サマリー
- Fortinet の本番環境における中心的な基準は、承認されたセキュリティアクションである。ブロック、検疫、ポリシーインストール、インシデント更新、ファームウェア変更、AI 支援の修復など、十分に具体的で役立ち、かつ元に戻せることで、より大きな運用上の問題を引き起こさないことが求められる。
- 公開されている証拠は、FortiGate、FortiManager、FortiAnalyzer、FortiSOAR、FortiAI、FortiGuard、FortiCloud にわたる信頼できる制御プリミティブを示している。承認マトリックス、インストールプレビュー、リビジョン、構成のロールバック、アラートハンドラー、オートメーションステッチ、SOAR プレイブック、手動タスク、AI サマリー、FortiGate コネクターアクション、パブリッククラウドステータスページなどである。
- 難しいのは機能の有無ではない。Fortinet の価値は、証拠の品質、ADOM と VDOM の範囲、ID とエンドポイントの状態、アプライアンスファームウェア、ポリシーパッケージの整合性、アラートの誤検知、アナリストのレビュー、ロールバックのリハーサルに関する顧客の規律に依存する。
- Fortinet の商業的説得力は、アプライアンスごと、ブロックされたイベント、AI 推奨のコストではなく、承認・検証されたセキュリティアクションあたりのコストを測定するときに最も強まる。ツールの乱立を減らす統合プラットフォームは、同時にスイッチングコスト、ライセンスの複雑さ、管理プレーンへの依存を集中させる可能性もある。
アラートの後のアクションが製品のテストである
セキュリティオペレーションセンターは、ホストが侵害された可能性があるというアラートを受け取る。ダッシュボード上の簡単なストーリーでは、製品が脅威を検出したとされる。本番の現実はもっと厄介だ。アナリストは、ホストが実際に侵害されているかどうか、証拠が新しいかどうか、ターゲットがディレクトリに表示されているのと同じ資産かどうか、トラフィックがビジネスクリティカルかどうか、エンドポイントが管理されているかどうか、検疫が旅行中の役員ラップトップを遮断しないか、ファイアウォールブロックが支払いフローを壊さないか、ウェブフィルターの変更が共有プロキシに影響しないか、そして決定が間違っていた場合に取り消せるかどうかを判断しなければならない。
これが Fortinet, Inc.にとっての正しい分母である。Fortinet は単なるアプライアンスや脅威フィードの販売者ではない。FortiGate、FortiOS、FortiManager、FortiAnalyzer、FortiSOAR、FortiAI、FortiGuard、FortiCloud の各サーフェスにわたって広範なセキュリティプラットフォームを運営している。同社が最も強みを発揮するのは、これらのサーフェスが反復的なセキュリティタスクをアラートから承認されたアクションへと、証拠チェーンを失うことなく移行させるときである。アクションは、FortiGate の検疫、FortiManager のポリシーインストール、FortiSOAR のブロック/ブロック解除操作、FortiAnalyzer のインシデントノート、FortiAI が生成するクエリ、またはファームウェアアップグレードかもしれない。いずれの場合も、有用なアウトプットは「システムが何かを行った」ではない。「組織がこの正確なアクションを受け入れ、その範囲を理解し、理由を記録し、結果を検証し、回復できた」である。
Fortinet の公開製品カタログは、この分母がなぜ重要なのかを明確にしている。同社は製品ページに FortiGate NGFW、FortiGate Cloud、FortiGuard AI-Powered Security Services、FortiManager、FortiAnalyzer、FortiOS、FortiSOAR、FortiSIEM、FortiNAC、FortiSASE、その他のプラットフォームサービスを掲載している。年次報告書では、FortiGate 製品の売上が大きく、FortiGate セキュアネットワーキングハードウェアにはファイアウォール、次世代ファイアウォール、セキュアウェブゲートウェイ、SSL インスペクション、SD-WAN、侵入防止、データ漏洩防止、VPN、スイッチ/ワイヤレスコントローラ、WAN エッジ機能が含まれると述べている。同じ提出書類は、FortiGuard、FortiCare、SaaS、サポートサービスからの製品収益を分けており、これらは期間にわたって提供される(Fortinet 2025 Form 10-K)。
