FortiGateで起きているのは、古いVPN機能が1つ消えるだけの変更ではありません。FortiOS 7.6系では、クライアント向けトンネル方式の終了、2GBモデルの制約拡大、Agentless VPNの対象機種見直しが段階的に進んでおり、リモートアクセス全体の考え方を見直す必要が出てきました。
とくに60Fのような2GBモデルを運用している会社では、OS更新後も従来どおり使い続けられるとは限りません。一方で、70Gのような後継機に切り替えればすべて解決するわけでもなく、接続方式そのものをIPsec寄りに組み替え、必要ならZTNAやSASEも視野に入れるのが現実的です。
この記事では、FortiGate SSL-VPN廃止の概要を確認したうえで、変更の背景、利用会社への影響、移行手順、60Fから70Gへの更改ポイントまで整理します。
まず結論を先にまとめると、確認すべき点は以下の3つです。
- 2GBモデルではFortiOS 7.6.0の時点でSSL-VPN利用条件が大きく変わる
- FortiOS 7.6.3では、機種を問わずトンネル型SSL-VPNを継続利用できなくなる
- 代替はIPsec VPNが中心だが、長期的にはZTNAやSASEも検討対象になる
目次
FortiGate SSL-VPN廃止で何が変わったのか
まず押さえたいのは、「FortiGate SSL-VPN廃止」は1回の変更ではなく、FortiOS 7.6系で段階的に進んでいるという点です。
| バージョン | 主な変更 | 影響を受けるモデル |
|---|---|---|
| FortiOS 7.6.0 | 2GB RAMモデルでSSL-VPN web mode / tunnel modeが非対応 | 40F、60F |
| FortiOS 7.6.3 | トンネル型SSL-VPNは利用対象外となり、 設定項目も整理される | 全FortiGateモデル |
| FortiOS 7.6.3 | SSL-VPN web modeはAgentless VPNへ名称変更 | 全体方針 |
| FortiOS 7.6.4以降 | Agentless VPNも一部モデルで非対応 | 50G、70Gなど※ |
※FortiGate-90Gについては、7.6.1 以降、7.4.8 以降、7.2.12 以降、7.0.16 以降が対象
ポイントは、すべてのモデルとバージョンで同じタイミングに同じ変更が入ったわけではないことです。モデル別の制約とFortiOSの変更点を分けて見る必要があります。
FortiOS 7.6.0で2GBモデルは先に制限が始まった
Fortinetのリリースノートでは、2GB RAM以下のFortiGateでSSL-VPNのweb modeとtunnel modeがGUI/CLIから利用できなくなると案内されています。60Fはこの対象に含まれます。
つまり、60FではFortiOS 7.6.0の時点で、SSL-VPNまわりの制約がかなり強くなります。これまで通りのリモートアクセス環境を維持できる前提でアップグレードすると、運用トラブルにつながります。
FortiOS 7.6.3ではクライアント向けSSL-VPNを前提にできない
7.6.3に入ると、これまでのSSL-VPNトンネル接続を維持する設計は成り立たなくなります。FortinetはIPsecベースへの切り替えを案内しており、更新後は従来の設定をそのまま残せません。GUIやCLIで見える項目も変わるため、単純なバージョンアップ作業として扱うのは危険です。
実務上は、更新前に利用者・認証・接続先・切り替え順序を決めておくことが重要です。準備なしでOSだけ先行すると、既存ユーザーが接続できなくなり、運用やサポートに直接影響します。
Agentless VPNは残るが、そのまま置き換えにはならない
7.6.3では、従来のweb modeはAgentless VPNという扱いに変わりました。ただし、これはブラウザ経由のアクセス向けであり、クライアント型トンネル接続の代用品として考えるべきではありません。
しかも7.6.4以降は、70Gを含む一部機種でAgentless VPNも利用対象外になります。トンネルが使えなくなった後にweb方式へ逃がす前提は、長く通用しないと見ておいた方が安全です。
なぜFortiGateのSSL-VPNは廃止されるのか
背景には、セキュリティ上の負荷、運用面の見直し、製品アーキテクチャ整理の3つがあります。
1. セキュリティ面での攻撃リスクが高まっていた
SSL-VPNは長年利用されてきた技術ですが、近年は重大な脆弱性への対応が繰り返し必要になっています。外部へ公開されることが多い機能であるため攻撃の対象になりやすく、パッチ適用・監視・利用条件の見直しまで含めたセキュリティ管理コストが上がりやすいのが実情です。
