FortiGateの二要素認証について

FortiGateの二要素認証（2FA）は、セキュリティ強化のために非常に重要な機能です。

ここでは、仕組み・導入方法・運用上の注意点を体系的にまとめます。

FortiGateにおける二要素認証の概要

• 一要素認証：従来のユーザー名とパスワードによるログイン
• 二要素認証：上記に加えて、ワンタイムパスワード（OTP）やトークンなどを用いて本人確認を行う仕組み

FortiGateでは、管理者ログインやSSL VPN接続時に2FAを適用できます。

これにより、不正アクセスリスクを大幅に減らすことが可能です。

利用できる認証方式

FortiGateは複数の2FA方式をサポートしています。

• FortiToken
  • ハードウェアトークン（物理キー）
  • ソフトウェアトークン（スマホアプリ：FortiToken Mobile）
  • 30秒ごとに生成されるワンタイムパスワード（OTP）を入力
• メール／SMSによるワンタイムパスワード
  • FortiGateがユーザーにワンタイムパスワードを送信
  • 一般的な二段階認証のイメージ
• 外部認証サーバー連携
  • RADIUSやLDAPサーバーとの連携により、既存のMFA基盤を利用可能
  • 例：Azure AD MFA、Okta、Duo Securityなど

設定の流れ（SSL VPNに2FAを適用する場合の例）

1. ユーザー登録
   • FortiGate内、またはLDAP/AD経由でユーザーを作成
2. トークンの割り当て
   • FortiToken（Mobileやハードウェアキー）をユーザーに関連付け
3. 認証ルール設定
   • SSL VPNの認証ルールに「二要素認証」を有効化
4. テスト接続
   • ユーザー名＋パスワード入力後、トークンコード入力を確認
   • 問題なくログインできるか検証

管理画面へのログインに2FAを適用する場合

• HTTPS管理GUIやSSH/Telnetログインに対しても2FAを適用可能
• 管理者アカウントごとにFortiTokenを割り当てられる
• 特に外部から管理画面へアクセスする場合は必須

運用上の注意点

• トークン紛失リスク
  紛失時には管理者がトークンの無効化・再発行を即時対応できる体制が必要
• バックアップアカウント
  認証障害やトークン未配布時に備え、非常用アカウントを用意しておく
• ログ監査
  二要素認証失敗・トークン利用状況をFortiAnalyzerやSyslogに送信して監査
• ライセンス制限
  FortiTokenにはライセンス制約があるため、導入前に必要数を確認

メリット

• 不正ログインのリスクを大幅に軽減
• VPNを利用したテレワーク環境の安全性が向上
• 管理者アクセスのセキュリティ強化

まとめ

FortiGateの二要素認証は、FortiToken（Mobile/ハードウェア）、メールOTP、外部MFAサービス連携と柔軟に選べます。

特にSSL VPNや管理画面へのアクセス時に導入することで、セキュリティレベルを飛躍的に高めることが可能です。

以上、FortiGateの二要素認証についてでした。

最後までお読みいただき、ありがとうございました。