FortiGateのセッション数について

FortiGateの「セッション数」について詳しく解説します。

これはFortiGateを導入する上で非常に重要な概念で、性能評価やライセンス選定、運用監視に直結します。

以下では、セッションの定義・仕組み・制限値・監視方法・運用のポイントに分けて整理します。

セッションの定義とは？

FortiGateにおける「セッション」とは、基本的にファイアウォールが管理している通信フローの単位を指します。

• TCPセッションであれば、1つのTCPコネクション（例：クライアントとサーバー間のHTTP通信）
• UDPやICMPなど、コネクションレス型の通信はFortiGate内部で仮想的に「セッション」として扱われ、タイマー管理されます。

つまり、ユーザーがWebを閲覧したり、メールを送受信したりする度に、FortiGate内部ではセッションテーブルにエントリが作成されます。

FortiGateのセッション管理の仕組み

FortiGateは状態保持型（Stateful Inspection）のファイアウォールであり、セッションごとに以下の情報を保持します。

• 送信元IP / ポート
• 宛先IP / ポート
• 使用プロトコル（TCP/UDP/ICMP など）
• NAT変換情報
• セッションタイマー（例：TCP idle timeout、UDP idle timeout）

このセッション情報を参照することで、FortiGateは戻りのパケットを許可するかどうか、またセキュリティプロファイル（IPS/AV/SSLインスペクション等）を適用するかを判断します。

FortiGateのセッション数制限（機種依存）

FortiGateにはモデルごとに同時セッション数の上限値が存在します。

これはデータシートに「最大セッション数」として明記されます。

例

• FortiGate 40F … 約70万セッション
• FortiGate 100F … 約260万セッション
• FortiGate 600F … 数千万セッションクラス

この上限を超えると、新規セッションが確立できず、通信が拒否されることがあります。

そのため、設計段階で利用者数・トラフィック規模・アプリケーション特性を考慮して機種を選定する必要があります。

セッション数の確認方法

運用中にセッション数を確認する方法はいくつかあります。

CLIでの確認

get system performance status

• セッション数（現在の数と最大数）が表示される

diag sys session list

• 実際のセッションエントリを詳細表示

GUIでの確認

• 「Dashboard」 → 「FortiView」や「システム情報」から現在のセッション数をモニタ可能

セッション数監視のポイント

• 平常時のベースラインを把握
  → 通常利用でどれくらいのセッション数かを定期的に記録しておく
• スパイク検知
  → DDoS攻撃やウイルス感染端末があると急激にセッション数が増加する
• しきい値アラート
  → SNMPやSyslogで監視し、上限の70〜80％に到達したらアラートを出す

運用上の注意点

• NATセッションが多い環境では上限に達しやすい
  → 特にプロキシやVDI環境では1ユーザーが数十〜数百のセッションを持つことがある
• セッションタイムアウトの調整
  → 不要に長いセッションが残らないように、config system session-ttl で調整可能
• SSLインスペクションやIPS利用時はセッション負荷が増大
  → CPU/メモリリソース消費も高まるため、実効性能を考慮する必要あり

まとめ

FortiGateにおける「セッション数」は、性能の上限を示す重要な指標であり、機種選定・監視・運用設計に直結します。

• セッション＝通信フローを保持する単位
• モデルごとに最大セッション数が異なる
• CLI/GUIでリアルタイム確認可能
• 上限に近づくと通信障害リスクがあるため、監視とキャパシティ設計が必須

以上、FortiGateのセッション数についてでした。

最後までお読みいただき、ありがとうございました。