FortiGateのパスワードポリシーの設定方法について

FortiGateのパスワードポリシーを設定することで、管理者やユーザーのアカウントに対して、より強固なセキュリティ対策を実施できます。

FortiGateでは、GUI（Webベースの管理画面）またはCLI（コマンドラインインターフェース）のいずれかからパスワードポリシーを設定できます。

以下では、GUI と CLI の両方の方法を、網羅的にかつ実務で役立つレベルで解説します。

FortiGate パスワードポリシーの主な設定項目

パスワードポリシーでは、以下のような項目が設定可能です。

GUI（Webインターフェース）での設定方法

管理者パスワードポリシーを設定する手順

1. FortiGateのWeb管理画面にログイン
2. 左メニューから「System（システム）」 → 「Administrators（管理者）」を開く
3. 「Password Policy（パスワードポリシー）」のセクションを見つけて「Edit（編集）」をクリック
4. 以下の項目を設定：
   • Enable Password Policy（ポリシーの有効化）：ONにする
   • Minimum Password Length：例：8文字
   • Require password complexity（複雑さの要件）：チェックを入れると、以下が必須
     • 英大文字
     • 英小文字
     • 数字
     • 特殊文字（例：@#$%など）
   • Password Expiry（有効期限）：例：90日
   • Reuse Limit（再使用禁止）：直近N個のパスワードを再利用不可に設定（例：5）
5. 「OK」または「Apply」で保存

CLI（コマンドライン）での設定方法

CLIでは、より詳細に設定をカスタマイズできます。

パスワードポリシーの有効化と設定

config system password-policy
    set status enable
    set minimum-length 8
    set must-contain upper-case lower-case number special-character
    set expire-days 90
    set reuse-password 5
end

各コマンドの意味

• set status enable: パスワードポリシーを有効にする
• set minimum-length 8: 最低8文字以上
• set must-contain: パスワードに含める文字種（複数指定可）
• set expire-days 90: 90日で有効期限切れ
• set reuse-password 5: 直近5つのパスワードは再利用不可

CLIの強み：GUIよりも柔軟かつ一括設定しやすい

パスワード試行失敗によるロック（Brute-force対策）

ユーザーや管理者のログイン試行失敗によるロックアウトは、以下のように設定します。

config system global
    set admin-lockout-threshold 3        ← 3回失敗でロック
    set admin-lockout-duration 600       ← ロック時間：600秒（10分）
end

この設定により、不正アクセス試行への防御を強化できます。

FortiGateのバージョンごとの注意点

• v6.0以降：パスワードポリシー機能が拡充
• v7.x系：GUI上のメニュー構成が若干異なるため、設定箇所の名称に注意
• v7.2以降：CLIでさらに細かい制御が可能（例：同一文字の連続利用制限など）

実務におけるベストプラクティス（推奨設定）

企業環境であれば、Active Directory連携やFortiAuthenticatorとの併用によって、さらなる強化も可能です。

FortiGateにおけるパスワードポリシー設定は、セキュリティ対策の基本中の基本です。

GUI・CLIどちらでも設定可能で、管理者のログイン制御、パスワードの強度、有効期限、再利用制限などが細かく制御できます。

定期的な見直しやログ監視と組み合わせて、多層的なセキュリティ管理を実践することが重要です。

以上、FortiGateのパスワードポリシーの設定方法についてでした。

最後までお読みいただき、ありがとうございました。