皆さん、こんにちは。
ネットワールドSE 　西日本技術部の廣澤です。

 

今回はFortiClientEMSで利用可能な

「アプリケーションベースのVPNスプリットトンネル」

をご紹介します。

是非、最後までお読みいただければ幸いです。

• 意外？実はできなかったアプリケーションベースのスプリットトンネル
• FortiClientEMS「アプリケーションベーススプリットトンネル」
• FortiGate「Inline-CASB」との組み合わせも可能！
• 設定方法
  • FortiClientEMS
  • FortiGate
• 動作確認
  • ルーティングテーブルについて
  • 許可されているアカウントへの接続
  • 許可されていないアカウントへの接続
  • 個人用アカウントへの接続
• 最後に

意外？実はできなかったアプリケーションベースのスプリットトンネル

一般的なリモートアクセスVPNには「特定の宛先」だけVPNトンネル経由で通信するための、

スプリットトンネル

機能があります。

スプリットトンネルを活用することのメリットは以下の通りです。

メリット

・VPN装置に不要なトラフィック処理をさせずにVPN装置の負荷を軽減

・センター(VPN装置設置拠点)に不要なトラフィック迂回を防ぎ、回線のひっ迫を回避

FortiGateの「SSL-VPN」「IPSec-VPN」にもスプリットトンネル機能はありますが、

アプリケーションベースの制御が出来ず、以下のような課題がありました。

FortiClientEMS「アプリケーションベーススプリットトンネル」

上記のような課題を解決する機能がFortiClientEMSにあります。それは、

リモートアクセスプロファイル「アプリケーションベーススプリットトンネル」

です。

これまではFortiGateで設定したネットワークだけがスプリットトンネルの対象として、

処理されてきました。ですが、FortiClientEMSからアプリケーション情報を配布することで、

アプリもスプリットトンネルの対象として処理出来るようになりました。

また、スプリットトンネル対象とアプリケーションは「Include」「Exclude」の選択が可能です。

・Include･･･対象アプリケーションの通信を""トンネル経由””通信にする

・Exclude･･･対象アプリケーションの通信を""直接""通信にする

この機能により、リモートアクセスのアプリケーション通信可視化の課題が解決可能になりました。

※注意：本機能は2025/10月時点で「Windows OS」のPCのみ利用可能です。

FortiGate「Inline-CASB」との組み合わせも可能！

先日、FortiGate「Inline-CASB」機能についてご紹介しました。

blogs.networld.co.jp

今回ご紹介する「アプリケーションベーススプリットトンネル」は、

こちらの機能と連携させることでリモートアクセス時のテナント制御が可能になります。

なお、リモートアクセス時のテナント制御については、

「ZTNAアクセスプロキシ｣を利用する選択肢もあるので、

「将来的にはZTNAに切替予定だけど、今は既存VPN利用を継続しつつテナント制御しよう」

という柔軟な対応も可能です。

blogs.networld.co.jp

設定方法

FortiClientEMS

※プロファイル配布用ポリシーの設定等は完了している想定となります。

FortiClientEMSの「Remote Access Profile」でプロファイルを新規作成または編集します。

FortiClientに配布するVPN設定の編集画面に入ります。

左メニュー「Split Tunnel(Application Based)」を選択します。

基本的な設定を行い、対象アプリの追加へ移ります。

対象アプリを選択して追加します。

設定を保存します。

元の画面に戻って再度設定を保存します。

以上でFortiClientEMSの設定は完了となります。

FortiGate

※「SSL-VPN」「IPSec-VPN」の基本設定は完了している想定となります。

※「Inline-CASBプロファイル」の設定方法は以下の記事を参照してください。

【Fortinet】FortiGateでCASB？「Inline-CASB」を使ってみよう - ネットワールド らぼ

「VPNトンネルー＞インターネット」に通信するためのポリシーを作成します。

以上でFortiGateの設定は完了となります。

動作確認

ルーティングテーブルについて

FortiGateにVPN接続を行った状態でMicrosoft365に接続をするのですが、

まずは、

「Microsoft365接続前」

「Microsoft365接続後」

のタイミングでコマンドプロンプトから「route print」を実行した結果をお見せします。

「Microsoft365接続前」

「Microsoft365接続後」

Microsoft365接続前から後にかけてルート情報が多数追加されています。

これは、FortiClientが自動的に追加したルーティングでFortiClientEMSから配信された、

アプリ情報＝宛先(ISDB)情報

に合致する通信が発生すると同時に追加される仕組みになっています。

これがアプリケーションベースのスプリットトンネルの仕組みです。

許可されているアカウントへの接続

ここからは、実際に接続してFortiGateで制御されるか確認を行います。

まず、""許可されている""企業アカウントで接続を行います。

問題なくログインに成功しました。

許可されていないアカウントへの接続

次に""許可されていない""企業アカウントで接続を行います。

通信経路上のFortiGateでテナント制御が機能したことにより、ログインに失敗しました。

個人用アカウントへの接続

最後に個人アカウントに接続します。

通信経路上のFortiGateでテナント制御が機能したことにより、ログインに失敗しました。

最後に

以前ご紹介した「ZTNAアクセスプロキシ」パターンと比較して設定は非常に簡単です。

FortiGate側の変更箇所が最小限であるため、導入工数や障害時の切り戻しも楽な印象を受けました。

改めにはなりますが、

FortiClientEMSのプロファイル配布機能では、

「ZTNA利用ユーザ」と「VPN利用ユーザ」を分けて管理が可能です。

最終的には全ユーザを「ZTNA」へ移行することを前提に、

現時点ではVPN環境でもテナント制限を行いながら、FortiClientEMSのプロファイル配布機能を

活用して段階的にZTNAアクセスプロキシへ移行することで、セキュリティを担保しつつ、

移行のインパクトを最小限に抑えることができます。

もし、FortiGateでのテナント制限とZTNA移行にご興味ご関心がございましたら、

弊社営業までお声がけいただければと思います。

免責事項

• 本書は、株式会社ネットワールド（以下 弊社）が作成・管理します。
• 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
• 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
• 本書の利用は、利用者様の責任において行われるものとします。
• 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
  従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。