FortiGateのスプリットトンネルについて

FortiGateの「スプリットトンネル（Split Tunnel）」は、リモートアクセスVPN（特にSSL-VPNやIPSec VPN）でよく使用されるネットワーク設定機能の一つで、クライアントからのトラフィックの一部だけをVPNトンネル経由で送信し、他のトラフィックはローカルのインターネット接続を使用させる仕組みです。

これは、リモートワーク環境や支店接続などで、帯域の最適化、セキュリティポリシーの柔軟な運用、そしてユーザー体験の向上を図るために非常に有効な技術です。

スプリットトンネルの基本概念

通常のVPN接続（フルトンネル）では、リモートユーザーのすべてのネットワークトラフィック（例：Google検索、社内サーバアクセスなど）がVPNを通って本社のネットワークに入り、そこから外部インターネットへアクセスされます。

一方、スプリットトンネルでは、以下のように振り分けられます。

FortiGateにおけるスプリットトンネルの種類

FortiGateでは主に以下の2つの方式でスプリットトンネルが構成されます。

SSL-VPNでのスプリットトンネル

FortiClientなどを使ったリモートアクセスVPNでの構成が一般的です。

• 設定場所：
  FortiGate GUIまたはCLI
  → VPN > SSL-VPN Settings > Portal
• 設定手順（GUIの場合）：
  1. FortiGateのGUIにログイン
  2. 「VPN」 > 「SSL-VPN設定」へ進む
  3. ポータル設定（例："full-access", "split-tunnel-access" など）を開く
  4. Enable Split Tunneling にチェックを入れる
  5. Routing Address でVPNトンネルに通す社内のIP範囲（例：10.0.0.0/8, 192.168.0.0/16など）を指定
  6. 保存して完了
• トラフィック例：
  • 10.1.2.3 → VPNを通る（社内ネット）
  • 8.8.8.8 → ローカル回線を使用（Google DNS）

IPSec VPNでのスプリットトンネル

IPSecベースのVPNでもスプリットトンネルは可能です。

• クライアントに配布するPhase2のProxy-ID（トラフィック選択）で、VPNトンネルを通す対象アドレスを定義します。
• FortiClientまたは他のVPNクライアントでも同様に、"split tunneling" のルールに基づいて処理されます。

スプリットトンネルを使うメリット

スプリットトンネルの注意点とリスク

スプリットトンネルは便利な反面、セキュリティリスクも伴います。

対策としては以下のようなものが挙げられます。

• FortiClientのエンドポイントセキュリティ機能を併用してローカル保護を強化する
• ZTA（ゼロトラスト）構成を検討する
• DNSやWebトラフィックのセキュリティ（例：FortiGuard DNSフィルタ）を強化する

FortiGate CLIによる設定例（SSL-VPN）

config vpn ssl web portal
    edit "split-access"
        set tunnel-mode enable
        set split-tunneling enable
        set split-tunneling-routing-address "Internal_Net"
    next
end

この構成では、"Internal_Net"に定義されたアドレス範囲だけがVPNを通るようになります。

まとめ

以上、FortiGateのスプリットトンネルについてでした。

最後までお読みいただき、ありがとうございました。