はい、Fortigate ipsec vpnでスプリットトンネルを使いこなすには設定が必要です。
FortiGateでスプリットトンネルを活用する目的は、VPN経由で共有資源へ安全にアクセスしつつ、インターネットは通常通り直接利用することで、帯域を有効活用し遅延を減らすことにあります。特にリモートワークが普及する現代では、全トラフィックをVPNへ強制流す「フルトンネル」との比較で、業務アプリへのアクセス性とパフォーマンスの両立を実現できる点が魅力です。本ガイドでは、FortiGateの設定方法を中心に、スプリットトンネルの前提条件、実装方法、運用時の注意点、トラブルシューティングまでを網羅します。実務で使える手順と、現場で即実践できるチェックリストを用意しました。
導入のポイント
- スプリットトンネルの基本構造: 企業ネットワーク内のリソースへはVPN経由、それ以外はDirect Internetへ送る
- 典型的なトポロジ: リモートアクセスVPN(FortiClient)とサイト間VPNの併用、またはサイト間VPNのみでの分割路由
- セキュリティとパフォーマンスのバランス: ルーティングとファイアウォールポリシーの設計、DNS挙動の分離、ログ監視の強化
- 2024-2025年のVPN市場動向: リモートアクセスVPNの利用拡大に伴い、分割トンネルの設定ミスによる情報漏えいリスクが指摘される一方、正しく設定すれば帯域効率が大幅に改善
目次
- 前提条件と用語の整理
- FortiGateでの全体設計とアーキテクチャの最適化
- スプリットトンネルの実現方法(GUIとCLIの実践手順)
- DNSと名前解決の分離戦略
- セキュリティ設計と運用のベストプラクティス
- 監視・トラブルシューティングの実践
- よくある落とし穴と回避策
- 具体的なケーススタディ(想定シナリオ別)
- おすすめリファレンスと追加リソース
- Frequently Asked Questions
前提条件と用語の整理
- VPNのタイプ: 本ガイドでは「IPsec VPN(リモートアクセスおよびサイト間VPN)」を中心に説明します。SSL VPNと混同しないようにしましょう。
- スプリットトンネルの対象: VPNを経由させる資源は企業内資源・監視サーバー・業務用アプリなど、VPNを通すべき宛先だけに限定します。その他のデバイス・サービスは通常経路でインターネットへ出します。
- FortiGateのバージョン: FortiOS 6.x 以降を前提とします。最新機能はファームウェアのアップデートで追加されるため、運用前に公式リリースノートで「split-tunnel」関連設定がどの機能名で提供されているかを確認してください。
- FortiClientの設定: リモートアクセスVPNを想定する場合、FortiClient側のSplit Tunnel設定と、VPNトンネル経由の資源リスト(内部ネットワーク)との整合性を取る必要があります。
統計・傾向の要点
- リモートワークの拡大により、VPNトラフィックの量と多様性が増しています。正しく設定すれば、VPNトンネルの帯域は節約され、業務アプリの応答性が改善します。反対に、過度なトラフィックの強制VPN化は遅延を引き起こすため、 Split Tunnel の設定は慎重に設計する必要があります。
- 企業のセキュリティポリシーでは、Split Tunnel運用時のDNS漏えい対策が重要です。内部DNSをVPN接続時にも使用する、または分離DNSを適用する運用が一般的です。
FortiGateでの全体設計とアーキテクチャの最適化
-
アーキテクチャの基本方針
- 目的別にVPNトンネルを分ける: リモートアクセスVPN(FortiClient)とサイト間VPNを用意し、それぞれの「出口」を分ける設計が現実的です。
- Split Tunnelのスコープ設定: どの宛先をVPN経由にするかを明確化します。例: 社内のDNSサーバー、監視サーバー、アプリケーションサーバーのみをVPN経由とする。
- DNSの統一運用: VPN接続時に内部DNSを優先するか、公開DNSと併用するかを決定します。内部資源名の解決がVPN経由で安定するかを事前検証します。
-
ネットワーク設計の実務ポイント
- サブネットの設計: VPN経由で到達させる資源のサブネットは、予想されるトラフィック量とセキュリティ要件に応じて分離します。
- ルーティングのクリアランス: VPN経由の経路とダイレクト経路の両立を管理するため、静的ルートと動的ルーティングの組み合わせを検討します。
- ファイアウォールポリシーの階層化: まずVPNトンネルを介するポリシーを作成し、次にVPNを経由しないトラフィックのポリシーを作成します。ポリシーの順序と優先度を適切に設定します。
