~FortiGate 技術ブログ~
IPSec-VPN設定方法 【はじめに】
SSL-VPNトンネルモードの廃止について
フォーティネット社より、FortiOS v7.6.3以降のバージョンでSSL-VPNトンネルモード(クライアントVPN)機能が廃止されることが発表されました。SSL-VPNは利用者が多いため、廃止のインパクトが強く、業界内で波紋が広がっています。 これを受けて、今後の運用と代替策についての案内をまとめました。
v7.6.3以降にアップグレードすると、SSL-VPNトンネルモード機能は消失します。本件に関するフォーティネット社のアナウンスは「v7.6.3のリリースノート」を参照してください。
フォーティネット社からの発表
【リリースノート】
SSL VPN tunnel mode replaced with IPsec VPN
SSL VPN removed from 2GB RAM models for tunnel and web mode
Agentless VPN (formerly SSL VPN web mode) not supported on FortiGate 40F, 60F, and 90G series models
SSL VPN not supported on FortiGate G-series Entry-Level models
【IPSec-VPN移行ガイド】
FortiGate / FortiOS 7.6.0 SSL VPN to IPsec VPN Migration
FortiGate / FortiOS 7.4.4 SSL VPN to IPsec VPN Migration
【Fortinet Knowledge Base】
Technical Tip: SSL VPN support on FortiGate models
廃止に至る経緯
SSL-VPNトンネルモードの廃止に至った理由について、フォーティネット社からの明確な公式見解は発表されていません。しかし、これまでの経緯を振り返ると、既に2023年度から、SSL-VPNの機能が縮小されてきたことが分かります。v7.6系からは搭載メモリ2GB以下の下位モデル(FG60E/FG80E/FG90E/FG40F/FG60F/FG61F)を始めとして全モデルにおいて順次廃止、新しく発売されるGシリーズの下位モデル(FG50G/FG70G/FG90G/FG91G)についてはバージョン問わず廃止となります。
| 時期 | バージョン | 対象 | 詳細 |
|---|---|---|---|
| 2023年8月 | v7.4.1~ | 全モデル | WebGUIから非表示※ |
| 2024年10月 | v7.0.16~ | FG90G/91G | 廃止 |
| 2024年11月 | v7.6.0~ | メモリ2GB以下のモデル | 廃止 |
| 2025年5月 | v7.6.3~ | 全モデル | 廃止 |
| 2025年6月 | v7.4.8~ | FG50G/70G | 廃止 |
※設定変更により表示可能
これに伴い、代替策としてフォーティネット社はIPSec-VPNへの移行を推奨しています。元々SSL-VPNはFortiGateにとって負荷の高い機能でした。一方でIPSec-VPNは負荷が低く、より多くのユーザーからの通信を受け入れることができます。FortiGateのデータシートの数値を参照すると、SSL-VPNとIPSec-VPNのパフォーマンスには大きな差があることが分かります。また近年、SSL-VPNにおいて発見される脆弱性が増加傾向にあり、SSL-VPNの廃止はこれらの懸念から総合的に判断された結果であると考えられます。
SSL-VPNはいつまで使える?
SSL-VPNの廃止はFortiOS v7.6.3以降のバージョンが対象です。そのため、旧バージョンのv7.2系/v7.4系では引き続きSSL-VPN機能を利用可能です。詳細は下記の通りです。
| 機能 | v7.2 / v7.4系 | v7.6.3以降 |
|---|---|---|
| SSL-VPNトンネルモード | 継続利用可能です。ただし、Gシリーズの下位モデル(FG50G/FG70G/FG90G/FG91G)では利用不可です。 | 機能が廃止されているため、IPSec-VPNへの移行が必要です。 |
| SSL-VPN Webモード | 継続利用可能です。ただし、Gシリーズの下位モデル(FG50G/FG70G/FG90G/FG91G)では利用不可です。 | 「エージェントレスVPN」機能と名前を変えてサポートが継続されます。ただし、メモリ2GB以下の下位モデル、およびGシリーズの下位モデル(FG50G/FG70G/FG90G/FG91G)では利用不可です。 |
ただし、FortiOSのバージョンには、それぞれサポート期限があります。サポート期間中はSSL-VPNトンネルモードを継続利用できますが、期間が終了すると修正パッチの提供が停止されるため、いずれv7.6系へのアップグレードが必須となります。各バージョンのサポート終了日は下記の通りです。
| バージョン | サポート終了日 |
|---|---|
| v7.2 | 2026年9月30日 |
| v7.4 | 2027年11月11日 |
| v7.6 | 2029年1月25日 |
また、FortiGateには機種ごとにハードウェアのサポート期限があります。たとえFortiOSの期限が切れていなくても、ハードウェアの期限が切れるとサポートを受けられなくなるので、この点にも注意が必要です。
ハードウェアのサポート終了日は Fortinet社製品販売終了/サポート終了日程一覧 を参照してください。
代替策はIPSec-VPNへの移行
IPSec-VPNは長く業界標準で使われている方式であり、移行後も安全に通信できます。また、FortiGateとのSSL-VPN接続に使われていたアプリケーション「FortiClient(または無償版のFortiClient VPN)」はIPSec-VPNにも対応しており、モードを切り替えることができます(新規作成で設定を追加してください)。
ただし、IPSec-VPNとSSL-VPNは全く別の機能であり、両者には互換性がありません。従ってFortiGateをアップグレードしたり、FortiClientのモードを切り替えたりするだけでは、設定を移行できません。IPSec-VPNを利用するには、FortiGateとFortiClientの両方で設定のやり直しが必要です。このため、営業・経営層向けには「リモート接続は継続可能だが、VPNの種類が変わるため、設定変更が必要になる」と伝えると理解しやすいでしょう。
IPSec-VPNへの移行方法
v7.6.3以降にアップグレードすると、SSL-VPNトンネルモード機能は消失するため、現行システムでSSL-VPNを利用しているユーザーは、v7.4系のサポートが終了するまでに移行を完了させることが望まれます。SCSKでは、SSL-VPNからIPSec-VPNへの移行をスムーズに進めるため、日本語による手順を用意しています。不明な点がありましたら、弊社サポート窓口までお問合せください。
SSL-VPNを無効化する方法
IPSec-VPNへの移行が完了したら、SSL-VPNを無効化しておきましょう。[VPN] > [SSL-VPN設定]を選択し、[SSL-VPNステータス]を[無効]にして[適用]します。
著者
関連製品
-
FortiGate/FortiGateCloud強固なセキュリティ機能を一台で提供する統合脅威管理(UTM)アプライアンスです。- Cloud / SaaS
- Network Security
- OT Security