高機能UTM「FortiGate 620B」を評価してみました

UTM開発をメイン事業と掲げるフォーティネット社の中規模ビジネスモデル「Fortigate620B」の使用感レビューをまとめました。

ログの分析用アプライアンスである「FortiAnalyzer」についても合わせて評価しています。

実際に導入したFortigate620B周辺の構成と費用

実際に導入した構成図が下図になります。

負荷分散と冗長化の為にFortiGate620Bを2台購入し、周りの機器には１台として認識させるように、WAN側とLAN側をスイッチで集約しています。

上記の機器構成で購入した場合の大まかな価格です。
（若干の値引き分も反映しましたが、飽くまでも参考程度にご覧ください）

項目	数量	金額
FortiGate 620B	2	\5,316,000
FortiAnalyzer 400B	1	\774,000
Cisco 2960（スイッチ）	2	\596,400
合計		\6,686,400

会社の規模や業態、ネットの利用実態からすると筆者の会社ではリッチすぎる構成なのですが、将来的に音声や映像データが頻繁にやり取りされるようになることを考慮し、かなり余裕のある機種選定をしました。

主な設定内容

以下はファイヤーウォールの基本的な設定内容です。

ID	送信元	宛先	スケジュール	プロトコル・サービス	アクション	Memo
WAN → LAN
1	VPNユーザー	all	always	ANY	ACCEPT	VPNユーザーへのアクセス許可
2	all	all	always	ANY	DENY
WAN → DMZ
3	VPNユーザー	all	always	ANY	ACCEPT	VPNユーザーへのアクセス許可
4	all	Mailサーバー	always	HTTPS,IMAP,POP3,SMTP,SMTP-587,IMAPS,POP3S,SMTPS	ACCEPT	外部からメールサーバーへアクセス
5	all	Webアプリサーバー	always	HTTP,HTTP-81,HTTPS	ACCEPT	外部からWebアプリサーバーへアクセス
6	all	DNSサーバー	always	DNS	ACCEPT	外部からのDNS参照
7	all	all	always	ANY	DENY
LAN → WAN
8	all	all	always	ANY	ACCEPT	LANからは全ての通信を許可
LAN → DMZ1
9	all	Mailサーバー	always	HTTPS,IMAP,POP3,SMTP,SMTP-587,IMAPS,POP3S,SMTPS	ACCEPT	社内からのメールサーバーアクセス
10	all	Webアプリサーバー	always	HTTP,HTTP-81,HTTPS	ACCEPT	LANからWebアプリサーバーにアクセス
11	all	DNSサーバー	always	DNS	ACCEPT	LANからのDNS参照（ADサーバーからのフォワーディング先）
12	all	all	always	ANY	DENY
DMZ1 → WAN
13	all	all	always	ANY	ACCEPT
DMZ1 → LAN
14	all	all	always	ANY	DENY

ハードウェアが高速化しているとは言っても、極力不要な処理はしないように設定していく必要があります。

負荷が高くなる処理としては

• 暗号化プロトコル（HTTPS,SMTPSなど）に対するウイルススキャン
• Webコンテンツフィルター
• VPN

が挙げられます。

セキュリティ向上も大切ですが、通信速度とトレードオフの部分があるので、このあたりは考え方次第だと思います。

ちなみに筆者の会社では暗号化プロトコルのスキャンは行なっています。コンテンツフィルターは基本Webの閲覧は自由度優先と考えているので一切行なっていません。閲覧については別の監視ツールで見ているので、大きな問題が見つかった時に対応しようと思っています。

FortiGate620Bでもフィルターをかけずにログだけ取るということができるので、負荷をかけずにまずは様子を見たいという場合はログ取得だけでスタートするほうがいいかもしれません。

VPNについては速度低下はよろしくないので別のルーター（Cisco2960）側で処理するようにして、FortiGateではVPN経由でアクセスしてくるためのルーティング情報を別途設定しています。

FortiGate-620B使用感レビュー

パフォーマンスは最高

気にしていた通信速度ですが、全く問題なくおよそ500人が同時通信している月曜日の午前中でも、パフォーマンスの低下は見られません。

ネットワーク通信量が多い時間帯でもCPUやメモリ消費量にはほとんど変化が見られないので、まだまだ余裕なんだと思います。

スパムメールは激減するが、設定が大雑把

スパムメールのチェックは、Fortinet社独自のブラックリストデータベースを参照し、該当するIPアドレスからのメールが発見された場合には、予め設定しておいた処理が実行されます。その処理方法は

