SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【3分で分かるFortinet】【第18回】FortiClient/EMS(Fabric Agent) 機能概要

  1. ホーム
  2. 技術ブログ
  3. セキュリティ
  4. 【3分で分かるFortinet】【第18回】FortiClient/EMS(Fabric Agent) 機能概要
セキュリティ
2021.03.26

はじめに

こちらのブログでは、VPNクライアント機能を含むエンドポイントソフトFortiClientと、そのFortiClientを管理するための専用サーバーであるEMSを使って実現できる機能に関して、概要をまとめました。

「FortiClient VPN」という無償版のソフトと、今回紹介する「FortiClient」との違いなどの詳細はこちらのブログにまとめて記載がありますので、必要に応じて内容をご確認ください。

簡単にまとめると、「FortiClient VPN」は無償でVPN接続をサポートしておりますが、「FortiClient」としてご購入いただくことでVPN接続として使う場合はもちろん、エンドポイントに関わる多くの管理・セキュリティ機能をお使いいただけます。

ftrmt_6.png

EMSとは何か?

一言でいうと、FortiClientを管理するための専用サーバになります。

「FortiClient」を購入いただき利用される場合は、必ずEMSサーバの環境が必要になります。

FortiClientのライセンス(Fabric Agent)を購入いただくと、FortiClientのユーザーライセンスとEMSのソフトウェア利用権が含まれますので、EMSをインストールするための専用のWindows Serverを別途ご用意ください。

※既存のADなどに追加でインストールすることは不可となっているため、専用のものを用意ください。

EMSシステム要件

・Windows Server 2012以降

・2.0 GHz 64 ビットプロセッサ、6つの仮想CPU(6 vCPU)

・8GB RAM(10 GB以上のRAMを推奨)

・40 GB のディスク空きスペース

・ギガビット(10 / 100 /1000 BaseT)Ethernet アダプタ、インターネットアクセス

EMSの機能紹介

EMSからFortiClientを管理することで実現できる代表的な機能や、EMSとの連携に関わるFortiGateの機能を一部紹介させていただきます。

ftrmt_7.png

EMSの代表的な機能として、FortiClientを対象端末に配布できる機能があります。

事前にEMSの管理画面上より、FortiClientの各種機能の有無や設定の情報を定義させたプロファイルを複数作成することができます。

VPNの接続先の情報や、セキュリティ機能を管理者の方でカスタマイズしたものをユーザに配布することで、FortiClientが入った端末の制御やセキュリティポリシーの管理もよりしやすくなります。

ftrmt_8.png

AutoConnect,AlwaysUp,On-net/Off-net機能をはじめとして、無償版のFortiClient VPNではサポートされていない機能やアクセス制御も、EMSと連携させたFortiClientで行えます。

FortiClient上からアプリケーションを指定してローカルブレイクアウトする機能などもあります。

ftrmt_9.png

FortiClientには、インストールした端末のソフトウェアの脆弱性の情報をチェックする脆弱性スキャン機能があります。

EMSの管理画面上から、FortiClientで検知された脆弱性の情報を脅威レベル・端末・サービス・脆弱性の種類などから分かりやすく可視化された情報を確認することができます。

また、発見された脆弱性に対してEMSから修正パッチの適用をする機能もあり、その脆弱性のスキャンやパッチの適用はEMSからの手動でも、事前にFortiClientに定義しておくことでスケジュール、自動化させることも可能です。

ftrmt_10.png

端末の可視化に関しては、脆弱性の情報だけでなくインストールされているソフトウェアを一覧で管理できるソフトウェアインベントリという機能があります。

どの端末にどんなアプリケーションがインストールされているか、バージョンやインストールされた時期の情報などもEMSより確認することができます。

ftrmt_11.png

Security Fabricのオートメーション機能を使うと、端末が被害に合った場合、検知をしてその端末を自動で隔離させることができます。

管理者が気がつく前に社内ネットワークへの感染を防ぐことができる機能になりますが、EMSを連携させることでFortiClientがインストールされている端末が感染した際に、外部/内部へのネットワークアクセスができないように隔離を行なう設定ができます。

オートメーションによる自動隔離の詳細、EMSでの設定例に関してはこちらのブログに詳しく記載があるので見ていただけたらと思います。

ftrmt_12.png

EMSと連携したFortiGateで実現できる、ダイナミックポリシー機能というものがあります。

端末の情報を元にEMSでFortiClientにタグをつけ、そのタグの情報を使用してFortiGateのポリシーを作成できます。

タグづけができる情報は以下です。OSとタグの情報を識別してポリシーに反映できるため、端末の情報を元にした詳細なアクセス制御の設定が可能になります。

・証明書情報
・ドメイン情報
・ファイルの格納
・OSバージョン
・プロセス情報
・レジストリ―キー情報
・脆弱性のあるデバイス(high~lowでリスクレベルを選択)

終わりに

EMSに関して概要の機能を紹介いたしましたが、テレワークへの移行によるVPNの需要やその際のセキュリティの観点から少しずつ問い合わせなども増えている現状です。

FortiGateにてVPN導入をしていただいているお客様も多いですが、今後のセキュリティ強化の際など、ぜひFortiClient・EMSの機能も知っていただきご検討ください。

他のおすすめ記事はこちら

【3分で分かるFortinet】【第17回】FortiGate/FortiClient 押さえておきたいVPN関連情報

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
小野 詩織

Related Posts

関連記事