Fortinet

    FortiGate 7.6 NGFW設計:2026年を見据えたエンタープライズ設計とスケーリング

    TechLeague Editorial··14 分で読了

    FortiOS 7.6は単なるマイナーリリースではありません。Fortinetが単なるファイアウォールベンダーから、ASIC駆動のセキュリティファブリックへと転換する決定的な転換点です。マーケティング資料は忘れましょう。2026年に高性能な境界防御または内部セグメンテーションコアを設計するのであれば、NP7 (Network Processor 7)とFortiLinkの更新された機能のアーキテクチャ上のニュアンスを活用するか、ハードウェアの潜在能力の60%を無駄にするかのどちらかです。本ガイドは、エンタープライズにおけるFortiOS 7.6のスケーリングに関する厳然たるエンジニアリングの現実を概説します。

    NP7の現実:サイジングが線形でなくなった理由

    これまでのサイクル(NP6/NP6XLite)では、セッションのオフロードは比較的予測可能でした。FortiOS 7.6とNP7ベースのアプライアンス(FortiGate 1800Fから4400F、および新しい200G/120Gミッドレンジ)では、状況は一変しました。NP7は、IPsecのサブセカンドフェイルオーバーと大規模なVXLAN終端をCPUに負担をかけることなくネイティブに処理する初のASICです。

    2026年の設計をサイジングする際、「ファイアウォールスループット」を見るのはやめて、「CAPS」(Concurrent Sessions Per Second)と「SSLインスペクション with Deep Inspection」に着目してください。1800Fでは、生のファイアウォール処理能力は198 Gbpsかもしれませんが、堅牢なIPSシグネチャによる完全なSSL/TLS 1.3インスペクションを有効にした途端、13 Gbpsにまで低下します。10,000ユーザー規模のキャンパスでは、10Gbps以上のエッジ速度でフルセキュリティスタックを実行するつもりなら、600Fを下回るものは推奨しません。NP7のハイパースケールCGNATとDDoS保護をハードウェアレベルでオフロードする能力は隠れた武器ですが、それはVDOM構造をASICのマッピングに合わせる場合に限られます。

    高可用性:Active-Activeの終焉 (ほぼ)

    単刀直入に言います。ほとんどのエンタープライズ展開では、FGCP (FortiGate Clustering Protocol) をActive-Passive (A-P) モードで使用すべきです。多くの若手エンジニアは、Active-Active (A-A) がスループットを2倍にすると信じています。それは違います。A-Aモードでは、非対称トラフィックフローのすべてのUTM/IPSインスペクションは引き続きプライマリノードが処理し、HAハートビートリンクを介したセッション同期のオーバーヘッドが利得を蝕むことがよくあります。

    FortiOS 7.6では、クラスタリングロジックがFGSP (FortiGate Session Life Support Protocol) 向けに改良されています。これがハイパースケール環境における真の「Active-Active」です。FGSPを使用することで、高速なシャーシ間リンクを介してセッションテーブルを同期する、2台以上の独立したFortiGate(異なる物理データセンターにある可能性もある)を構築できます。これが2026年の推奨設計です。

    • ユニキャストハートビートによるA-P: 標準的な本社/支社構成向け。
    • VXLANによるFGSP: ローカル出口パスの最適化が必要な、マルチサイトの「拡張」L2環境向け。
    • VRPPとVirtual Wire Pair: 既存のブラウンフィールド環境にIPスキームを変更せずにFortiGateを導入する必要がある場合(「Bump-in-the-Wire」アプローチ)。

    Virtual Wire Pair:ゼロダウンタイム移行戦略

    FortiOS 7.6で最も活用されていない機能の1つがVirtual Wire Pair (VWP) です。2026年の設計では、初期段階の内部セグメンテーションファイアウォール (ISFW) に従来のL3インターフェースを使用することはもはや推奨しません。VWPを構成することで、FortiGateはデータインターフェースにIPアドレスを持たない透過的なブリッジとして機能します。これにより、コアスイッチとディストリビューション層の間に、ルーティング変更なしでデバイスを挿入できます。

    config system virtual-wire-pair
        edit "VWP-Core-to-Dist"
            set member "port1" "port2"
            set wildcard-vlan enable
        next
    end
    

    VWPが配置された後、トラフィックをミラーリングし、FortiGateを「学習モード」で実行できます。FortiOS 7.6はAI駆動のポリシー提案を使用して、トラフィックフローを分析し、透過的なブリッジから完全にロックダウンされたL3セグメンテーションポイントに移行するために必要なファイアウォールポリシーを自動生成します。これにより、移行リスクが80%削減されます。

    SD-WANとZTNA:統合されたエッジ

    個別のSD-WANアプライアンスとVPNコンセントレータをまだ使用しているのであれば、設計は時代遅れです。FortiOS 7.6は、Secure SD-WANエンジンとZTNA (Zero Trust Network Access) の統合を強化します。「Thin Edge」アプローチでは、AWSまたはオンプレミスでホストされているかどうかにかかわらず、すべてのアプリケーションのZTNAプロキシとしてFortiGateを使用します。これにより、横移動攻撃を受けやすい常時接続VPNトンネルの必要性がなくなります。

    7.6の設計では、FortiAuthenticatorまたはEntra IDを介してユーザーを識別し、デバイスの姿勢(EMS)をチェックします。その後、SD-WANコントローラーがリアルタイムのジッター/遅延に基づいてパス選択を行います。ユーザーのラップトップにセキュリティパッチが欠落している場合、ZTNAタグが変更され、SD-WANポリシーは直ちにそのトラフィックを修復VLANに再ルーティングするか、またはブランチエッジで完全にドロップします。これが「Identity-Based Routing」であり、2026年の標準です。