1. 破棄する
2. 「SPAM」などのフラグをつけてそのまま通過させる

のどちらかです。
そのまま通過させるのは社員にとって混乱の下となりますし、いきなり破棄されてしまうと、誤検知があった場合に救い出せないのが心配です。

社内SEの方ならもう一つ、スパム用メールボックスにアーカイブして一定期間経過後に自動削除、という処理があるとうれしいですよね。

でも、無いんです。あきらめましょう。

ブラックリストDBによるスパムメール誤検知が2ヶ月に1度ほどある。

上述にもある通りスパムメールの検知率は素晴らしく、今までスパムメールの処理に追われていた人たちも「全然来なくなったけど何かしたの？」とびっくりするくらい綺麗に処理されています。

ところが、ごくまれにお客様のメールサーバーがDBに載ってしまうことがあり、メールが受け取れないという問い合わせが来ます。どんな基準でDBに登録しているのかは定かではありませんが、DBに載っているかどうかの確認とDBからの削除依頼は下記サイトから行えます。
Fortinet スパムメール対策サービス

全文英語なのでビクビクしてしまいますが削除依頼のコメント欄は、遠慮なく日本語で書き込んでOKです。申請後まる1日以内に解除の連絡が来ます。

実際にメールサーバー自体に問題がある場合は、解除後も数週間でDBに登録されてしまいますので、その場合はFortigate620B側でホワイトリストに登録しておけば、登録したアドレスだけはブラックリストDBを参照しないようになります。

スパムメールの誤検知については2か月に1度程度なので、全然想定内です。どこのDBを利用したとしてもやり取りする相手の多い企業であれば一定の確率で誤検知はあるものと割り切った方がいいです。

誤検知があることを前提に、社員には受信ができていないとわかった場合はすぐにシステム部門へ問い合わせるように周知しておき、システム部門は誤検知の解除申請をスムーズに処理する運用を作っておきましょう。

FortiAnalyzer400B使用感レビュー

設定はわかりにくい

筆者は毎月FortiAnalyzerからのレポートを出力し、報告＆ファイリングしていますが、こんなレポートを出したいという時に、目的のレポート作成するやり方が非常にわかりにくいです。何度か試して出力してみて、「あ、こういうことか」と理解しながら進めるしかありません。

出てくるレポートもわかりにくい

設定して出力されるレポートも、なかなか分かりにくいです。

実際に警告として挙がってきた数件のログについてその原因にたどり着くにはFortiAnalyzerのコンソールをもう一度ログ確認し、場合によってはFortiGate側のコンソールに入ってログを確認というステップが必要になります。

でも必要性は十分にある

上記ではボロボロに書いてしまいましたが、FortiAnalyzerは導入して良かったと思っています。ネットワーク系のログなんていちいち詳細まで見ることは稀ですし、何より大きな時間枠での警告ログの推移を見ることが重要です。

ウイルス検知も・スパムメールも・不正な攻撃も毎月一定数存在します。しかしそれは全てブロックされているということさえわかっていれば何の問題もありません。これを月次でまとめてトレンドをつかみ、「今月は通常時の3倍のウイルス検知がある、何が起きているんだろう」と気付けることが重要なのです。

必要なログは出力しておくべきです。

UTMなのでとんでもない数のログが収集されてきます。FortiAnalyzerが蓄えられるデータ量にも限界があり、しきい値に達すると古いログから上書きされてしまいます。長期的な推移を見たいデータについては月次で何らかの形で出力しておきましょう。