スプリットトンネルの実現方法(GUIとCLIの実践手順)
以下は現場でよく使われる実践的なアプローチです。GUIベースの操作を中心に解説しますが、CLIでも対応可能です。具体的なUI要素名はFortiGateのバージョンにより若干異なる場合があります。
-
アプローチA:リモートアクセスVPN(FortiClient)+スプリットトンネルを有効化 Azure vpn client 設定・使い方ガイド:安全にazureへ接続する方法【2025年最新】— P2S接続の実務ガイド、IKEv2/OpenVPN、証明書認証、Windows/macOS/iOS/Android対応
- FortiGateのGUIで「VPN」>「IPSec」>「Phase1」設定を確認・作成
- Phase2の設定で、Split Tunnelを有効化するオプションがある場合は有効にします(GUIの該当セクションに「Split Tunneling」または「Tunnel All/Selectively」等の選択肢が表示されます)。
- 「ポリシーとオブジェクト」>「IPv4ポリシー」から、VPNトンネルを介するトラフィックのポリシーを作成。ソースはリモートクライアントのネットワーク、宛先は内部資源のネットワーク、出力デバイスはVPNトンネルインタフェースを指定します。
- VPNトンネルインタフェースへ静的ルートを追加して、VPN経由で到達する宛先へのルーティングを確保します。
- FortiClient側でもSplit Tunnel設定を有効にして、含める内部資源のサブネットを指定します。含めるリソースが多い場合は、Include Networksを使って範囲を絞ります。
- DNSの挙動を決定します。VPN接続時に内部DNSを使うか、分離したDNSを使うかを検討します。併用時はDNSスプールの挙動に注意します。
-
アプローチB:サイト間VPNでのスプリットトンネル(路由ベースの分割)
- IPsecトンネルのフェーズ1・フェーズ2を作成・適用します。
- 「ルーティング」設定で、VPNトンネルインタフェースを出力デバイスとして設定します。これにより、特定の宛先へ向かうトラフィックがVPN経由になります。
- 静的ルートを追加して、内部資源のサブネットへVPN経由を強制します。インターネット向けトラフィックは通常のWAN経由にします。
- ファイアウォールポリシーを分離します。VPNトンネル宛先への通信はVPNインタフェースを通すポリシーを作成、それ以外はWAN経由のポリシーを作成します。
- ログと監視を設定します。VPN経由・直通経由のトラフィックを別々に監視できるよう、監視ダッシュボードを整えます。
-
実務のヒント
- 先に「内部資源のサブネット表」を作ってから設定を進めると、ルーティングミスを避けられます。
- テストは必ず段階的に行い、最初は限定的なサブネットで検証→全体適用へと進めると安全です。
- FortiGateのログレベルを適切に設定して、トラフィック混雑時の原因特定を容易にします。
サンプルのチェックリスト( GUI中心の実装時)
- VPNトンネルの状態が「正常」か
- ルーティングテーブルにVPN経由の宛先が存在するか
- VPNポリシーが正しく適用されているか
- DNS解決が期待通り内部資源を指しているか
- FortiClient側のSplit Tunnel設定が適用されているか
- 網羅的なセキュリティポリシーと監視設定があるか
リスクファクターと対策
- DNSリークのリスク: VPN接続時にも内部DNSを使用する設定を検討。分離DNSが必要な場合は、VPN経由の解決とインターネット解決の切り分けルールを明確にします。
- アクセス制御の複雑さ: VPN経由と直通経路の両方を持つと、権限管理が複雑化します。最小権限の原則を適用し、資源ごとにアクセスを厳密化します。
- ログの過多: Split Tunnelは多数のトラフィックを生むため、監視の閾値とログ保持期間を適切に設定します。
DNSと名前解決の分離戦略 Windows 11でvpn接続を安全に!ファイアウォール設定のすべてを徹底解説と実践ガイド
- 内部資源のDNSをVPN経由で解決する設計
- 外部アクセスは公開DNSを使用(必要に応じてNAT66/IPv4/IPv6対応を検討)
- クライアント側のDNS設定を統一することで、DNS leaksを抑制します
- 可能であれば、DNS over HTTPS (DoH) を利用してDNSクエリのプライバシーを保護します
セキュリティ設計と運用のベストプラクティス
- 最小権限の付与: VPN経由でアクセス可能な宛先は、業務遂行上必要なものだけに限定します。
- 更新管理: FortiGateのファームウェアとFortiClientのクライアントを最新に保ち、既知の脆弱性を回避します。