この組み合わせは、独特の運用上の問題を生み出す。Fortinet は多くの場合、報告レイヤーだけでなく、実際のトラフィックの経路上に存在する。誤検知は、ダッシュボード上の悪いスコアではない。ブロックされた IP アドレス、無効化されたエンドポイント、拒否された管理者ログイン、停止したトンネル、誤ったターゲットにインストールされたポリシーパッケージ、メンテナンスの夜を消費するファームウェアウィンドウになり得る。検出漏れはさらに悪いかもしれないが、この記事のポイントは、セキュリティ購入者が両面を数えなければならないことだ。より良い防止は、値段のつかない回復作業を生み出さない場合にのみ価値がある。
Fortinet をブロックされた試行の量や製品ファミリーの幅で判断したくなる。それらの数字は役立つこともあるが、本番の問いに決着をつけるものではない。何百万ものイベントをブロックするファイアウォールでも、1つの自動応答が過度に広範囲であればトラブルを引き起こす可能性がある。有用なサマリーを書く AI アシスタントでも、アナリストが推奨をログや影響を受ける資産に結びつけられなければ安全ではない。数分を節約する SOAR プレイブックでも、ブロック解除パスが曖昧であれば依然としてコストがかかる。公開ステータスページがグリーンでも、顧客のローカルアプライアンスがポリシー外やファームウェアサポート外であることはあり得る。
より良いテストは、反復的なタスクから始まる。ネットワークセキュリティチームにとっては、「この C&C 宛先を適切な施行ポイントで4時間ブロックし、その後ブロックを解除し、ビジネスサービスがまだ機能していることを証明する」かもしれない。SOC にとっては、「ID、デバイス状態、アラートソース、ビジネスオーナーを確認した後にのみこのエンドポイントを検疫し、その後解放基準を文書化する」かもしれない。マネージドセキュリティプロバイダーにとっては、「承認されたワークフローを通じて、テナントを混在させることなく顧客固有の FortiGate ポリシー変更を適用し、監査のための証拠を保持する」かもしれない。AI 支援アナリストにとっては、「FortiAI を使用してコンテキストを収集し、クエリを提案するが、封じ込めステップの受け入れには人間が必要」かもしれない。
Fortinet のプラットフォームは、その種の作業に必要なプリミティブの多くを備えている。公開ドキュメントには、承認ワークフロー、インストールプレビュー、ポリシーリビジョン、構成リビジョン履歴、オートメーションステッチ、着信 Webhook 検疫、アラートハンドラー、AI 調査サポート、SOAR トリガー、手動入力、ブロック/ブロック解除コネクターアクションが示されている。問題は、それらのプリミティブが利便性のボタンとしてではなく、制御システムとして運用されているかどうかである。
FortiGate はアクションを重大なものにする
FortiGate は、セキュリティの意図がライブトラフィックと出会う場所であるため、Fortinet の最も重要な境界である。ポリシー、サブスクリプション評決、自動化アクションは、パケットフロー、ユーザーアクセス、ブランチ接続、SD-WAN ルーティング、インスペクション動作、エンドポイント応答に影響を与え得る。クラウド管理、AI アシスタント、SOAR ワークフローが追加されても、同社のアプライアンスの伝統が依然として重要である理由である。
公開されているFortiGate NGFWページは、公開されたモデルメトリクスと脅威保護の位置付けを備えた大規模なアプライアンスファミリーを示している。これらの数字は、購入者がフォームファクターを比較するのに役立つかもしれないが、承認されたセキュリティアクションを測定するものではない。承認されたアクションは異なる形状をしている:どのインターフェース、どの VDOM、どのポリシー、どのオブジェクト、どのソース、どの宛先、どのユーザー、どの時間枠、どのログパス、どのロールバック。ルールが広範囲にインストールされたり、ロールバックがトラフィックを回復してもポリシーデータベースが不整合のままだったりすれば、高いスループットがあっても悪い結果を生み出す可能性がある。
