FortiNACとFortiGateに内蔵されたNAC機能の主な違いは何ですか？

FortiNACは、SNMP/SSH/CLI/APIを介してインフラストラクチャを管理し、詳細なデバイスプロファイリングを提供するマルチベンダーの「オーケストレーター」です。FortiGate NACは、Fortinetファブリックに限定された基本的な機能セットであり、FortiNACの高度な検出ベクトルと膨大なサードパーティライブラリを欠いています。

FortiNACは802.1XをサポートしないIoTデバイスをどのように識別しますか？

FortiNACは多角的なアプローチを使用します：DHCPオプション、mDNS検出、TCPフィンガープリンティング (TTL/Windowサイズ)、SNMP sysDescr。これにより、802.1X認証を実行できない「ヘッドレス」IoTデバイスを識別できます。

FortiNACを使用するには、Fortinet製以外のすべてのスイッチを交換する必要がありますか？

いいえ。FortiNACはRADIUS交換を処理し、デバイスのプロファイルに基づいてポートのVLAN割り当てを動的に変更するために、スイッチ/APのネイティブ制御プロトコル (FortiLinkやCiscoのSSH/CLIなど) を使用します。

2026年のZero Trust導入に推奨される802.1X方式は何ですか？

管理対象アセットに最も堅牢な方法は、マシン証明書を使用したEAP-TLSです。これにより、企業所有の管理対象ハードウェアのみが内部ネットワークにアクセスできるようになり、ZTNA要件を満たします。

FortiNACはFortiGateファイアウォールポリシーとどのように統合されますか？

FortiNACはSecurity Fabricを介してFortiGateと通信します。「タグ」とデバイスのメタデータを共有することで、管理者は静的IPアドレスではなく、FortiNACグループに基づいたファイアウォールポリシーを作成できます。

FortiNACにおける「管理対象隔離」とは何ですか？

管理対象隔離とは、デバイスがネットワークへの接続を許可されているが、セキュリティ基準を満たすか、管理者が手動で承認するまで、特定のVLAN（「シンクホール」または「修復」VLANなど）に制限される状態を指します。

Zero TrustのためのFortiNAC：2026年デザインおよび導入ガイド

2026年において、「信頼されたネットワークセグメント」という概念は、もはや時代遅れであるだけでなく、負債となっています。静的なVLANとMACベースの「セキュリティ」に依存することは、窓を開け放したまま玄関に鍵をかけるような、アーキテクチャ上の過ちです。ハードウェアレイヤーで真のZero Trust Network Access (ZTNA) を達成するには、異種スイッチングファブリックとアイデンティティ駆動型ポリシーの間のギャップを埋めることができる唯一のオーケストレーションエンジンがFortiNACです。ヘッドレスIoTデバイスのマイクロセグメンテーションを強制しつつ、管理対象アセットの802.1Xを同時に駆動するためにFortiNACを使用していない場合、それはZero Trustとは言えず、単なる基本的なネットワーキングに派手なラベルを貼っているにすぎません。

アーキテクチャの転換：基本的なRADIUSを超えて

従来のNAC実装は、その柔軟性のなさゆえに失敗することがよくありました。802.1Xを導入すればプリンターやビル制御器の半分が動かなくなり、MAC Authentication Bypass (MAB) を使用すれば20ドルのRaspberry Piで簡単に偽装されてしまう、といった具合です。FortiNACは、ネットワークを動的なエンティティとして扱うことで、私たちを2026年の時代へと導きます。資格情報を通じて「あなたは誰ですか？」と問うだけでなく、「あなたは何であり、どこにいて、その振る舞いはフィンガープリントと一致しますか？」と問いかけます。

