

• ローカル管理者のパスワードを忘れた場合
  • 物理的なコンソール接続が必要です。
  • FortiGateが「password recovery mode」をサポートしている場合は、再起動時にブートメニューからリカバリが可能です。
  • 旧機種や特定のモデルでは出荷時リセット（すべての設定が初期化）しかない場合もあります。

多数の管理者がいる場合

• 個別の管理者アカウントを作成し、それぞれに異なるパスワードを割り当てる。
• アクセスログ監査のためにもアカウントの共有は避ける。

その他Tip

まとめ

よくある質問（FAQ）

Q1. CLIでパスワードがマスキングされず表示されてしまいます。どうすれば？
→ FortiGateのCLIではset password時に平文で入力する必要があります。入力後に履歴に残らないよう注意しましょう。履歴クリアもおすすめです。

Q2. GUIがロックされて入れません。
→ ログイン失敗回数によるロックの可能性があります。一定時間後に再試行、または別の管理者から解除操作を行ってください。

Q3. 全管理者のパスワードを一斉に変更できますか？
→ スクリプトやAPIで複数のアカウント変更は可能ですが、慎重にテスト環境で確認してから行うことを推奨します。

以上、FortiGateの管理者用のパスワード変更についてでした。

最後までお読みいただき、ありがとうございました。