FortiGate のオートメーションステッチは、魅力とリスクの両方を示している。FortiOS 8.0のドキュメントによると、オートメーションステッチはトリガーとアクションの2つの部分からなる。トリガーは特定のログやログイン失敗の試行であり、アクションは FortiGate がそれに応じて行うものである(オートメーションステッチ)。これは手動応答時間を短縮する明確な方法である。それはまた、トリガーの品質がアクションの一部になることを意味する。トリガーがノイズが多い、古い、または範囲が正しくない場合、自動応答はその欠陥を継承する。
着信 Webhook 検疫ステッチは具体的な例である。Fortinet のドキュメントによると、ステッチがトリガーされると、MAC アドレスが FortiGate によって検疫され、イベントログが作成され、FortiClient UUID が EMS サーバー側で検疫される(着信 Webhook 検疫ステッチ)。これはまさに、実際のインシデントで時間を節約できる種類のアクションである。また、承認基準を必要とする種類のアクションでもある。どのシステムが Webhook を送信したか?ホスト ID は確認されたか?MAC アドレスは仮想アダプター、ドック、共有デバイス、または古い資産にマッピングされているか?EMS の状態は迅速に更新されるか?誰がエンドポイントを解放できるか?エンドポイントが病院のワークステーション、工場のオペレーター、またはリモートの役員によって使用されている場合はどうか?
イベントログは証拠を生成するため重要だが、イベントログだけが証拠チェーン全体ではない。適切な封じ込め記録には、アラート、相関、資産所有者、ユーザーID、デバイス姿勢、アクションターゲット、アクション時刻、承認アクター、想定される影響範囲、ロールバック所有者、検証ステップが含まれるべきである。Fortinet は製品テレメトリーとアクション記録を提供できる。顧客は依然として運用コンテキストを提供しなければならない。
Fortinet 自身のバックアップドキュメントはこの点を補強する。FortiOS 構成バックアップガイドでは、構成の成功後に FortiGate 構成をバックアップすることが極めて重要であると述べている。一部のリセットやファームウェアアップロードのケースでは構成が消去され、バックアップを使用して復元できない限り再作成が必要になるからである(構成バックアップとリセット)。これは副次的な問題ではない。承認されたアクションの残りの半分である。組織は、何が変更されたかだけでなく、どの既知の良好な状態に戻せるかを知っておくべきである。
最も強力な Fortinet の展開では、FortiGate アクションを外科的変更として扱い、一般的なブロックとしてではない。どのアクションを自動的に実行できるか、どのアクションにアナリストの承認が必要か、どのアクションに変更管理が必要か、どのアクションが狭い時間枠内でのみ許可されるか、どのアクションが決して自動化されてはならないかを定義するだろう。ローカル検疫をネットワーク全体のブロックから、一時的なインジケーター応答を永続的なポリシーから、FortiGuard サブスクリプション評決を許容可能なリスクに関するビジネス固有の決定から区別するだろう。
Fortinet の利点は、そのアプライアンス、管理、SOC 製品が、無関係なポイントツールの寄せ集めよりも多くのコンテキストを共有できることである。リスクは、共有されたコンテキストが、広範なアクションを実際よりも簡単に感じさせてしまう可能性があることだ。Fortinet の購入者は、製品がブロックできるかどうかだけを尋ねるべきではない。組織が、正しい制御に対して、正しい期間、正しい解放パスで、それが正しいブロックであったことを証明できるかどうかを尋ねるべきである。
FortiManager は、受け入れがガバナンスになるところである