TechLeagueで推奨する設計思想は、FortiNAC-Fシリーズ（通常はエンタープライズワークロードにはFNC-500FまたはFNC-2000F）を対象としています。これは単なるRADIUSサーバーではありません。FortiSwitch、Cisco Catalyst、またはAruba AOS-CXファブリックにSNMP、SSH、およびAPIフックを通じてアクセスし、状態を強制するマルチベンダーオーケストレーションプラットフォームです。Fortinet中心のスタックでは、FortiLinkとの統合により、FortiNACはFortiSwitch 148Fまたは448Eのポートレベルまで、ポリシー適用に待ち時間なく可視化できます。

高度な検出とプロファイリング手法

見えないものを保護することはできません。ほとんどのエンジニアは、FortiNACの導入における「検出」フェーズを過小評価しています。2026年では、多角的なプロファイリングアプローチを採用します。FortiNACはMACアドレスのOUIだけを見るのではありません。それは素人のやることです。私たちは以下を考慮します。

DHCPフィンガープリンティング： Option 55 (Parameter Request List) および Option 60 (Vendor Class Identifier) の分析。
mDNS/UPnPスヌーピング： スマートTVやセンサーなどのIoTデバイスからのブロードキャストアドバタイズメントの捕捉。
TCPフィンガープリンティング： 初期SYNパケットのウィンドウサイズとTTLの分析。
HTTP User-Agent文字列： デバイスがウェブインターフェースを持っている場合、FortiNACはトラフィックを傍受し、ブラウザとOSのバージョンを特定します。

# FortiNAC CLIの例: デバイスフィンガープリントの信頼度を確認
show device profile-status --mac 00:15:65:44:A2:BC
# 結果: 信頼度 98% | プロファイル: Yealink-T46S-IP-Phone | メソッド: DHCP+SNMP

これらのベクトルを組み合わせることで、FortiNACは「プロファイル」を作成し、それが「論理ネットワーク」の割り当てをトリガーします。もしプリンターと主張するデバイスがデータベースサーバーにSSHトラフィックを送信し始めた場合、プロファイルの信頼度は低下し、そのデバイスは自動的に隔離VLANに振り分けられます。

802.1X vs. MAB：ハイブリッド強制戦略

2026年のZTNA導入の中核は、FortiClient統合を介したすべての管理対象アセット (Windows/macOS/Linux) に対する802.1X (EAP-TLS) の厳格な強制と、IoTの「MAB-Hell」を管理するためのFortiNACの使用です。管理対象デバイスの場合、証明書がアイデンティティです。IoTの場合、振る舞いがアイデンティティとなります。

デバイスがFortiSwitchポートに接続すると、スイッチはFortiNACにAccess-Requestを送信します。デバイスが802.1Xをサポートしている場合、FortiNACはPKIに対して証明書を検証します。失敗した場合や応答がない場合、FortiNACはプロファイリングにフォールバックします。ここで動的VLAN割り当てが重要になります。もはやswitchport access vlan 10を設定することはありません。すべてのポートはNACからの指示を待つmode-configポートです。

FortiSwitch設定スニペット (FortiLinkモード)

config switch-controller security-policy local-access
    edit "NAC-Policy"
        set dot1x-compliance-fallback enable
        set auth-fail-vlan enable
        set auth-fail-vlan-id 999  # Restricted Guest
        set master-authorization-enabled enable
    next
end

マイクロセグメンテーションと動的VLANステアリング

Zero Trust NACの目的は、侵害されたIPカメラがPCI環境に到達できないようにすることです。FortiNACはユーザーロールを通じてこれを実現します。レガシー環境では50のVLANがあるかもしれませんが、FortiNACが駆動する2026年環境では、5〜10の「構造的VLAN」と何百もの「論理セグメント」が存在します。

ユーザーが認証されると、FortiNACはRADIUS VSA (Vendor Specific Attribute) をスイッチに送り返し、VLANを動的に変更します。Ciscoスイッチの場合、これはTunnel-Private-Group-IDかもしれません。FortiSwitchの場合、FortiGate (スイッチコントローラーとして機能) を介した直接API呼び出しです。これにより、FortiSwitch ACLやプライベートVLANを使用して、同じサブネット内でもデバイスが互いに隔離される「Segment of One」ネットワーキングが可能になります。

