SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【3分で分かるFortinet】【第36回】FortiSASE SPAウィザードを利用した設定

Fortinet
2025.08.29

皆さんこんにちは!SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

FortiSASEが日本市場で登場してからすでに4年ほど経過し、少しずつ浸透してきています。

また、クォータごとのアップデートによる新機能の搭載も欠かさず行っており、進化し続ける製品となっています。

今回は、FortiSASEのSPA(Secure Private Access)についてウィザードを利用する接続方法が搭載されたため、こちらについて動作検証を行いました。

免責

FortiGate_Automation (1).png

SPA(Secure Private Access)とは

FortiSASE_SPA (1).png

SPAを実現するためには、FortiGate用SPAライセンスのほか、固定グローバルIPが必要です。

FortiSASE_SPA (2).png

今回はSPA設定の構築にウィザードを利用し、SPA設定のほかBGPについても自動的にパラメータを設定していきます。

FortiSASE_SPA (3).png

FortiGateの設定

今回のブログでは、FortiGateの基本的なインターネットアクセスを行うための設定(ルーティングや、ファイアウォールポリシなど)についてすでに設定済みであり、SPAのみ追加で設定する前提です。

VPN >> ファブリックオーバレイオーケストレータより、設定を行います。

SPAに必要な細かな設定についてもウィザードにより自動生成されます。

FortiSASE_SPA (4).png

FortiSASEからIPSecVPNの接続を受け付けるインタフェースを指定します。

FortiSASE_SPA (5).png

SPA接続後にアクセスさせたいネットワーク(インタフェース)を指定します。

ルータを利用し、内部セグメントがほかにもあるといった場合、ウィザード後に追加設定で補います。

FortiSASE_SPA (6).png

SPA用の構築パラメータを確認し進めます。

FortiSASE_SPA (7).png

ウィザードが完了すると、FortiSASE側に自動的にパラメータを埋め込めるキーを発行できるようになります。

FortiSASE_SPA (8).png

クリップボードにキーをコピーし、FortiGate側の作業は完了です。

FortiSASE_SPA (9).png

FortiSASEの設定

FortiSASEでは、SPAの設定を行う前にBGPの設定が必要です。

FortiGate側でコピーしておいたキーを入力し、適用します。

FortiSASE_SPA (10).png

キーの中には、BGPに必要なパラメータが含まれており、そのまま適用することでBGPの設定が完了します。

FortiSASE_SPA (11).png

BGPの設定が完了したら、SPAの設定に移ります。

BGPに貼り付けたキーをSPAでもそのまま使います。

FortiSASE_SPA (12).png

キーだけではSPA名と事前共有鍵が空白になるため、手動で入力して適用します。

FortiSASE_SPA (13).png

適用後は、FortiSASE, FortiGate相互で必要なパラメータが整うため、特に何もしなくてもFortiSASEからFortiGateに対してIPSecVPN接続が行われ、トンネルがアップ状態となります。

IPSecVPN接続時に、FortiSASEはFortiGateのBGPパラメータから、FortiGateの内部セグメントに対するルーティング情報を受け取ります。

FortiSASE_SPA (14).png

こちらはFortiGate側のIPSecVPNモニタです。

FortiSASE側のPoPs数分のIPSecVPNが接続されていることが確認できます。

※本検証では、FortiSASE(Advancedライセンス)にて、意図的に2つのPoPsを有効にしています。(本来は4つのPoPsを事前に構築する)

FortiSASE_SPA (15).png

SPAのHealthから、さらに学習済みBGPルーティング情報を確認します。

FortiSASE_SPA (16).png

FortiGate側でアドバタイズされたルーティング情報を確認することができます。

これによりFortiSASE→FortiGateへのトンネルのほか、ルーティングとしてもプライベートアクセスが動作するようになります。

※FortiSASE側にはSPA用のポリシが必要ですが、FortiGate側はウィザードによりファイアウォールポリシは自動生成されています。

FortiSASE_SPA (17).png

おまけ

SPAが正常に動作した後は、SYSLOGやFortiAnalyzerによるログの転送について、SPAトンネルを通過させることができるようになります。

これにより、安全にプライベートアクセス先にあるサーバに対して、ログを転送することができるようになります。

FortiSASE_SPA (18).png

いかがでしたでしょうか。

FortiSASEのSPA設定手順についてのご紹介でした。

以前のバージョンでは、SPAだけでなく、BGP、ファイアウォールポリシ、その他細かなオブジェクトなどを手動で設定することで環境を構築していたのですが、ウィザード機能により、SPA設定が非常に簡単にできるようになりました。

FortiSASEのアップデートは今後もますます続いていきますので、ご期待いただけますと幸いです。

以上、ご拝読ありがとうございました。

🌸 👇新しいWebページを公開しました👇 🌸Fortineエンジニアボイスバナー_1.png


※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
 正確性、最新性、完全性は保証できませんのでご了承ください。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 1課
長谷川 聡