FortiGate がアクションを重大なものにするなら、FortiManager は多くの組織がそれを統治可能にしようとするところである。この製品の価値は集中管理だけではない。ポリシー変更を、フリート全体のローカルコンソール編集よりも曖昧さが少なく、提案、レビュー、プレビュー、インストール、追跡、逆転できる可能性である。
Fortinet のFortiManager製品ページは、REST API、スクリプト、コネクター、オートメーションステッチを通じた集中管理と自動化、さらにハイブリッド環境向けのクラウドベース管理を強調している。より重要な証拠は管理ガイドにある。FortiManager のワークフロー承認マトリックスは、各 ADOM のポリシー変更を承認または拒否する必要があるユーザーを指定する。最大8つの承認グループをマトリックスに追加でき、変更が受け入れられる前に各グループから1人のユーザーが承認する必要がある(ワークフロー承認)。
これは、承認されたアウトプットの分母にとって強力なプリミティブである。ポリシー変更は、1人の人間がリスクを説明できるよりも早くクリックできるという理由だけで本番環境に移行すべきではない。承認マトリックスは、ネットワーク所有者、セキュリティ所有者、ビジネス所有者、マネージドサービスレビュアー、地域管理者といった職務分離を生み出すことができる。また、組織が Fortinet には答えられない問いを投げかける場所も生み出す:この変更は存在すべきか?
FortiManager のインストールワークフローは第二のチェックポイントを作成する。ドキュメントによると、インストールウィザードはポリシーパッケージとデバイス設定を1つまたは複数の FortiGate デバイスにインストールし、そのパッケージに関連付けられたデバイスのデバイス固有設定を含む(ポリシーパッケージとデバイス設定のインストール)。再インストールポリシーページでは、ユーザーはインストールプレビューにアクセスし、変更が行われる前にキャンセルできる(再インストールポリシー)。プレビューとキャンセルは華やかな機能ではないが、極めて重要である。これらは、変更が本番環境に触れることなく停止できる場所である。
リビジョンが基本的なガバナンスの形を完成させる。FortiManager のドキュメントでは、ポリシーが作成または編集されると、履歴がリビジョンとして保存される。ユーザーはリビジョンを表示し、ポリシーを選択した以前のバージョンに戻すことができる(ポリシーの以前のバージョンへの復帰)。構成リビジョン履歴はデバイスリビジョンを保存し、構成の表示、比較、復帰、ダウンロードを可能にする(構成リビジョン履歴の表示)。ADOM リビジョンは差分を表示し、ポリシーパッケージ、オブジェクト、VPN コンソールを選択したバージョンに復元できる(ADOM リビジョン)。
注意点が決定的である。FortiGate 構成を復帰させるための Fortinet のベストプラクティスページには、FortiManager は FortiGate を以前のリビジョンに復帰させることができるが、その操作は FortiManager ADOM データベースに保存されたポリシーパッケージには影響しないとある。Fortinet は、復帰された FortiGate 構成とポリシー情報を整合させるためにフォローアップアクションが必要だと言っている(FortiGate 構成の復帰)。この注意点は、ドキュメントの些細な脚注ではない。なぜロールバックにコストがかかるのかを説明している。
実際の停止では、「復帰」は単一の動詞ではない。デバイスデータベース、ADOM ポリシーパッケージ、ローカルアプライアンス状態、HA ピア状態、FortiGuard サブスクリプションの振る舞い、ログ取り込み、クラウド管理状態、チケットレコード、変更ノート、ビジネス検証ステップが存在する可能性がある。あるレイヤーを復帰させると、別のレイヤーが古いままになる可能性がある。迅速なポリシー自動化を望む購入者は、この調整作業の予算を立てなければならない。
実際的なテストは単純である。より多くの自動化を購入する前に、最近の FortiGate の変更を選び、証拠質問として再生する。要求された変更は、特定のビジネスまたはインシデントの理由に結びついていたか?FortiManager は意図したインストールターゲットを示したか?承認はインストール前に行われたか?インストールプレビューはあったか?チームはネガティブケース、つまりブロックされたままにすべきトラフィックを検証したか?リビジョンは作成されたか?ロールバックが必要だった場合、FortiManager、FortiGate、チケットレコードは同じ状態で終了したか?そうでなければ、製品は能力があっても、運用モデルは高度な自律性の準備ができていない。
