Fortigate ipsec vpnでスプリットトンネルを使いこなす！設定かを極める

Fortigate ipsec vpnでスプリットトンネルを使いこなす！設定かは、現代の自宅/オフィス環境でのリモートアクセスを安全かつ柔軟に保つための重要な技術です。この記事では、初心者でもその場で実践できる具体的な設定手順、落としがちなミス、そして実運用で役立つベストプラクティスを分かりやすく解説します。短い要点を先に知りたい人向けに、最後まで読むべきポイントをまとめました。

快適さとセキュリティの両立を目指すあなたへ
実機での設定イメージをイメージしやすいステップバイステップ
最新の動作データとベストプラクティスを踏まえた解説

はじめに

Fortigateの IPSec VPNでスプリットトンネルを活用する最大のメリットは、VPN経由で特定のトラフィックだけをセキュアに通し、その他は直接インターネットへ出せる点です。これにより帯域の節約とレイテンシーの低減が期待できます。まずは結論を一言で言うと、「適切に設定すればセキュリティを保ちながら体感パフォーマンスを向上させられる」ということです。

以下の構成で解説します。

スプリットトンネルの基本概念と適用シーン
FortiGateでの設定手順（ GUI と CLI の両方）
トラフィック分離の最適化ポイント
よくあるトラブルとその対処法
実運用のヒントと監視のコツ
参考リソースと追加のセキュリティ対策

スプリットトンネルの基本概念と適用シーン

基本概念: スプリットトンネルは、VPN接続時に「VPN経由で走らせるべきトラフィック」と「インターネットへ直接出すトラフィック」を分ける設定です。全トラフィックを VPN へ送る「全トラフィック経由」と比較して、局所のリソースや外部アクセスの柔軟性を高めます。
適用シーン:
- 在宅勤務で社内リソースへだけセキュアにアクセスしたい場合
- 公衆Wi-Fi利用時のセキュリティ強化と通信速度の両立
- 一部のクラウドサービスへは直接接続したいが、企業内資産には VPN を経由させたい場合
注意点:
- スプリットトンネルを有効にすると、VPN 限定のセキュリティポリシーが適用されない経路が生じるため、個々のトラフィックを適切に制御する必要があります。

Fortigate での設定手順（GUI版）

前提
- FortiGate のファームウェアバージョンが最新に近いことを確認
- VPN トンネルの相手情報（フェイルオーバー先、IKE バージョン等）を把握
手順概要
1. VPN 物理インターフェースとトンネルの作成
2. Phase 1（ IKE）と Phase 2 の設定
3. スプリットトンネルのポリシー作成
4. ルーティング設定と分離トラフィックの確認
5. テストとデバッグ
具体的なステップ
- FortiGate の GUI へログイン
- VPN > IPsec Tunnels で新規作成
- 名前を付け、Remote Gateway（相手の公開IPなど）を入力
- Phase 1 の認証方法、暗号化アルゴリズムを選択
- Phase 2 のハッシュ、エンクリプション、Perfect Forward Secrecy の設定
- 「Split Tunneling」オプションを有効化し、VPN トンネルを通すトラフィックは「static routes あるいは policy-based routing（PBR）」で定義
- ルーティング > Static Routes で VPN トンネルインターフェースを経由するトラフィックの経路を設定
- テスト用にリモート端末から社内リソースへ ping/アクセスを実施
テストと検証
- VPN トンネルの状態を CLI で確認: get vpn ipsec sa
- ルーティングの確認: execute traceroute <内資源のIP> など
- Split トラフィングの検証: VPN 経由の資源と直接インターネットの資源を同時にアクセスして挙動を確認

Fortigate での設定手順（CLI版）

手順の要点
- config vpn ipsec phase1
- set interface [wan_interface]
- set ike-version 2
- set proposal aes256-sha256
- end
- config vpn ipsec phase2
- set keylifeseconds 3600
- set src-addr 0.0.0.0/0
- set dst-addr 0.0.0.0/0
- next
- end
- config vpn ipsec tunnel
- set split-tunneling enable
- set split-tunnel-routes 0.0.0.0/0? ここを実際には分割する資源に合わせて設定
- end
ポリシーの設定
- config firewall policy
- edit 0
- set srcintf
- set dstintf
- set srcaddr all
- set dstaddr all
- set action accept
- set comments “VPN Split Tunneling Policy”
- next
- end
ルーティングの確認
- get router info routing-table all
- 必要に応じて PBR ルールを追加

トラフィック分離の最適化ポイント

どのトラフィックを VPN 経由にするかを明確化
- 例: 社内資産（ファイルサーバ、ERP、メールサーバ）へのアクセスのみ VPN 経由、それ以外は直結
DNS の取り扱い
- VPN 経由で解決するドメインと、公開 DNS を使い分ける
- split tunneling 時には DNS leak を避けるため、VPN側 DNS サーバを適切に設定
DNS ゼロ信頼に近い運用
- Split トンネル時にも、社内資産へのアクセスは必ず SSH/HTTPS/TLS 越しの暗号化を確保
セキュリティポリシーの整合性
- 送信元・宛先のアドレスグループを厳密化
- 不要なトラフィックの VPN 経由を禁止するルールを追加
ログと監視
- VPN トンネルの接続状態、トラフィック量、エラーログを定期的に確認
- SIEM へのイベント連携を検討

実運用のヒント

構成のドキュメント化
- どのトラフィックが VPN 経由か、ルーティングのルール、IKE の設定値を一枚のドキュメントに
監視とアラート
- VPN 落ちやすい時間帯を把握して、再接続を自動化するスクリプトやルールを組む
ユーザー教育
- スプリットトンネルの利用時の注意点（社外の資産へ過度なアクセスを避ける、個人端末のセキュリティ対策を徹底）
セキュリティ強化
- MFA の導入、端末認証の強化、強力なパスワードと定期的な変更
パフォーマンス調整
- 暗号化アルゴリズムの見直し、ハードウェアの性能に合わせてセッションの再設定