Fortinet社がIPsec寄りの再設計を案内しているのは、機能名の付け替えではなく、リモートアクセス全体の安全性と運用性を組み直すためと考えるべきです。
2. Fortinetは移行先としてIPsecを中心に据えている
Fortinetが公開している移行ガイドでも、切り替え先の中心はIPsec VPNです。認証方式・ユーザーグループ・フルトンネル/スプリットトンネル・DNS・ポリシーといった条件を先に洗い出し、段階的に移していく進め方が示されています。
廃止後の現実的な受け皿はIPsec VPNです。別機能で延命するより、IPsec前提で設計し直す方が、その後のサポート方針にも合わせやすくなります。
3. 2GBモデルではメモリ制約による機能削減も進んでいる
FortiOS 7.4.4以降では、2GB RAMモデルでproxy関連機能が非対応になっており、ZTNAもこの制約に含まれます。60Fなどの2GBモデルでは「SSL-VPNが使えないならZTNAへ移行すればよい」と単純に言えない点が、実務上の注意点です。
この制約は、リモートアクセス設計だけでなく、機器更改の判断にも影響します。VPN方式の見直しとハード更改をセットで考える企業が増えているのはこのためです。
FortiGate SSL-VPN廃止による影響
問題の中心は、設定差分そのものより、業務継続とサービス提供への影響です。
アップグレード後にリモート接続が止まる可能性がある
7.6.3以降へ上げると、従来のトンネル型設定をそのまま維持できません。移行準備をせずに更新すると、リモートユーザーがつながらず、社内システムや業務サービスへの到達性に支障が出るおそれがあります。
特に、在宅勤務・拠点間のメンテナンス・外部委託先からの保守アクセスなどをSSL-VPNに依存している環境では、影響が大きくなります。
認証・証明書・クライアント配布の見直しが必要になる
IPsec VPNへ移行する場合は、既存の認証方式やクライアント配布方法を棚卸しする必要があります。ローカルユーザー・LDAP・RADIUS・SAML・多要素認証のどれを使っているかによって、移行作業の難易度と確認項目が変わるためです。
また、ユーザー側の接続手順やサポート窓口も見直す必要があります。管理者だけでなく、利用者向けの案内・導入時のヘルプ・問い合わせ対応の流れを整備しておかないと、切り替え時に負荷が集中しやすくなります。
60Fと70Gでも注意点が異なる
60Fは2GBモデルとして、7.6.0の時点でSSL-VPN web/tunnel両方の影響を受けます。さらにZTNAを含むproxy関連機能にも制約があります。
70Gは4GBモデルで、60Fよりも現行FortiOSへの適性は高めです。ただし、トンネル型SSL-VPNが使えなくなる流れ自体は同じく受けます。さらに7.6.4以降では、70GもAgentless VPNを使えない機種側に入ります。70Gを選ぶ意味は、旧方式を残すことではなく、IPsec中心の運用へ移しやすいことにあります。
移行先としてまず検討すべきなのはIPsec VPN
今回の変更に対応するうえで、最初に候補として挙がるのはIPsec VPNです。
なぜIPsec VPNが有力なのか
Fortinet公式資料では、トンネル方式が使えなくなった後の受け皿としてIPsec VPNが示されています。従来の見た目を再現することより、認証・接続先・ポリシー・クライアント管理を整理して、無理のない構成へ組み替えることが重視されています。
移行の基本ステップ
切り替えは、次の順で進めると整理しやすくなります。
- 現行環境の棚卸し:ユーザー数、認証方式、接続先セグメント、トンネル設定、DNS、ポリシー、端末種別を整理します。
- IPsec VPNの設計:IKEv1/IKEv2、暗号スイート、PFS、フルトンネル/スプリットトンネル、多要素認証の扱いを決めます。
- テスト接続:一部ユーザーで先行検証し、接続性・ログ・クライアント設定・社内システム到達性を確認します。
- 段階的な切り替え:いきなり全社切り替えにせず、部門単位や利用者グループ単位で順次移行します。
- アップグレードと旧設定廃止:IPsec側へ移した後にFortiOS 7.6.3以降へ上げ、旧SSL-VPN前提の設定や運用を整理します。
この順序を逆にすると、アップグレード後に接続できなくなってから復旧対応に追われる形になりやすいため注意が必要です。
SSL-VPN廃止を機に60Fから70Gへの更改も検討すべきケース
FortiGate SSL-VPN廃止はVPN方式だけの話ではなく、機器更改や保守条件を見直すきっかけにもなります。特に60Fを使っている会社では、VPNの代替方式と後継機選定を別々に考えるより、同じタイミングで整理した方が判断しやすくなります。