FortiManager はレビューされた変更の限界費用を下げることができる。レビューの必要性を取り除くことはできない。最良の商業的ケースは、管理者が消えることではない。管理者が盲目的な変更に費やす時間を減らし、既知の変更の受け入れ、検証、修正により多くの時間を費やすことである。
FortiAnalyzer と FortiAI は調査を圧縮できるが、判断はできない
FortiAnalyzer は、多くの Fortinet 環境における証拠サーフェスである。Fortinet はそれを「ターンキーSOC」プラットフォームと説明し、統合データレイク、可視性、自動化を備え、SIEM、SOAR、XDR 機能、月次更新の自動化コンテンツパック、機能プレイブック、プレミアムレポート、サードパーティのログパーサー、FortiAI-Assist が含まれるとしている(FortiAnalyzer)。この幅広さは、ログとアラートが範囲と限界を持つ証拠として扱われる場合にのみ有用である。
ドキュメントはそのような限界の1つについて明示的である。FortiAnalyzer のアラートハンドラーは、ADOM が有効な場合 ADOM ごとにスコープされ、アーカイブログではなく分析ログからのみアラートを生成する(アラートハンドラー)。これは、アラートシステムは評価するように設計されたデータと同じくらいしか優れていないため重要である。すべてのログがすべてのハンドラーで等しく利用可能であると仮定する SOC は、静かなダッシュボードを過信する可能性がある。
FortiAnalyzer はまた、FortiGate イベントを応答ワークフローにリンクする。Fortinet によると、FortiAnalyzer に追加された FortiGate は、デフォルトのアラートハンドラーを FortiAnalyzer 側で使用し、ボットネット通信、IPS 攻撃パススルー、アンチウイルスパススルーなどの重大度の高いアラートを受信する。デフォルトのボットネット通信検出ハンドラーではオートメーションステッチが有効になっている(アラートハンドラーのオートメーションステッチの使用)。これは応答自動化の有用な出発点を提供するが、標準的な SOC の問題も生み出す。重大度が高いことは、承認されたアクションを意味しない。
FortiAI は、調査をより速く、より流暢に感じさせることができるため、賭け金を上げる。Fortinet の FortiAnalyzer 8.0ドキュメントによると、FortiAI はインシデント調査、応答、脅威ハンティングに使用できる。セキュリティイベントを解釈し、サマリーを生成し、潜在的な影響を特定し、修復推奨を行い、データベースクエリを作成し、レポートを生成し、アラートハンドラーと相関ルールを記述し、ワークフロー中に FortiAnalyzer 機能を実行できる(FortiAnalyzer の FortiAI)。別のページでは、FortiAI は FortiAnalyzer GUI の複数の場所から情報を収集し、脅威情報や影響を受ける資産などのコンテキストを提供し、単一スレッド内でフォローアップの質問をサポートできるとしている(FortiAI の使用)。
これはまさに、セキュリティ AI アシスタントが役立つ場所である。アナリストは、ログ、資産、レポート、ノート、クエリ、過去のインシデントの間を移動するのに時間を費やす。FortiAI がコンテキスト収集の摩擦を減らすことができれば、人間がより良い決定をより早く下すのを助けることができる。Fortinet のタスク例には、インシデントの作成、更新、追跡、レポートの生成、既存のインシデントへのノートの追加、侵害されたホストの特定が含まれる(FortiAI のタスク例)。