古いCisco ISEまたはClearPass環境から移行している場合、レガシーNACからFortiNAC-Fへの移行に関するガイドを参照して、属性マッピングの詳細をご確認ください。

IoTセキュリティ：「ヘッドレスデバイス」問題

IoTデバイスは、境界線における最大の穴です。ほとんどのエンジニアは、それらを単に「IoT VLAN」に押し込んで、後はどうにかなることを願っています。FortiNACを使用することで、デバイスの永続性と脆弱性相関を実装します。FortiNACはFortiGuardと同期し、プロファイルされたデバイス（例：Schneider Electric PLC）に既知のCVEがあるかどうかを識別します。脆弱性が見つかった場合、FortiNACはその特定のデバイスを、手動での介入なしに動的に「パッチVLAN」に移動させることができます。

これは、リアクティブなセキュリティとプロアクティブなセキュリティの違いです。SOCがIoTデバイスからのアラートを見る頃には、横方向への移動はすでに始まっています。FortiNACはそれをレイヤー2で止めます。

FortiAPおよびFortiGateとの統合

無線も同様に重要です。FortiAP-U (Universal) シリーズはFortiNACとネイティブに統合され、同じレベルのきめ細かな制御を提供します。私たちはRADIUS割り当てVLANを持つブリッジモードSSIDを使用して、無線ユーザーが有線ユーザーと全く同じポリシーとマイクロセグメンテーションを受けることを保証します。この「Single Pane of Policy」はZTNAにとって不可欠です。

さらに、FortiNACはそのコンテキストデータをSecurity Fabricを介してFortiGateにフィードします。ユーザーがログインすると、FortiGateはIPアドレスだけでなく、ユーザー名、デバイスタイプ、ヘルスステータス、物理的な場所までを把握します。これにより、NACタグに基づいたFortiGateファイアウォールポリシーが可能になります: Source: Tag_IoT_Camera -> Destination: NVR_Server -> Action: Accept。

ロールアウト戦略：「監査モード」のセーフティネット

初日から「Enforcement Mode」に移行しないでください。CEOのお気に入りの古いプリンターが動作しなくなると、あなたは解雇されるでしょう。2026年のロールアウトは、可視化 -> 分類 -> シミュレーション -> 実施のパイプラインに従います。

可視化： すべてのスイッチポートを「Dead End」または「Onboarding」に設定しますが、すべてのトラフィックを許可します。FortiNACがデータを収集します。
分類： FortiNACの「Unknown」バケットを確認します。トラフィックの80%を占める20%のデバイスのプロファイルを作成します。
シミュレーション： 「Audit Mode」を有効にします。FortiNACは、VLANを実際に変更することなく、デバイスに対して何をするかをログに記録します。
実施： クローゼットごとまたは建物ごとにスイッチを切り替えます。

行動しないことの代償

5,000エンドポイント環境でのFortiNAC-F導入は、高可用性の要件にもよりますが、通常ライセンスとハードウェアで6万ドルから15万ドルかかります。これは未熟な者にとっては高く見えるかもしれません。しかし、「dumb」なビルコントローラーから始まる単一のランサムウェアによる横方向への移動イベントのコストは、その10倍にもなることが多いです。2026年には、状況の複雑さが増すため、レイヤー2のセキュリティを自動化していなければ、すでに戦いに敗れていることになります。

組織が肥大化したIoTフットプリントや失敗した802.1Xイニシアチブに苦悩している場合、TechLeagueのアーキテクトが実際に機能するZero Trustアーキテクチャの設計を支援します。FortiSwitch設計のベストプラクティスをご覧いただくか、techleague.ioでコンサルティングパッケージをご確認いただき、FortiNACへの取り組みを開始してください。