Fortinet
FortiManagerとFortiAnalyzer:長く使えるエンタープライズ設計(2026年版)
FortiGate単体ではすぐ限界。FortiManager(FMG)とFortiAnalyzer(FAZ)こそ数百台のFortiGateを一つの艦隊として運用するための要。サイジング、ADOM設計、ログ配線を初日から正しく行うことが前提です。
FMG/FAZが必要になる規模
- 5台以下・単一拠点:GUIとFortiCloud Freeで十分。
- 6〜25台・複数拠点:変更ウィンドウの短縮だけでFMGの元が取れる。
- 25台以上または規制業種/マルチテナント:FMG+FAZ必須。
ADOM戦略
- BU単位(エンタープライズ)。
- リージョン単位(データレジデンシ要件のあるグローバルMSP)。
- テナント単位(MSP/コロケーション)。VDOMと併用。
- 拠点単位ADOMは避ける:40拠点で破綻する。
本番ADOMではWorkflow Modeを有効化し、install前に承認を必須にする。
Policy package:ヘッダ/フッタとdynamic objects
- ヘッダ/フッタでグローバルガードレール。
- Per-Device Mappingで拠点差分を吸収。
- ADOMあたり20package以下を目安に。
FortiAnalyzerのサイジング
- トラフィックログ約400B、UTM/IPSイベント1〜2KB。
- 1Gbps検査のFortiGate:5〜15GB/日。
- 50台×10GB/日×365日+30%余裕 ≒ 238TB。
FAZのトポロジ
大規模ではCollector(エッジで安価に高速ingest)とAnalyzer(CPU/RAM潤沢、reports/ML/FortiSoC)を分離。
HAとバックアップ
- FMG HA:active-passive、最大5ノード。
- FAZ HA:primary/secondary、ディスク容量は対称に。
- クラスタ外への暗号化バックアップ必須。HAはバックアップではない。
SIEM連携
- FAZからsyslog/CEFでSplunk/QRadar/Sentinel/Chronicleへ。
- FortiSoCプレイブックで自動コンテインメント。
- Fabric ConnectorsでServiceNow/Jira/Teamsへチケット化。
よくある落とし穴
- 拠点単位ADOM。
- 運用380日目のFAZディスク満杯。
- ManagementとHA heartbeatの相乗りによるsplit-brain。
- クラスタ外バックアップなし。
- FortiOSのメジャー版混在+FMGアップグレード計画なし。
マルチベンダ運用とFMG/FAZ設計を時間制限下で鍛えるならTechLeague tournament。
関連記事
よくある質問
FortiManagerとFortiAnalyzerの違いは?+
FMGは設定・変更管理を一元化、FAZはテレメトリ・ログ・レポートを一元化しSIEMへ連携。RPO/RTOとストレージ要件が異なるため別製品になっています。
小規模でもFMG/FAZは必要?+
5台以下・単一拠点はGUI+FortiCloud Freeで十分。6〜25台・複数拠点ではFMGの元がすぐ取れる。25台超または規制/マルチテナントでは両方必須。
ADOMの切り方は?+
エンタープライズはBU単位、グローバルMSPはリージョン単位、サービスプロバイダはテナント単位。拠点単位ADOMは40拠点で破綻するため避ける。
FAZのディスクはどう見積もる?+
トラフィックログ約400B、UTM/IPS約1〜2KB。1Gbps検査で5〜15GB/日。台数×日数×コンプライアンス保持期間+30%余裕で算出。
CollectorとAnalyzerはいつ分ける?+
概ね50台超、または複数リージョンでデータレジデンシ要件がある場合。エッジにCollector、中央にAnalyzerを置きストレージと分析を独立にスケール。
FMG/FAZのHAはバックアップ代わりになる?+
なりません。HAはハードウェア障害対策で、設定ミスやDB破損は数秒で副系へ複製される。クラスタ外への暗号化日次バックアップとリストア試験が必須。
FAZはSIEMの代替になる?+
Fortinet中心の環境ではFAZ+FortiSoCで多くを賄える。マルチベンダではSIEMの最良フロントエンドとして使い、IPS/AV/Web-Filter/認証/管理操作をsyslog/CEFで連携。