FortiGateがSSL VPNを廃止 ― IPsec移行だけで終わりではない、ZTNAへの道筋
FortiGateを利用している企業のIT担当者にとって、見過ごせないアップデートがありました。FortiOS 7.6.3以降、SSL VPNトンネルモードが完全に廃止されています。GUIからもCLIからも設定できなくなり、旧バージョンからの設定移行も行われません。
この記事では、SSL VPN廃止の背景、当面の対処としてのIPsec VPNへの移行、そして長期的に目指すべきZTNA(ゼロトラストネットワークアクセス)への移行ロードマップを解説します。
何が変わったのか ― FortiOS 7.6.3の変更点
Fortinetの公式リリースノートによると、FortiOS 7.6.3以降で以下の変更が適用されています。
- SSL VPNトンネルモードの完全廃止:GUI・CLI双方から設定項目が削除
- 設定の自動移行なし:旧バージョンからアップグレードしても、SSL VPN関連の設定(ファイアウォールポリシー含む)は引き継がれない
- 全FortiGateモデルが対象:エントリーモデルからハイエンドまで例外なし
- SSL VPN Webモードは存続:ただしトンネルモードのみ廃止
代替として、IPsec VPNがTCPポート443での通信に対応しており、SSL VPNとほぼ同じネットワーク環境で利用できるよう設計されています。
重要なのは、FortiOS 7.6.3へのアップグレード前にIPsec VPNへの移行を完了する必要があるという点です。アップグレード後にSSL VPN設定は自動的に削除されるため、事前に移行しなければリモートアクセスが全断します。
なぜSSL VPNが廃止されたのか ― 繰り返された深刻な脆弱性
Fortinetがこの決断に至った背景には、SSL VPN機能に対する深刻な脆弱性が繰り返し発見・悪用されてきた歴史があります。
CVE-2022-42475(CVSSスコア 9.8)は、FortiOS SSL VPNのヒープベースバッファオーバーフロー脆弱性です。中国の国家支援型攻撃グループによるゼロデイ攻撃が確認され、オランダ国防省のネットワーク侵害にも使用されました。
CVE-2023-27997(CVSSスコア 9.8)も同様にSSL VPNモジュールのヒープベースバッファオーバーフローで、認証なしで外部からリモートコード実行が可能という極めて深刻な脆弱性でした。米国の重要インフラを標的とした「Volt Typhoon」キャンペーンとの関連も指摘されています。
CVE-2024-21762(CVSSスコア 9.6)は、SSL VPNデーモン(sslvpnd)のアウトオブバウンド書き込み脆弱性です。CISA(米国サイバーセキュリティ・インフラセキュリティ庁)が即座にKEV(既知の悪用された脆弱性)カタログに追加し、連邦機関に1週間以内の対処を義務付けたほどの緊急度でした。
さらに2025年には、上記3つのCVEを悪用した侵害後の永続的アクセス手法が発見されています。パッチ適用後もデバイスのファイルシステムに読み取り専用のアクセスが残存するという、通常のパッチ運用では防げない攻撃でした。
これらの事実が示すのは、SSL VPNという仕組み自体が攻撃対象面(アタックサーフェス)として高リスクであるということです。Fortinetは根本的な対策として、独自プロトコルのSSL VPNから標準規格ベースのIPsec VPNへの移行を決断しました。
当面の対処:IPsec VPNへの移行
IPsec VPNで何が変わるのか
IPsec VPNへの移行は、ユーザー体験をほぼ変えずに実現できるよう設計されています。
通信プロトコルの柔軟性として、IPsec VPNはUDPに加えてTCPポート443での通信に対応しています。これにより、ISPやキャリアグレードNATでUDP/500やUDP/4500がブロックされている環境でも、SSL VPNと同じように接続可能です。Autoモードを使えば、まずUDPで接続を試み、失敗時に自動的にTCPへフォールバックする動作も可能です。
暗号化の強度については、標準規格に基づく堅牢な暗号化が使用されるため、独自実装のSSL VPNより信頼性が高いといえます。
