はじめに

テレワーク時のリモートアクセスに関して、FortiGateとFortiClient VPNソフトを使って実現していただいているお客様も増えておりますが、ユーザID+パスワードに加えたセキュリティをご検討される場合の選択肢の一つに、ワンタイムパスワードによる二要素認証があります。

こちらのブログでは、FortiGateにてVPN接続を行なう際のワンタイムパスワードによる二要素認証のうち、Emailによって認証コードを発行する設定方法をご紹介します。

● FortiGateとFortiClientVPNにて可能な二要素認証は主に以下となります。

・Emailベースでのワンタイムパスワード

・FortiTokenでのワンタイムパスワード
（ハードウェアトークン or アプリ[FortiTokenMobile]）

・SMS（制限あり）

・証明書

その他、SSL-VPNの場合、MACアドレス認証やホストチェック（OSバージョン、AV/FWの有無）の設定に関してお問い合わせをいただくことがよくありますが、こちらはFortiClientの有償ライセンスの購入（Fabric Agent）と管理するEMSサーバの導入が必要になってきます。

テレワークソリューションの概要やFortiClientに関する詳細情報は以下ブログにも記載がございますので、こちらもご参照ください。

テレワークソリューション紹介　

FortiClient6.2アップデート情報

ワンタイムパスワード設定（Email）

Emailでワンタイムパスワード、認証コードを送るやり方ではTokenなどを別途購入する必要がございませんが、事前にSMTPサーバの指定と一部CLIでの設定が必要となってきます。

環境

FortiGate VM 6.4.3

FortiClient VPN 6.4.0

メールサーバ

１、SMTPサーバの設定

GUI上にて　システム＞設定＞Eメールサービス　SMTPサーバの情報を入力します。

２、Email二要素認証の有効化とEmailアドレスの設定

CLIにて、以下コマンドを入力して設定を行ないます。

config user local

edit <ユーザ名>

set two-factor email

set email-to <Emailアドレス>

end

CLIでの設定が反映されると、GUI画面のユーザ情報より二要素認証が有効化され、先ほど入力したEmailアドレスが設定されていることが確認できます。

※バージョンによって一部GUIでの設定が可能な場合もございますが、本環境のFortiGate6.4.3では、Emailでの二要素認証及びアドレスの登録はCLIからの操作のみ可能となっております。

３、SSL-VPNにて接続確認

FortiClient VPNより、VPN接続ユーザとパスワードを入力して接続を試みると

下記のようにトークンの入力を促されます。

先ほど指定したメールアドレス宛に、以下メールのように認証コードが送られてきます。

トークンの項目に認証コードを入力すると、無事接続が完了できました。

まとめ

ワンタイムパスワードの場合、ユーザ側で認証コードを受け取り入力するという手順が一つ増えてしまう点、Emailベースの場合はFortiGateではCLIでの操作が必要という点が懸念事項としてあると思います。

しかし、ユーザ情報は既存ADなどの認証サーバから情報を紐づけて設定することもできますし、証明書の配布などに比べて導入が比較的容易に行なえるやり方でもございますので、FortiGateでのVPNのセキュリティ強化の選択肢の一つとして覚えていただけたら幸いです。

なお、こちらの設定手順ではVPNの設定は完了している前提となり省略しております。

SSL-VPNの設定手順は下記、別ブログにてご確認ください。