FortiGateのホワイトリストについて

FortiGateのホワイトリストについて詳しく解説します。

FortiGateはFortinet社のUTM/次世代ファイアウォール製品で、通信制御・セキュリティ対策の一環として「許可リスト」を作成・管理することができます。

FortiGateにおけるホワイトリストの役割

ホワイトリストとは、「明示的に許可する通信先やサービスの一覧」のことです。

これを設定することで、不要な通信を遮断しつつ、必要な通信は確実に通すことができます。

逆に「ブラックリスト」は禁止対象を定義しますが、ホワイトリストは許可対象を定義するため、より厳格なセキュリティ運用になります。

主な利用シーン

• 特定のWebサイトだけアクセス許可（例：業務で必要なSaaSのみ利用可能にする）
• 特定の送信元IP/クライアントからの通信のみ許可
• セキュリティフィルタ（Web Filter、Application Control、IPS）における例外設定
• メールやVPNの通信における信頼済み宛先の指定

設定できるホワイトリストの種類

FortiGateでは用途に応じて複数のレイヤーでホワイトリストを構成できます。

アドレス・サービスベース

• アドレスオブジェクト：特定のIPアドレスやドメインを登録
• サービスオブジェクト：特定のポートやプロトコルを登録
• ファイアウォールポリシーに組み込み、許可リストを作成可能

Webフィルターホワイトリスト

• URLフィルタリング機能で「例外URL」として登録
• カテゴリでブロックされるサイトでも、ホワイトリストに登録すればアクセス可能

アプリケーションコントロール例外

• 特定アプリケーションをブロックする中で、一部のアプリだけホワイトリストに登録
• 業務で必須なクラウドサービスなどに使われる

DNSフィルタホワイトリスト

• 危険サイト検知やカテゴリブロックを使う場合に、特定ドメインを除外可能

メールフィルタホワイトリスト

• スパムフィルタやアンチスパム機能で、信頼済みの送信者アドレス/ドメインを許可

設定方法の概要

管理者GUI（Web管理画面）またはCLIから設定可能です。

GUI例（Webフィルタホワイトリスト）

1. Security Profiles → Web Filter を開く
2. 対象プロファイルを編集
3. 「URL Filter」セクションで Create New
4. 許可するURLを入力し、Action = Exempt に設定
5. このWebフィルタープロファイルをファイアウォールポリシーに適用

CLI例（アドレスホワイトリスト）

config firewall address
    edit "TrustedSite"
        set type fqdn
        set fqdn "example.com"
    next
end

config firewall policy
    edit 10
        set srcintf "port1"
        set dstintf "port2"
        set srcaddr "all"
        set dstaddr "TrustedSite"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

ホワイトリスト運用の注意点

• 管理負荷：対象が多いとリストの保守が大変になるため、定期的に見直す必要あり
• セキュリティバランス：ホワイトリストに入れる＝検査をスキップするケースもあるため、安易に追加すると脅威を見逃す可能性あり
• ログ確認：アクセスが拒否された際に「本当に必要な通信かどうか」をログで分析してから追加するのが望ましい

まとめ

FortiGateのホワイトリストは、IP・URL・ドメイン・アプリケーション・メール送信元など多層的に設定でき、セキュリティ運用を細かく制御するために使われます。

業務に必要な通信を確保しつつ不要・危険な通信を遮断するため、導入時は「最小限必要なものだけを許可する」という考え方が重要です。

以上、FortiGateのホワイトリストについてでした。

最後までお読みいただき、ありがとうございました。