60Fを使っているなら、VPN再設計と機器更改を分けない方がよい
60Fは今も広く利用されるモデルですが、2GBモデルとしてFortiOSの制約を受けやすい立場にあります。SSL-VPNだけでなくproxy関連機能にも制限があるため、現行FortiOSで使い続ける場合は、接続方式・セキュリティ・サポート条件をセットで確認する必要があります。
このため、SSL-VPN廃止対応のタイミングで、単純な設定変更だけでしのぐのか、それとも機器更改を含めて見直すのかを判断する価値があります。後継機の検討は、単なる性能向上ではなく、今後の運用条件を満たせるかどうかで見るべきです。
実務で見るべきポイントは、カタログ上の最大スループットではなく、UTM・NGFW機能を有効にした状態での処理余力と、メモリによる今後のFortiOS制約耐性です。
70Gが後継候補として挙がる理由
70Gの優位性は性能数値だけではありません。FortiOS 7.4/7.6系のOS肥大化により、2GBモデルはUTM機能をフル活用するとメモリ保護状態(コンサーブモード)に陥るリスクがあります。コンサーブモードが発動するとUTM機能が制限されセキュリティ上の懸念が生じるため、4GBメモリを持つ70Gの運用余力は、SSL-VPN廃止対応を超えた長期的なメリットになります。
| 項目 | FortiGate 60F | FortiGate 70G | 更改時に見るポイント |
|---|---|---|---|
| FortiOS上のメモリ区分 | 2GBモデル系 | 4GBモデル系 | 2GB系で広がる機能制約を受け にくい |
| 搭載プロセッサ | FortiSoC4 | FortiSP5(最新世代) | 暗号化・ポスチャチェックの処理余力 |
| IPSスループット | 1.4 Gbps | 2.5 Gbps | セキュリティ機能有効時の余力が 増える |
| NGFWスループット | 1.0 Gbps | 1.5 Gbps | アプリ制御+IPS利用時の性能差が 出やすい |
| 脅威保護性能 | 700 Mbps | 1.3 Gbps | 1Gbps回線との相性がよい |
| 最大同時セッション | 70万 | 140万 | 多拠点・多端末環境で余裕がある |
60Fから70Gへの安全な移行実務ポイント
更改時に実務上押さえたいポイントは次の3点です。
1.インターフェース名の差分を先に確認する
60FはinterfaceのI/F名称(internal1〜5、a、b、dmz、wan1、wan2)を使いますが、70GではI/F名称(internal 1〜6、a、b、wan1、wan2)が基本です。Configを流用する場合は、ポリシー・静的ルート・VIP・SD-WAN設定で参照しているインターフェース名を置き換える必要があります。この確認を怠ると、移行後に通信が通らないポリシーが発生します。
2.FortiOSバージョン差をそろえて互換性を確認する
60Fと70GでFortiOSバージョンが離れすぎると、設定互換性の確認ポイントが増えます。更改時は、移行元と移行先のバージョンを可能な範囲で近づけたうえで作業した方が安全です。
3.FortiConverterの活用も検討する
ルート設定・VPN設定・ファイアウォールポリシー・オブジェクトが多い場合は、公式変換ツール「FortiConverter」(有償)の活用も検討したいところです。すべてを手作業で修正するより、変換支援を使った方が作業時間と確認負荷を抑えやすいケースがあります。
今後はZTNAやSASEも視野に入れるべきか
Fortinetは、長期的にはZTNAやSASEを含むゼロトラスト寄りのアクセス制御へ軸足を移しています。そのため、IPsec VPNは当面の代替として有力でも、長期的な最終形とは限りません。
ZTNAは通信のたびに端末状態を詳細に検証(ポスチャチェック)するため、メモリ消費だけでなくCPUによる暗号化・演算処理にも高い負荷がかかります。FortiSP5チップと4GBメモリを備えた70GはこのZTNA運用にも余力がある一方、2GBモデルの60FではZTNAを含むproxy関連機能に制約があり、既存機器のまま移行できるかは慎重な確認が必要です。
クラウド利用が多い企業・端末状態に応じたアクセス制御を強めたい企業・VPNへ広すぎる権限を持たせたくない企業では、ZTNAやSASEも候補に入ります。いずれにしても重要なのは、SSL-VPN廃止を単なる設定修正ではなく、アクセス制御全体の見直しとして扱うことです。
FortiGate SSL-VPN廃止に関するよくある質問
FortiGateのSSL-VPNは完全に使えなくなるのですか?
