FortiGateのサイジングについて

FortiGateのサイジング（sizing）は、ネットワーク環境に最適なFortiGate機種を選定するための非常に重要なプロセスです。

サイジングを誤ると、パフォーマンスのボトルネックやオーバースペックによる無駄なコストが発生するため、慎重に設計する必要があります。

以下では、FortiGateのサイジングを行う際に考慮すべきポイントやプロセス、よくある間違い、そして具体的な製品選定のための指標について詳しく解説します。

FortiGateのサイジングで考慮すべき主な要素

スループット要件

• ファイアウォールスループット（FW Throughput）
  • すべてのトラフィックがファイアウォールを通過するため、最小限必要な値。
• IPSスループット
  • IPS（侵入防止システム）を有効にした場合、スループットは低下するため、別途確認が必要。
• NGFW（次世代ファイアウォール）スループット
  • アプリケーション制御やWebフィルタなど、追加セキュリティ機能を使う場合のスループット。

同時セッション数（Concurrent Sessions）

• どのくらいのセッションを同時に処理できるか。
• ユーザー数が多い環境、またはトラフィックの多いWebサービスでは重要。

新規セッション毎秒（New Sessions per Second）

• セッションの生成頻度。
• 大規模なWebサイトやVPNゲートウェイ用途では重要。

インターフェース要件

• 1GbE / 10GbE / 40GbE などのポート構成。
• LACPや冗長構成を組む場合も事前にチェック。

サービス要件

• 使用予定の機能（例：SSLインスペクション、IPS、アプリ制御、アンチウイルス、VPNなど）によって必要なスペックは変動します。

サイジングの手順（設計プロセス）

ステップ1：要件定義

• 同時接続ユーザー数
• 最大帯域幅（上り・下り）
• トラフィックのピークタイム分析（ネットワーク監視ツールを活用）
• 必要な機能（SSL-VPN、SD-WAN、UTM機能など）

ステップ2：トラフィック特性の把握

• トラフィックの種類（Web、VoIP、ファイル共有、VPN）
• SSLトラフィックの割合（復号処理はCPUリソースを多く消費）

ステップ3：製品ラインアップから候補選定

Fortinetが提供するFortiGate製品のシリーズは以下のように分類されます。

ステップ4：マージンの見積もり

• 通常、ピークトラフィックの1.5〜2倍程度の余裕を持たせるのがベストプラクティスです。
• 将来のユーザー増加や機能追加も想定に含める。

Fortinet製品のスペック比較（例）

※ 数値はあくまでカタログスペックであり、実運用時は7〜8割程度で見積もるのが安全。

サイジングでよくある失敗例

• カタログスペックだけで決定してしまう
  • 実際の環境でのトラフィック特性や同時利用機能を無視してしまうとオーバーヘッドが発生しやすい。
• SSLインスペクションの影響を軽視
  • FortiGateはSSLトラフィックを復号して検査できますが、これはCPUを非常に消費します。専用のハードウェアアクセラレーション（CP9/NP6など）がない機種では極端にパフォーマンスが落ちることもあります。
• 将来的なスケーラビリティを考慮しない
  • ユーザー数や拠点の増加、セキュリティポリシーの強化で負荷が増すことを見越すべきです。

Fortinetのサイジングツール

Fortinetは公式に以下のようなサイジング支援ツールを提供しています。

• FortiConverter
  • 他社製UTMからFortiGateへの移行時に設定を変換。
• FortiPlanner
  • 主に無線（FortiAP）向けのツールだが、ネットワーク設計のヒントにも活用可。
• パートナー向け Fortinet Sizing Guide
  • 非公開資料だが、Fortinetの正規販売代理店から入手可能。要件ごとに推奨モデルを提示。

まとめ：FortiGateサイジングのポイント

以上、FortiGateのサイジングについてでした。

最後までお読みいただき、ありがとうございました。