~FortiGate 技術ブログ~
IPSec-VPN設定方法 【はじめに】

SSL-VPNトンネルモードの廃止について

フォーティネット社より、FortiOS v7.6.3以降のバージョンでSSL-VPNトンネルモード(クライアントVPN)機能が廃止されることが発表されました。SSL-VPNは利用者が多いため、廃止のインパクトが強く、業界内で波紋が広がっています。 これを受けて、今後の運用と代替策についての案内をまとめました。

v7.6.3以降にアップグレードすると、SSL-VPNトンネルモード機能は消失します。本件に関するフォーティネット社のアナウンスは「v7.6.3のリリースノート」を参照してください。

SSL-VPNトンネルモード

廃止に至る経緯

SSL-VPNトンネルモードの廃止に至った理由について、フォーティネット社からの明確な公式見解は発表されていません。しかし、これまでの経緯を振り返ると、既に2023年度から、SSL-VPNの機能が縮小されてきたことが分かります。v7.6系からは搭載メモリ2GB以下の下位モデル(FG60E/FG80E/FG90E/FG40F/FG60F/FG61F)を始めとして全モデルにおいて順次廃止、新しく発売されるGシリーズの下位モデル(FG50G/FG70G/FG90G/FG91G)についてはバージョン問わず廃止となります。

時期 バージョン 対象 詳細
2023年8月 v7.4.1~ 全モデル WebGUIから非表示※
2024年10月 v7.0.16~ FG90G/91G 廃止
2024年11月 v7.6.0~ メモリ2GB以下のモデル 廃止
2025年5月 v7.6.3~ 全モデル 廃止
2025年6月 v7.4.8~ FG50G/70G 廃止

※設定変更により表示可能

これに伴い、代替策としてフォーティネット社はIPSec-VPNへの移行を推奨しています。元々SSL-VPNはFortiGateにとって負荷の高い機能でした。一方でIPSec-VPNは負荷が低く、より多くのユーザーからの通信を受け入れることができます。FortiGateのデータシートの数値を参照すると、SSL-VPNとIPSec-VPNのパフォーマンスには大きな差があることが分かります。また近年、SSL-VPNにおいて発見される脆弱性が増加傾向にあり、SSL-VPNの廃止はこれらの懸念から総合的に判断された結果であると考えられます。

SSL-VPNはいつまで使える?

SSL-VPNの廃止はFortiOS v7.6.3以降のバージョンが対象です。そのため、旧バージョンのv7.2系/v7.4系では引き続きSSL-VPN機能を利用可能です。詳細は下記の通りです。

機能 v7.2 / v7.4系 v7.6.3以降
SSL-VPNトンネルモード 継続利用可能です。ただし、Gシリーズの下位モデル(FG50G/FG70G/FG90G/FG91G)では利用不可です。 機能が廃止されているため、IPSec-VPNへの移行が必要です。
SSL-VPN Webモード 継続利用可能です。ただし、Gシリーズの下位モデル(FG50G/FG70G/FG90G/FG91G)では利用不可です。 「エージェントレスVPN」機能と名前を変えてサポートが継続されます。ただし、メモリ2GB以下の下位モデル、およびGシリーズの下位モデル(FG50G/FG70G/FG90G/FG91G)では利用不可です。

ただし、FortiOSのバージョンには、それぞれサポート期限があります。サポート期間中はSSL-VPNトンネルモードを継続利用できますが、期間が終了すると修正パッチの提供が停止されるため、いずれv7.6系へのアップグレードが必須となります。各バージョンのサポート終了日は下記の通りです。

バージョン サポート終了日
v7.2 2026年9月30日
v7.4 2027年11月11日
v7.6 2029年1月25日

また、FortiGateには機種ごとにハードウェアのサポート期限があります。たとえFortiOSの期限が切れていなくても、ハードウェアの期限が切れるとサポートを受けられなくなるので、この点にも注意が必要です。

ハードウェアのサポート終了日は Fortinet社製品販売終了/サポート終了日程一覧 を参照してください。

代替策はIPSec-VPNへの移行

IPSec-VPNは長く業界標準で使われている方式であり、移行後も安全に通信できます。また、FortiGateとのSSL-VPN接続に使われていたアプリケーション「FortiClient(または無償版のFortiClient VPN)」はIPSec-VPNにも対応しており、モードを切り替えることができます(新規作成で設定を追加してください)。

IPSec-VPNへの移行イメージ

ただし、IPSec-VPNとSSL-VPNは全く別の機能であり、両者には互換性がありません。従ってFortiGateをアップグレードしたり、FortiClientのモードを切り替えたりするだけでは、設定を移行できません。IPSec-VPNを利用するには、FortiGateとFortiClientの両方で設定のやり直しが必要です。このため、営業・経営層向けには「リモート接続は継続可能だが、VPNの種類が変わるため、設定変更が必要になる」と伝えると理解しやすいでしょう。

IPSec-VPNへの移行方法

v7.6.3以降にアップグレードすると、SSL-VPNトンネルモード機能は消失するため、現行システムでSSL-VPNを利用しているユーザーは、v7.4系のサポートが終了するまでに移行を完了させることが望まれます。SCSKでは、SSL-VPNからIPSec-VPNへの移行をスムーズに進めるため、日本語による手順を用意しています。不明な点がありましたら、弊社サポート窓口までお問合せください。

SSL-VPNを無効化する方法

IPSec-VPNへの移行が完了したら、SSL-VPNを無効化しておきましょう。[VPN] > [SSL-VPN設定]を選択し、[SSL-VPNステータス]を[無効]にして[適用]します。

SSL-VPN無効化

著者

著者イメージ
浦 弘平
ネットワークセキュリティ事業本部 カスタマーサポート部
誰もが知っているようで意外と知らない。今さら人に聞けない。
そんなかゆいところに手が届く情報や現場で役立つ豆知識を紹介していきます。

お問い合わせ

Fortinet製品に関する
問い合わせはこちらから

お役立ち資料

各種お役立ち資料も
取り揃えております

関連ブログ