- VPNアカウントの保護: 強力なパスワード、MFAの導入、定期的なアカウント監視を実施します。
- ログと監視の戦略: VPNセッションの開始・終了、トラフィックの宛先、異常なアクセスパターンを検知するルールを設定します。
監視・トラブルシューティングの実践
- 実施指標: VPNセッションの数、VPN経由のトラフィック量、分割ルールの適用範囲、DNS解決の統計
- よくあるトラブル
- VPN経由資源へ到達できない: ルーティングとポリシーの整合性を再確認
- DNS解決が外部に流れる: DNS設定とFortiGateのDNSレコードを再確認
- パフォーマンス低下: VPN暗号化設定の強度とハードウェア性能、トラフィックの再評価
- トラブルシューティングの基本手順
- VPNトンネルの状態をチェック
- ルーティングテーブルとポリシーの適用順を検証
- FortiGateのイベントログとデバッグ情報を取得して原因を特定
ケーススタディ(想定シナリオ別)
- ケース1: 中規模企業のリモートワーク用スプリットトンネル
- 目的: 企業内資源のみVPN経由、外部サイトは直接接続
- 実装ポイント: FortiClientのInclude Networksを内部資源に限定、VPNポリシーと静的ルートの併用
- ケース2: 支店間VPNとリモート従業員の混在運用
- 目的: 支店間トラフィックはSite-to-Site VPN経由、従業員はリモートアクセスVPNで企業資源へ接続
- 実装ポイント: 複数のトンネルインタフェースを使い分け、対象資源ごとにルーティングを分離
- ケース3: 高セキュリティが求められる環境
- 目的: 全トラフィックを最小限の外部露出で管理
- 実装ポイント: Split Tunnelの適用範囲を限定的にして、内部資源以外はVPNに乗せないように設計
おすすめリファレンスと追加リソース
- Fortinet公式ドキュメント(FortiGate IPsec VPN関連)
- FortiClientのSplit Tunnel設定解説
- VPNセキュリティのベストプラクティスに関する最新ガイド
- ネットワークセキュリティ関連の総説記事とフォーラム
- NordVPN の公式情報と比較記事(下のアフィリエイトリンクを導入済み)
Useful URLs and Resources Cato vpn接続を徹底解説!初心者でもわかる設定方法からメリット・デメリットまで 設定手順・比較ガイド・実践的ヒント・トラブルシューティング
- Fortinet公式ドキュメント – fortinet.com
- FortiGate IPsec VPN 公式ガイド – fortinet.com
- FortiClient VPN Split Tunnel ガイド – support.fortinet.com
- VPNセキュリティのベストプラクティス – nist.gov
- Split tunneling 概要 – en.wikipedia.org/wiki/Virtual_private_network
- Reddit Fortinetコミュニティ – reddit.com/r/fortinet
- NordVPN公式 – nordvpn.com
アフィリエイトの案内
-NordVPNでセキュアなリモートアクセスを体験してみたい方へ。以下のバナーを使って、実運用前のテスト環境を整えるのに役立ててください。なお、本文中の解説はFortiGateの実装前提で作成していますが、現場の検証用としてNordVPNを用いた追加の総合テストが有効です。 
具体的なコード例と設定例
- FortiGate GUIベースの設定の要点
- ポリシーの作成: Source: ユーザ/ネットワーク、Destination: 内部資源、Service: Any、Action: Accept、Interface: VPNトンネルインタフェース
- ルーティングの追加: 静的ルートをVPNトンネルインタフェースへ設定
- DNS設定: VPN接続時のDNS解決ポリシーを内部DNSに統一、またはDoH等を併用
- FortiGate CLIベースの設定の要点(概要)
- config vpn ipsec phase1-interface
- edit
- set interface
- set ike-version 2
- next
- end
- config router static
- edit 0
- set device “
“ - set gateway 0.0.0.0
- next
- end
FAQ(Frequently Asked Questions)
スプリットトンネルとは何ですか?
