FortiGateのVDOMとは

概要

VDOM（Virtual Domain）は、FortiGateに搭載されている仮想ファイアウォール機能です。

1台の物理FortiGateを、複数の独立した論理ファイアウォールに分割し、あたかも別々の装置として運用できます。

各VDOMは個別にセキュリティポリシー、ルーティング、VPN設定を持ち、他のVDOMに影響されません。

主なメリット

• マルチテナント対応
  ISPやMSPなどが、顧客ごとに独立したセキュリティ環境を1台のFortiGate上に構築可能。
• ネットワーク分離
  社内では部門や環境（本番／検証／開発）ごとにVDOMを割り当て、完全に独立したセキュリティゾーンを形成できる。
• コスト削減
  複数台の物理機器を導入する代わりに、1台で複数環境を収容でき、機器や運用コストを抑制できる。

VDOMの種類と特徴

• NAT/Route VDOM（デフォルト）
  IPルーティングやNATを行い、従来のFortiGateと同様の動作をするモード。
• Transparent VDOM
  L2ブリッジとして動作し、既存のIP設計を変更せずにセキュリティ機能を提供可能。NATは行わない。

さらに、異なるVDOM間で通信を行う場合には inter-VDOM link（仮想インターフェース）を用いて接続する。

管理と権限分離

• グローバル管理者：すべてのVDOMを統括管理。
• VDOM管理者：割り当てられた特定のVDOMのみを管理。

これにより、利用者や部門ごとに管理権限を分離できる。

リソースとライセンス

• リソース共有
  CPU・メモリ・セッション数は物理筐体全体で共有。VDOMごとにリソース消費を監視し、過負荷を避ける設計が重要。
• サポート数とライセンス
  機種によって標準で利用可能なVDOM数が決まっており、一般的に多くのモデルは「10 VDOM」がデフォルト。
  さらに必要な場合は「VDOMアップグレードライセンス」によって拡張可能（FortiGate-VMも同様）。

代表的なユースケース

• 社内の部門分離
  例：営業部用VDOM、開発部用VDOM、管理部用VDOM
• マネージドサービス事業者
  顧客ごとにVDOMを割り当て、1台で複数顧客をホスティング
• 検証／実験環境
  本番環境に影響を与えず、新しいポリシーや設定を別VDOMでテスト

まとめ

FortiGateのVDOMは、1台を複数の独立したファイアウォールとして活用できる仕組みであり、マルチテナントや部門分離、運用コスト削減に有効です。

特にTransparentモードやinter-VDOM linkを組み合わせれば、既存ネットワークを大きく変えずに柔軟な設計が可能になります。

以上、FortiGateのVDOMについてでした。

最後までお読みいただき、ありがとうございました。