Fortinet商品など
FortiGateのWebフィルタリングによる除外について
FortiGateのWebフィルタリングは、ネットワーク上のWebアクセスを制御する強力なセキュリティ機能です。
しかし、運用上は「ブロック対象の中でも一部のサイトだけは許可したい」といったニーズが頻繁に発生します。
これに対応するのが除外設定(例外設定)です。
本記事では、除外設定の概要から具体的な設定方法、注意点や活用事例まで、実務に即した形で詳しく解説します。
FortiGateのWebフィルタリングとは
FortiGateのWebフィルタは、以下の基準でユーザーのWebアクセスをリアルタイムに制御します。
- カテゴリ(例:アダルト、ギャンブル、SNSなど)
- 評判スコア(信頼できないサイト、マルウェア配布元など)
- 明示的なURL/ドメイン指定
- ファイルタイプやキーワード
これらの制御は、Webフィルタプロファイルとして定義され、ファイアウォールポリシーと組み合わせて適用されます。
除外(例外)設定とは
除外設定とは、Webフィルタで本来ブロック対象になるはずのサイトを、個別に許可する設定のことです。
たとえば、
- 「クラウドストレージカテゴリはブロックするが、
dropbox.comは許可したい」 - 「教育環境でSNSは制限したいが、
youtube.comの一部動画だけ使いたい」
といったニーズに対応するために、除外ルールを使います。
除外設定の基本:Static URL Filter(静的URLフィルタ)
GUIでの設定手順(FortiOS 7.x以降)
- FortiGate管理画面にログイン
- 左メニューより「Security Profiles(セキュリティプロファイル) > Web Filter」を開く
- 対象のWebフィルタプロファイルを選択して編集
- 「Static URL Filter」を有効化
- 「URL Filter」セクションで「Create New」をクリック
- 以下のように設定:
- URL:例:
example.com(除外したいサイト) - Type:
SimpleまたはRegex - Action:
Allow - Status:
Enable
- URL:例:
- 保存してWebフィルタプロファイルを適用
ポイント:FortiGateではURLフィルタのルールがカテゴリ判定より優先されるため、ブロックカテゴリに該当するサイトでも
Allow指定すればアクセス可能になります。
除外対象の指定方法に関する注意点
サブドメインの扱いに注意
example.comをSimpleで指定した場合、www.example.comやsub.example.comは対象外になります。- サブドメイン全体を対象にしたい場合は、FortiOSバージョンによって以下の方法を検討します:
| 書き方 | 意味 |
|---|---|
.example.com |
全サブドメイン(FortiOSにより挙動差あり) |
*.example.com |
ワイルドカードによる指定(ただしRegexモードが必要) |
Regexモードで .*\.example\.com |
正確に全サブドメインをカバー可能 |
HTTPSサイトと除外設定:SSLインスペクションの必要性
現代のWebサイトの大半はHTTPSです。
この場合、FortiGateはドメインレベルの判定しかできません。
example.comというドメイン名は見ることができますが、example.com/path/page.htmlの「パス部分」はSSL通信の中にあるため見ることができません。
したがって、特定ページ単位で除外したい場合には「SSL Deep Inspection(SSL復号)」の設定が必要です。
CLIによる除外設定の例
CLIから設定する場合は以下のようにします。
config webfilter profile
edit "default"
config web
set urlfilter-table 1
end
config urlfilter
edit 1
set url "example.com"
set type simple
set action allow
set status enable
next
end
next
end
上記の
"default"はプロファイル名、urlfilter-table 1はフィルタテーブル番号です。環境に合わせて適宜変更してください。
除外設定の活用事例
| シナリオ | 解説 |
|---|---|
| 業務上必要なクラウドストレージの許可 | dropbox.com などを個別にAllow |
| SNSを全面ブロックしつつ広報部門だけ使用可 | Webフィルタプロファイルをユーザーグループで分ける |
| 教育用途で一部YouTube動画を許可 | SSL復号を併用して特定URLを許可(実運用では難易度高め) |
注意点とベストプラクティス
除外のしすぎに注意
除外が多すぎるとセキュリティが甘くなり、本末転倒です。
ログとレポートの活用
「除外したサイトに誰がいつアクセスしたか」をログで追跡し、必要に応じて監査しましょう。
バージョンごとの仕様確認
FortiOSのバージョンにより、サブドメインの処理やフィルタリングエンジンの挙動が異なる場合があります。
まとめ
- Webフィルタによる除外設定は、Static URL Filterが基本
- HTTPSサイトにはSSLインスペクションが必要
- 除外ルールは最小限・精査のうえで設定するのが鉄則
- URLフィルタがカテゴリより優先されるというFortiGateの処理順を理解することが重要
以上、FortiGateのWebフィルタリングによる除外についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