よくあるトラブルと対処法

VPN が接続しても資源へ到達できない
- ルーティングの優先度を確認。VPN経由の経路が正しく設定されているか再確認
トラフィックが VPN 経由以外へ流れてしまう
- Split トンネル設定が正しく機能していない可能性。PBR や Policy で明確に分離を再設定
DNS 泥棒（DNS leak）
- VPN 側 DNS を必ず設定し、クライアント側の DNS 設定を VPN を経由して解決するようにする
接続が頻繁に切れる
- Phase 1/Phase 2 のタイムアウト値、再試行回数、KEEPALIVE の設定を見直す

ケーススタディと実例

事例1: リモートオフィスでの分離トラフィック運用
- 社内ファイルサーバへは VPN 経由、インターネットは直接接続
- 結果: 帯域の節約と作業効率の向上
事例2: 公衆Wi-Fi利用時のセキュリティ維持
- 公共ネットワーク上でのデータ保護を確保しつつ、クラウドアプリは直接接続
- 結果: セキュリティとパフォーマンスのバランス向上

比較表: 全トラフィック経由 vs スプリットトンネル

全トラフィック経由の特徴
- セキュリティ強度: 高い
- レイテンシ/帯域: 低下する可能性
- 管理の難易度: 高い
スプリットトンネルの特徴
- セキュリティ強度: VPN の適用範囲を適切に設定する必要あり
- レイテンシ/帯域: 向上する可能性
- 管理の難易度: 中〜高

セキュリティベストプラクティス

常に最小権限の原則を適用
VPN トンネルの定期的な監査と更新
暗号化アルゴリズムの選択は強力なものを使用
MFA の導入と端末のセキュリティ対策の徹底
ログの長期保存と監視の自動化

実用チェックリスト

FortiGate のファームウェアは最新か
VPN トンネルの Phase 1/Phase 2 設定は適切か
Split Tunnel の対象トラフィックは明確か
DNS の設定は VPN 側で統一されているか
監視とログの設定は有効か
ユーザー教育は整っているか

Frequently Asked Questions

Fortigate ipsec vpnでスプリットトンネルを使いこなす！設定かとは何ですか？

スプリットトンネルは、VPN経由で通すトラフィックを限定し、それ以外は直接インターネットへ接続する設定です。これによりセキュリティとパフォーマンスのバランスを取りやすくなります。

スプリットトンネルを有効にするとセキュリティは落ちますか？

適切に設定すればリスクを最小化しつつ利便性を高められます。ただし、VPN経由に含めないトラフィックにはセキュリティ対策を個別に適用する必要があります。

FortiGate GUI での設定と CLI の違いは何ですか？

GUIは直感的で設定が視覚的に分かりやすい一方、CLIは詳細な微調整が可能です。環境や運用チームの好みに合わせて使い分けましょう。

スプリットトンネルの対象をどう決めるべきですか？

社内資産へアクセスするトラフィックをVPN経由、それ以外は直接接続するのが一般的です。ただし、クラウドサービスやセキュリティ上重要な資産に関するトラフィックはVPN経由にすることを検討します。

DNS の扱いはどうするのがベストですか？

VPN側の DNS を使い、DNS leak を避ける設定を推奨します。Split トンネル時でも社内資産の解決に失敗しないよう調整が必要です。 Fortigate vpn ライセンス：これだけは知っておきたい購入・更新・種類・価格の全て

ルーティングをどう設計すべきですか？

VPNトンネル経由の資産と直接アクセスの資産を分け、PBR（Policy-Based Routing）や静的ルートを使って明確に分離します。

監視とログはどの程度重要ですか？

非常に重要です。VPN 接続状態、トラフィック量、エラーログを監視して、異常を早期に検知しましょう。

どのくらいの頻度で設定を見直すべきですか？

少なくとも半年ごとに見直しを推奨します。セキュリティ要件の変化や新たな資産の追加に合わせて調整します。

全トラフィック経由と比べて運用工数は増えますか？

設定は複雑になる場合がありますが、適切な設計と自動化で運用コストを抑えられます。初期の設計が肝です。

参考になる実務のチェックリストはありますか？

はい、トラフィック分類リスト、ルーティング表のサンプル、DNS 設定リスト、監視項目のリストを用意して運用すると良いです。 Forticlient vpn 旧バージョンをダウンロードする方法：完全ガイド 2026年版旧バージョンのダウンロードと安全な代替手段を徹底解説

あなたのFortigateでのスプリットトンネル設定が、実務での信頼性とパフォーマンス向上につながることを願っています。必要に応じて、Fortigateの公式ドキュメントや最新のセキュリティベストプラクティスも併せて確認してみてください。

[NordVPN の公式リンク]（https://go.nordvpn.net/aff_c?offer_id=15&aff_id=132441）を topic に合わせて紹介します。セキュリティ強化と操作性の改善に役立つ情報源として、読者のクリックを誘導する自然な文脈で引用しています。

Sources:

Edge内置vpn：全面指南、使用技巧与常见问题解答

Hotspot shield vpn review what reddit users really think: Honest assessment, pros, cons, and verdict

Nordvpn Not Working With Sky Go Here’s How To Fix It — Quick Guide, Tips, and Troubleshooting for Sky Go VPN Issues Cato vpn接続を徹底解説！初心者でもわかる設定方法からメリット・デメリットまで

Ez梯子：VPN 综述与实操指南，完整解析与实用技巧

Nordvpn comment utiliser la garantie satisfait ou rembourse sans prise de tete et conseils pratiques