FortiGateで管理者ログインを守る！二要素認証で実現する強固なセキュリティで不正アクセス対策

2025.03.28
ブログ

昨今、ネットワーク機器への不正アクセスからランサムウェア被害が多発しており、企業の大切なデータを守るために適切なセキュリティ設定での運用が不可欠となっています。そんな中、ログイン時のセキュリティ設定でパスワード認証の他に多く利用されているのが多要素認証です。この多要素認証は自分が本人であることを証明するために、複数の異なる方法（要素）を使って認証する仕組みで、IDに紐づいた知識要素（パスワードや PINコード、秘密の質問など）、所持要素（スマートフォンSMS、ハードウェアトークン、メールアドレス、ワンタイムアプリ、登録済指定端末によるアクセスなど）、生体要素（指紋、顔認証、虹彩認証など）によって認証を行うことで、パスワードが漏洩しても第三者の不正アクセスを防ぐことができます。

二要素認証とはこれらの要素から2つの要素を組み合わせる認証を指します。今回は FortiGate管理者アカウントの悪用を防ぐための多要素認証をご紹介し、その中の1つであるEメールでの二要素認証を設定する手順、ログインに失敗した際にアラートメールを通知する設定について見ていきましょう。

1. FortiGateで用いられる要素認証
2. メールによる二要素認証の設定
3. ログイン失敗時のアラート設定
4. 攻撃者によるログイン失敗時の挙動
5. FortiGate 導入でランサムウェア対策に適した環境を整える

FortiGateで用いられる要素認証

１．SMS

SMS送受信に用いられる電話番号は重複しない固有の番号なので、管理者の電話番号に紐づけてSMSによる認証を行います。

２．MACアドレス

ログイン端末やネットワーク機器固有の通信環境情報（MACアドレス）を事前登録しておき、その端末や機器を経由してからのログインで認証を行います。

３．Eメール

管理者の指定するメールアドレスを登録しておき、送信されたメール内にあるコードを入力して認証を行います。

４．FortiToken

FortiTokenはワンタイムパスワード機能を提供するソリューションで、ハードウェアデバイスのFortiToken とモバイルデバイス向けアプリケーションFortiToken Mobileがあり、トークンを生成し認証を行います。

メールによる二要素認証の設定

ここからは実際に FortiGate管理画面からメールによる二要素認証設定について見ていくことにします。

まずはじめに、CLIコンソールを開き、以下のように1行ずつコマンドを入力します。この際のメールアドレスは二要素認証で利用しますので管理者が受信可能な信頼できるメールアドレスを指定します。

システム＞管理者よりadminを編集します。

管理者の編集画面上で二要素認証が設定されていることがわかります。
※この際、認証タイプが「Eメールベースに二要素認証」、Eメールアドレスは指定したものになっていることを確認します。

以後、管理コンソールにログインしようとすると設定したメールアドレスにトークンコードが届くのでトークンコードを入力してログインすることになります。

二要素認証でログインでき、ダッシュボードが表示されました。

ログイン失敗時のアラート設定

二要素認証を設定している状態でも攻撃者はログインを試みます。ここからは攻撃者がログインを試みて失敗したことを想定して、アラートメールを通知する手順についてご紹介します。

セキュリティファブリック＞オートメーションから、「新規作成」をクリックします。

「名前」を入力し、「トリガーを追加」から「新規作成」をクリックします。

FortiOS イベントログで「名前」を入力し、イベントに「Admin login failed」を選択し、「OK」をクリックします。

作成したFortiOSイベントログを選択し、「適用」をクリックします。

「アクションを追加」をクリック、「新規作成」をクリックします。

Notifications でアラートを知らせる方法を「Eメール」に設定します。

アラートメール送信設定を行います。「名前」、「メールアドレス」、「サブジェクト」、必要に応じて「本文」を入力します。これでログイン失敗時にアラートメールが送信されるようになります。

攻撃者によるログイン失敗時の挙動

ログインを試みて失敗した際の様子をご紹介します。ログインに失敗すると登録したメールアドレスにメールが届きます。

FortiGate では 3回ログインに失敗すると 1分のアカウントロックがかかるようにデフォルト設定されています。

FortiGate 導入でランサムウェア対策に適した環境を整える

ランサムウェアやサイバー攻撃の対策には「これをやっておけば大丈夫！」というものはありません。これらの脅威が増す中、企業ネットワークのセキュリティ強化のための有効な手段として FortiGate の導入が注目されています。複雑化するこれらの攻撃に対し、FortiGate は高度なファイアウォール機能に加え、包括的なセキュリティ対策を提供し、企業ネットワークをランサムウェアやマルウェアなどから守ります。強固な認証と多層的なセキュリティ対策を駆使することで、企業の大切な情報資産を守る環境を整えましょう。

三谷商事ではPCなどの端末や周辺機器はもちろん、インフラ基盤の構築からセキュリティ製品の導入まで様々な製品を取り扱っております。関連の記事では弊社の導入実績をご紹介しておりますので併せてご覧いただけると幸いです。