↑ページのトップへ-

次は→ 企業の情報漏えい事故対策は何をどこまでやればいいの？

企業の情報漏えい事故対策は何をどこまでやればいいの？

UTMって必要？もはやファイヤーウォールでは社内LANを守れない！

社員に使わせるべき社内業務を効率化するフリーソフト　ベスト11

社内SEがやるべき会社のウイルス対策リスト｜PCセキュリティー

Webメール？メールソフト？会社のメールはどっちで見る？

---

社内LAN構築前に決めておくこと 社内LANの構築に必要な機器と契約類のまとめ 社内LAN構成図サンプル＆素材 社内LANをすっきりさせるLANケーブル配線ルール 社内LANの無線化でセキュリティを気にするくらいなら･･･ 社内LANのIPアドレス運用ルールの一例をご紹介 社内LANをインターネットに繋ぐルーター設定方法 拠点間移動時にPCのIPアドレスを手軽に切り替える方法 iPhoneからリモートデスクトップできるアプリ「LogMeIn」 CiscoVPN経由でファイルコピーや転送ができない原因と解決策	社内にあるサーバー種類とその基本的な管理方法を知る 現役社内SEがサーバーホスティング＆ハウジングを選ぶ理由 サーババックアップについて現役社内SEが考えぬいた最適手段とは DNSサーバーのベストな運用とは？DNSは社内で独自に立てるべき？ ActiveDirectoryを噛み砕いて説明 Windowsファイルサーバーの最適な運用ルールとフォルダ構成 高速コピーツール「FastCopy」はホントに早かった！ ファイルサーバーのアクセス権を一括確認 ファイルサーバーの制限機能を使って無駄なデータ保存を禁止する Windowsファイルサーバーの無駄を無料で調査する方法 ファイルサーバーの利用実態をフリーソフトで調査する方法 ファイルサーバーの70%を占める無駄なデータを排除し超効率的に運用する方法 ファイルサーバー内の画像一括リサイズ（容量不足対策その１） EMC「VNXe3100」の重複排除でファイルサーバーを超効率的に運用する HPのMSA2012fcでディスクがleftoverになった時の復旧方法
企業で導入するパソコンの選定基準 社内クライアントPCをHDDからSSDへ 社内パソコンの最適な買い方とは？ソフトとハードのリース＆購入方法まとめ 1人分のPCが2万円台で導入できる「Windows Multipoint Server 2011」 社内のIT機器管理方法（無料でクライアントPCを管理） 社内SAM管理の重要性と最適な運用方法とは Windows7の「シャドウコピー」のタイミング設定変更方法 社内プリンターの最適な設定方法 LAN内の全PCに自動でプリンタードライバーをインストールする方法 WindowsとOfficeのサポート終了がグラフでわかる！ 会社にタブレットを導入するならiPadレンタルがオススメ iPadとiPhoneを管理するのに最適なMDMの選び方 電源が入らないのは静電気のせいかも？	社内PC利用ガイドラインの策定 社員に使わせるべきフリーソフト　ベスト11 社員のメールソフトは「Windows Liveメール」?「Thunderbird」? 社内SEのヘルプデスクツールはリモートデスクトップできまり ツールバーソフトの使用を禁止したいなら OutlookExpressでメールが重複して送信される原因と対処方法 突然WordやExcelで日本語入力できなくなったときの解決方法 babylonツールバーの削除方法と被害/影響のまとめ BrowserProtectの簡単削除方法 Excelで画面が点滅しCPUが100%になる問題の解決方法 別のプログラムがこのフォルダーまたはファイルを開いているので・・・の原因と解決方法
社員のセキュリティ教育の必要性と実施方法 新入社員にしておくべきITセキュリティ教育 UTMって必要？もはやファイヤーウォールでは社内LANを守れない！ 高機能UTM「FortiGate 620B」を評価してみました 企業の情報漏えい事故対策は何をどこまでやればいいの？ 社内SEがやるべき会社のウイルス対策リスト 「System Progressive Protection」の簡単削除手順 Advanced System Protectorの削除方法 autorunウイルスの対策は今すぐに！社内PC全てに！ 「Disk Antivirus Professional」の簡単削除手順 SystemDoctor2014の簡単削除方法	グループウェアの選びの考え方・選定項目一覧 このデメリットが無ければGoogleAppsが最高のグループウェアだった デスクネッツNeo VS サイボウズGaroon3の徹底比較 無駄に見えるグループウェアの機能が費用対効果のアピールネタになる Webメール？メールソフト？会社のメールはどっちで見る？ Windows Live メールのアドレス帳をカテゴリーごと移行 テレビ会議システムとWeb会議システムはどっちを選べばいい？ 現役社内SEが考えたWeb会議システムの選び方 Web会議システム「V-CUBE」と「Meeting Plaza」徹底比較

Copyright（C) 2012-2023　5分でわかる！社内SEのシステム管理・運用マニュアル　All Rights Reserved.