パフォーマンス面では、帯域幅の効率的な利用と低レイテンシにより、ネットワークパフォーマンスも向上します。
移行の進め方
Fortinetは詳細な移行ガイドを公開しています。大まかな流れは以下のとおりです。
Step 1:現状のSSL VPN設定を棚卸しする。 認証方式、ルーティング設定、ファイアウォールポリシー、スプリットトンネルの構成を洗い出します。
Step 2:IPsec VPNを並行構築する。 既存のSSL VPNを稼働させたまま、IPsec VPNのPhase1/Phase2を設定します。TCPポート443を使う場合は、SSL VPNとのポート競合に注意が必要です。
Step 3:FortiClient EMSでIPsec VPNプロファイルを配布する。 エンドポイント側のVPN設定を一括で切り替えます。FortiClient 7.4.1以降がIPsec over TCPに対応しています。
Step 4:テスト・検証を行う。 組織全体に展開する前に、パイロットグループで接続性・認証・ルーティング・パフォーマンスを検証します。
Step 5:FortiOS 7.6.3以降へアップグレードする。 アップグレード後、SSL VPN設定は自動削除されます。IPsec VPNが正常に動作していることを再確認します。
Step 6:FortiClient EMS上でSSL VPN設定を無効化する。 すべてのマネージドエンドポイントからSSL VPN設定を完全に削除し、移行を完了させます。
移行時の注意点
いくつか見落としやすいポイントがあります。
FortiClient のバージョン要件として、IPsec over TCPはFortiClient 7.4.1以降、FortiGate側はFortiOS 7.4.2以降で対応しています。古いバージョンのFortiClientが残っていると接続できなくなります。
SSL VPN Webモードは残る点も重要です。Webモードのみ利用している場合、アップグレード後もそのまま利用できます。ただし、Webモードも将来的に廃止される可能性は否定できません。
FortiGateをSSL VPNクライアントとして利用している場合(拠点間接続等)、この構成もサポート対象外となります。IPsec VPNのダイヤルアップクライアント設定への移行が必要です。
本質的な課題:VPNそのものの限界
IPsec VPNへの移行は「当面の対処」としては正しい判断です。しかし、VPNという接続モデル自体が抱える構造的な課題は解消されません。
VPNの限界①:ネットワーク境界への過度な依存
VPNは「社内ネットワークに入れれば安全」という境界防御モデルに基づいています。一度VPN接続が確立されると、ユーザーはネットワーク上の広い範囲にアクセスできてしまいます。攻撃者がVPN認証情報を窃取した場合、社内ネットワークを自由に横展開(ラテラルムーブメント)できるリスクがあります。
VPNの限界②:デバイスの健全性を検証しない
従来のVPNは「正しい認証情報を持っているか」だけを検証します。接続元デバイスのセキュリティ状態(OSのパッチ適用状況、アンチウイルスの稼働状況、ディスク暗号化の有無など)は基本的にチェックしません。マルウェアに感染した端末がVPN経由で社内に接続する可能性があります。
VPNの限界③:クラウド時代のアーキテクチャに合わない
業務アプリケーションがSaaSやクラウドに移行している現在、「一度社内ネットワークに入ってからクラウドにアクセスする」というVPNの通信経路は非効率です。遅延の増加、帯域の逼迫、ユーザー体験の低下を招きます。
最終目標:ZTNAへの移行
ZTNAとは何か
ZTNA(Zero Trust Network Access)は、「何も信頼しない」を前提としたアクセス制御モデルです。VPNのように「ネットワークに接続する」のではなく、「個々のアプリケーションに対して、都度認証・認可を行う」 というアプローチを取ります。
