はじめに

Fortinet社では、FortiGate CloudというFortiGateを管理できるクラウドサービスを提供しており、FortiGateと連携することでデバイス管理機能・ログレポート機能・クラウドサンドボックス機能等を利用することができます。

本ブログでは、FortiGate Cloudとの連携で利用可能なサンドボックス機能について、具体的な設定方法を紹介します。通常、サンドボックス製品は高価な場合が多いですが、FortiGate Cloudのサンドボックス機能*に関してはFortiGate のアンチウイルスライセンスがあれば利用することができます。

（*以後、Cloud Sandboxと表記）

FortiGateから連携設定

では、実際のFortiGateの画面で設定手順を紹介していきます。

（※FortiGate のOSバージョン　6.4.6での手順になります。）

まず「システム」＞「表示機能設定」より、「FortiSandbox Cloud」機能の項目をオンにします。

「セキュリティファブリック」＞　「ファブリックコネクタ」　を開くと、FortiGateで連携する製品の設定がそれぞれできる画面が表示されますが、「FortiSandbox Cloud」を選択して開きます。

FortiSandbox Cloud設定のステータスを「有効」にし、地域を「日本」に指定します。

これで連携の設定は完了です。

※参考　CLI設定方法

もしも、GUIでの設定ができない場合は、CLIからの有効化を行ないます。

表示機能設定の有効化をしていない状態ですと、「セキュリティファブリック」＞　「ファブリックコネクタ」　から「FortiSandbox Cloud」の項目が出てきません。

「FortiSandbox」を選択すると"FortiSandbox設定" と表示がされていますが、Cloud Sandboxを利用するため、CLIにてリージョンの指定とアップデートを行います。

コマンドを打つとリージョンの指定ができるので、" 0 " でJAPANを選びます。

次に "execute forticloud-sandbox update" コマンドを打ちます

ファブリックコネクタの画面に戻ると、表示がFortiSandbox Cloudに変わり、ステータスの下にリージョン（地域）の表示が現われます。

接続ステータスや送ったファイルの統計情報の項目が表示されるようになりました。

CLIで設定を行なった場合の連携は、こちらで完了です。

ファイル送信設定

続いて、Cloud Sandboxに送るファイルの設定です。アンチウイルスプロファイルの設定から、検査のために疑わしいファイルのみを送るか、サポートされるすべてのファイルを送るという設定ができます。

Cloud Sandboxでは、FortiGateのモデルごとに1日のうちに送れるファイルの上限数というのが定まっていますので、疑わしいファイルのみ、もしくは除外するファイルタイプを選択することで、送るファイルの数を調整することを推奨します。

FortiSandboxデータベースを利用するというチェックを入れます。

Webフィルタの機能でも、Cloud Sandboxで検知した情報を元に制御を行なうことができます。

設定したアンチウイルスのプロファイルを、検査する通信のファイアーウォールポリシーで有効化します。

FortiGate 側の設定は以上です。

FortiGate Cloud　からの確認

通信を発生させた後、FortiGate Cloud側の画面を確認してみます。

送られてきたファイルの種類、数や検査結果がダッシュボード上に表示されます。

ファイルレコードの項目では「クリーンファイル」「リスクのあるファイル（低・中・高）」「マリシャス判定のファイル」と分かれており、それぞれから検査したファイルの詳細も確認できます。

FortiGate Cloudは無償でアカウントを作成しての利用が可能となっており、こちらのCloud Sandboxの画面は無償のアカウントでも確認することができます。

有償のライセンスを購入するとFortiGate Cloudの有償機能として、ログや疑わしいファイルの情報が1年間保存できるようになり、FortiGateのコンフィグ管理機能なども使えるのでお勧めです。

サンドボックスといえば未知の脅威対策として有名ですが、ぜひFortiGateと合わせてご利用ください。