    高度なSD-WANパスステアリングCLI

    config system sdwan
        config service
            edit 1
                set name "Office365_Performance"
                set mode priority
                set dst "Office365-Group"
                set src "Internal_Subnet"
                set health-check "O365-Check"
                set priority-members 1 2
            next
        end
    end
    

    ポリシー設計:「Any」から「インテントベース」へ

    「ポリシー肥大化」の問題は、誤設定の主要な原因です。FortiOS 7.6では、強化されたPolicy SetsObject Groupingが導入されており、エンジニアはこれらを習得する必要があります。もはや1,000個の個別ルールを作成することはありません。代わりに、Internet Service Database (ISDB) オブジェクトとDynamic Address Objectsを使用します。例えば、MicrosoftのIPアドレスリストを維持する代わりに、FortiGuardがリアルタイムで更新するMS-Office365 ISDBオブジェクトを使います。

    内部トラフィックの場合、FortiLinkを介したSXP (Scalable Group Tagging) を活用します。これにより、FortiGateはFortiSwitchによって適用されたハードウェアレベルのタグを読み取り、開発者がポート1からポート24に移動しても、IPベースのルールを必要とせずに「Developer」セキュリティポリシーが適用されることを保証します。スイッチの統合に苦労している場合、L2/L3セキュリティ統合について深く掘り下げた、FortiLinkのベストプラクティスに関するガイドをご確認ください。

    集中管理:FortiManager 7.6は必須

    個別のWeb GUIを介して3台を超えるFortiGateを管理することは、誤った慣行です。FortiManager 7.6こそが、2026年のNGFWライフサイクルを管理する唯一の方法です。「Meta-Variables」と「Scripting」機能により、単一のゴールドスタンダードポリシーを定義し、サイト固有の調整(ローカルIP範囲など)が自動的に処理される形で、500の支店に展開できます。FortiManager内でラボ、本番、DMZ環境を隔離するためにADOMs (Administrative Domains) を使用していない場合、高いリスクを抱えた運用をしていることになります。

    さらに、FortiAnalyzer 7.6にはSOC-as-a-Serviceのフックが組み込まれています。これは単なるログコレクターではなく、FortiGuard Indicators of Compromise (IOC) サービスを使用して、新しく発見された脅威に対してログを遡及的にスキャンする相関エンジンです。これは、3日前に活動していたゼロデイが今日特定された場合、どの内部ホストが影響を受けたかをFortiAnalyzerが正確に通知するということを意味します。

    結論:Fortinetの設計哲学

    2026年にFortinetベースのネットワークを構築するには、「ファイアウォールを境界防御として」という考え方から脱却する必要があります。FortiGateは、スイッチ、AP、エンドポイントといったセキュリティオーケストラ全体の指揮者です。NP7アクセラレーション、高可用性のためのFGSP、そしてIDベースのアクセスのためのZTNAを活用することで、回復力があり、さらに重要なことに高速なファブリックを構築できます。このレベルの複雑さには専門家のガイダンスが必要です。techleague.ioでは、Fortinet、Cisco、Palo AltoにわたるTier-3のエンジニアリングの深さを提供し、お客様のハイレベル設計が導入初週を生き残ることを保証します。

    よくある質問

    2026年のエンタープライズコアに推奨されるFortiGateモデルはどれですか?+

    ほとんどの10Gbps+エンタープライズの境界防御には、FortiGate 600Fまたは1000Fが最適です。これらはハードウェアアクセラレーションされたIPSecとVXLANを処理するNP7 ASICを使用しています。「ファイアウォール」スループットではなく、「脅威防御」スループットに基づいて常にサイジングしてください。

    FortiOS 7.6ではActive-Active HAとActive-Passive HAのどちらを使うべきですか?+

    Active-Passiveが業界標準であり、最も予測可能なフェイルオーバー動作を提供します。Active-Active(FGCP)はUTMインスペクションの同期方法により、パフォーマンスのボトルネックを引き起こすことがよくあります。真のスケーリングのためにはFGSP (FortiGate Session Life Support Protocol) を使用してください。

    新しい導入におけるVirtual Wire Pairの利点は何ですか?+

    VWPにより、2つのポートが透過的なブリッジとして機能します。VWPを通過するトラフィックは、既存のネットワークでIPやルーティングの変更を必要とせずに、ファイアウォールポリシーによって検査できます。これはゼロダウンタイムの「ブラウンフィールド」導入に最適です。

    FortiOS 7.6は以前のバージョンとZTNAをどのように異なる方法で処理しますか?+

    7.6では、ZTNAが従来の「ダイヤルアップ」VPNを置き換えます。FortiGateはアプリケーションプロキシとして機能し、ユーザーにネットワーク上の完全なIPアドレスを与えるのではなく、特定の内リソースへのアクセスを許可する前にエンドポイントの証明書と姿勢をチェックします。

    NP7 ASICがNP6よりも優れている点は何ですか?+

    NP7は、フラグメント化されたパケットとVXLANのカプセル化/非カプセル化をハードウェアで処理する能力がはるかに効率的です。「Hyperscale」ファイアウォール機能もサポートしており、数百万の同時セッションと高速なロギングを実現し、CPUベースのファイアウォールではクラッシュする可能性があります。

    手動のIPリストではなく、ISDBオブジェクトを使用すべきなのはなぜですか?+

    ISDB (Internet Service Database) は、O365、AWS、Zoomなどの既知のクラウドサービスのための数百万のIPアドレスとメタデータのコレクションです。ポリシーでISDBを使用する方が、FortiGuardを介して更新され、CPUオーバーヘッドを削減するため、手動のFQDNオブジェクトよりも効率的です。