一律ではありません。まず2GBモデルで制限が強まり、その後7.6.3でトンネル型SSL-VPNが全機種で使えなくなります。旧web modeはAgentless VPNとして残りましたが、7.6.4以降は機種によってこれも利用できません。
FortiOS 7.4系にとどまればSSL-VPNを使い続けられますか?
FortiOS 7.4系にとどまる限り、7.6系でのSSL-VPNトンネル廃止の影響を直ちに受けるわけではありません。ただし、FortiOS 7.4系はEOESが2027年5月11日、EOSが2028年11月11日までと案内されています。恒久的な延命策ではないため、脆弱性対応やサポート期限を確認しながら、この期間にIPsec VPNへの移行計画を進めるのが安全です。
60Fと70Gではどちらが影響を受けますか?
どちらも影響を受けますが、受け方が違います。60Fは2GBモデルとして7.6.0から制約が強くなり、70Gはトンネル方式の終了とAgentless VPNの機種制限の影響を受けます。
まず最初に何をすべきですか?
最優先は、現在SSL-VPNをどこでどう使っているかを棚卸しすることです。ユーザー数・認証方式・利用拠点・接続先・利用端末が整理できないと、IPsec VPNへの移行設計も更改判断も進みません。
まとめ
今回の変更は、FortiOS 7.6系で段階的に進んでいる重要な見直しです。特に7.6.3以降は、従来のトンネル型SSL-VPNを前提にしたままアップグレードするのが危険になります。
実務上のポイントは次の3つです。
- FortiOSを上げる前に、IPsec VPNへの移行計画を立てる
- 60Fのような2GBモデルは、機能制約を踏まえて更改も含めて検討する
- 70Gへの移行は有力だが、目的はSSL-VPN延命ではなく新設計への移行に置く
対応をVPN設定の差し替えだけで終わらせるのは不十分です。リモートアクセス方式・機器更改・今後のゼロトラスト対応まで含めて、早めに全体設計を見直すことが重要です。
当サイトでは、FortiGate製品の選定、ライセンス・バンドル構成の確認、60Fから70Gへの更改検討、SSL-VPN廃止に伴う移行支援サービスを提供しています。FortiGateの見積、導入条件の確認、構成検討が必要な場合は、製品ページやお問い合わせフォームをご利用ください。
※本記事は、Fortinetの公開データシート、FortiOS 7.4.4〜7.6.6の公開ドキュメント、SSL VPN to IPsec VPN Migrationガイドをもとに作成しています。FortiGate・FortiOSはFortinet, Inc.の登録商標です。
機種選定で迷った際は、ぜひアイティープロダクトにご相談ください。新品から中古・EOSL品まで幅広く在庫を取り揃えており、お客様の環境に合った最適な機種をご提案します。
他のFortiGate関連情報も比較検討したい方はこちら
本記事の情報は2026年5月時点のものです。最新の在庫状況はアイティープロダクトのサイトでご確認ください。