ZTNAの基本原則は3つあります。第一に、アクセスの都度検証すること。毎回のアクセスリクエストでユーザーの身元とデバイスの状態を確認します。第二に、最小権限の原則。ユーザーには必要なアプリケーションへのアクセスのみ許可し、ネットワーク全体へのアクセスは与えません。第三に、デバイスポスチャの評価。接続元デバイスのセキュリティ状態をリアルタイムで評価し、基準を満たさないデバイスからのアクセスを拒否します。
FortinetのZTNAソリューション
Fortinet自身もZTNAソリューションを提供しており、SSL VPN廃止の先にZTNAへの移行を想定していることは明らかです。
FortiClient + FortiGate ZTNAタグの構成では、FortiClient EMSがエンドポイントのセキュリティ状態を評価し、ZTNAタグを付与します。FortiGateはこのタグに基づいてアクセス制御を行います。既存のFortiGate + FortiClientの構成を活かしてZTNAに段階的に移行できるのが強みです。
FortiSASEは、クラウドベースのSASE(Secure Access Service Edge)サービスで、ZTNAをクラウドから提供します。拠点にFortiGateがなくても、エンドポイントから直接クラウド経由でセキュアにアクセスできます。
ZTNA移行のロードマップ
現実的には、VPNからZTNAへの一括移行は困難です。段階的な移行アプローチを推奨します。
Phase 1(今すぐ):SSL VPN → IPsec VPN移行。 FortiOS 7.6.3へのアップグレードに備え、IPsec VPNへの移行を完了させます。これは技術的な緊急対応です。
Phase 2(3〜6か月):エンドポイント管理基盤の整備。 FortiClient EMSを導入し、全エンドポイントのセキュリティ状態を一元管理できる体制を構築します。ZTNAの前提条件となるデバイスポスチャ評価の基盤です。
Phase 3(6〜12か月):ZTNAパイロット導入。 社内の主要なWebアプリケーション(グループウェア、ファイルサーバー等)に対して、ZTNAによるアクセス制御を試験的に適用します。VPNとZTNAを並行運用し、段階的にZTNAの対象を拡大します。
Phase 4(12か月以降):VPN依存の完全脱却。 すべてのリモートアクセスをZTNA経由に切り替え、IPsec VPNをバックアップまたは特定用途に限定します。
中小企業が今日からできること
「うちは中小企業だからZTNAはまだ早い」と感じるかもしれません。しかし、最低限の対応は今すぐ必要です。
緊急対応として、FortiOS 7.6系へのアップグレードを予定している場合、IPsec VPNへの移行を最優先で計画してください。アップグレード後にSSL VPN設定は消失します。
短期的に取り組むべきこととして、FortiClientのバージョンを7.4.1以降に統一し、多要素認証(MFA)をVPN接続に必ず適用してください。VPN接続ログの監視も重要です。
中長期的な検討事項として、FortiClient EMSの導入によるエンドポイント管理の一元化、そしてZTNAへの段階的移行を計画に入れておくべきです。
まとめ
FortiGateのSSL VPN廃止は、単なる機能変更ではありません。VPNを狙ったサイバー攻撃の深刻化という業界全体のトレンドを反映した、不可逆な変化です。
当面はIPsec VPNへの移行で対処できますが、VPNの構造的な限界は残ります。最終的にはZTNA(ゼロトラストネットワークアクセス)への移行が、セキュリティと利便性を両立する唯一の解です。
今回のSSL VPN廃止を、自社のリモートアクセス戦略を見直す契機として活用してください。
情シス365では、FortiGateのVPN移行やZTNA導入に関するご相談を承っています。まずは60分の無料相談で、貴社の現状と最適な移行プランについてお話しさせてください。
参考リンク
- FortiOS 7.6.6 リリースノート ― SSL VPN tunnel mode replaced with IPsec VPN
- SSL VPN to IPsec VPN Migration Guide(FortiOS 7.6)
- CISA Advisory: Fortinet Post-Exploitation Technique