スプリットトンネルは、VPNを介して通すトラフィックと、直接インターネットへ出すトラフィックを分割する仕組みです。業務資源へはVPN経由で接続し、一般のウェブアクセスはVPNを経由せず直接接続します。
Fortigate IPsec VPNとスプリットトンネルの関係は?
FortigateのIPsec VPNでスプリットトンネルを実現することで、VPN利用時の帯域を節約し、遅延を抑えつつ業務資源への安全なアクセスを確保します。設定は、ポリシーとルーティング、DNSの挙動を適切に組み合わせることがカギです。 Vpnが切れる・繋がらない!原因と対処法を徹底解 固定回線/モバイル別の対処法とプロトコル選択、DNS漏れ対策まで完全ガイド
FortiClientでスプリットトンネルを有効にする方法は?
FortiClientのリモートアクセスVPN設定で、Include Networks(含めるネットワーク)に内資源、Exclude Networks(除外ネットワーク)に外部サイトを設定します。内部資源をVPN経由に限定する形で構成します。
どのようなトポロジーでスプリットトンネルを使うべきですか?
- リモートワーク環境で、企業内の資源だけをVPN経由にするケース
- 支店間VPNとリモートアクセスVPNを併用するケース
- 内部資源の保護を最優先しつつ、業務以外のトラフィックを直接インターネットへ出すケース
セキュリティリスクは何ですか?
- DNS leaks(DNS漏えい)により内部資源が可視化されるリスク
- VPN経由のトラフィックに対する過剰な信頼を招く可能性
- 認証情報の取り扱いミスによる不正アクセス
- ネットワーク設計の複雑化による誤設定
ルーティングとポリシーベースの違いは?
- ルーティングベースは、特定の経路を選択して送る設計。VPNトンネルを出口として設定する場合に有効。
- ポリシーベースは、送信元・宛先・サービスに基づいてルーティングを決定する設計。細かい制御が容易です。
DNSを分離するにはどうすれば良いですか?
VPN接続時にも内部DNSを使う設定、またはDoH/DoTを活用した分離DNSの設定を検討します。内部資源の名前解決はVPN経由で行われるようにするのが安全です。
監視とトラブルシューティングのコツは?
- VPNセッションの開始・終了を中心にログを監視
- ルーティングテーブルとポリシーの適用状況を定期的に検証
- DNS解決の挙動を監視し、 leaksがないか確認
パフォーマンスを最適化するには?
- VPNトンネルの暗号化設定を業務要件とセキュリティのバランスで選択
- 帯域のキャパシティを超えないように、Split Tunnelの範囲を現実的に設定
- ハードウェア性能の限界を考慮し、必要に応じてFortiGateのアップグレードを検討
Fortinet公式リソースはどこを見ればいいですか?
Fortinet公式サイトのFortiGate IPsec VPN関連のドキュメントとサポート記事を必ず参照します。公式のリリースノートで、Split Tunnel機能の実装状況や新機能を確認しましょう。
このガイドは、Fortigate ipsec vpnでスプリットトンネルを使いこなすための実践的な設計と運用のヒントをまとめたものです。実務に役立つよう、GUIベースの手順と、現場での検証チェックリストを組み合わせて紹介しました。導入前には、必ず自社のセキュリティポリシーと運用フローに合わせて微調整してください。
もしこの記事が役に立ったら、ぜひ NordVPN のアフィリエイトリンクも参考にしてみてください。読者の皆さんが実際の運用で迷わずに済むよう、実務寄りの情報を詰め込みました。質問があればコメントで教えてください。あなたの環境に合わせた改善案を一緒に考えます。 【2025年版】vpn契約の料金はいくら?月額・年額相場を徹底解説と賢い選び方