しかし、推奨は承認されたアクションではない。モデルは間違ったインシデントを要約したり、影響を受ける資産を見逃したり、影響を誇張したり、ビジネスコンテキストを過小評価したり、間違ったフィールドに一致するクエリを生成したり、技術的には妥当だが運用上高価な修復推奨を行ったりする可能性がある。Fortinet の公開ドキュメントは機能範囲を確立しているが、顧客データ全体での正確性を確立しているわけではない。購入者はしたがって、モデルの能力、製品の信頼性、本番アウトカムの3つを分離すべきである。
モデルの能力は、FortiAI が利用可能なコンテキストから有用なサマリー、クエリ、推奨を生成できるかどうかを問う。製品の信頼性は、FortiAnalyzer と FortiAI が正しいログ、ADOM スコープ、インシデント状態、関数コールバック、ノート、UI の動作を保持するかどうかを問う。本番アウトカムは、アナリストが正しいアクションを受け入れ、それを検証したかどうかを問う。購入決定は、これらのレイヤーを1つの AI 生産性の主張にまとめるべきではない。
FortiAI のデータフロードキュメントも評価に含まれる。Fortinet によると、FortiAnalyzer と FortiAI は、関数コールバック、データマスキング、安全なプロキシを使用して、Fortinet データセンターでホストされるプライベート大規模言語モデルに接続する。ページでは、ユーザーリクエストは Fortinet がホストする LLM に送信され、FortiAnalyzer がローカルで実行するクエリを生成すると述べている(FortiAI データプライバシー)。このアーキテクチャは多くの顧客にとって受け入れられるかもしれないが、それでもガバナンスの問題を生み出す。どのデータがローカル環境を離れるか、どのフィールドがマスクされるか、誰がリクエストを送信できるか、どのリクエストがログに記録されるか、クエリがどのようにレビューされるか、アシスタントが要約を超えた機能を実行できるかどうか。
したがって、FortiAI の最も強力な使用方法は、監視付きの圧縮である。コンテキストを収集させ、クエリを起草させ、影響を要約させ、影響を受ける資産を指摘させ、応答パスを提案させる。その後、トラフィック、エンドポイント、アカウント、顧客環境に影響を与えるアクションの前に、人間または承認されたプレイブックゲートを必要とする。弱い使用方法は、生成されたテキストから本番施行への静かなエスカレーションである。Fortinet の幅広さ自体が2番目のパスを魅力的にしている。だからこそ、受け入れコントロールが重要なのだ。
FortiSOAR はワークフローをレバレッジか負債に変える
SOAR が魅力的なのは、セキュリティ作業が反復的だからである。インジケーターを強化し、関連アラートを見つけ、資産を確認し、ケースを開くか更新し、所有者に通知し、インジケーターをブロックし、エンドポイントを検疫し、証拠を収集し、チケットをクローズし、レポートを生成する。成熟したチームは、すべてのステップを永遠に手打ちすべきではない。FortiSOAR はその圧力のために存在する。
Fortinet は、FortiSOAR がインシデント管理を一元化し、調査と応答に必要なアナリストの活動を自動化し、ワークフローを標準化して実行するための中央運用ハブとして機能すると述べている(FortiSOAR 製品ページ)。データシートはさらに踏み込み、FortiSOAR を自律的な AI 支援運用、GenAI 支援、脅威インテリジェンス、SecOps、NetOps、ITOps、CloudOps、OTOps、DevOps にわたるインテリジェントな自動化の周りに位置付けている(FortiSOAR データシート)。
これは強力な主張であり、慎重に評価されるべきである。プレイブックは運用上の契約である。アラート品質、エンリッチメントソース、権限、営業時間、影響を受けるシステム、アイデンティティ、資産所有権、エスカレーションパス、ロールバックに関する前提をエンコードする。これらの前提が真である場合、プレイブックは時間を節約し、一貫性を向上させることができる。それらが古い場合、プレイブックは過去のミスを拡大する機械になる。
FortiSOAR のドキュメントは、自動化と人間の制御の両方を示している。カスタム API エンドポイントトリガーにより、外部システムが REST API POST でプレイブックを開始できる。手動入力ステップは、プレイブックで構造化された人間の入力を収集できる(FortiSOAR トリガーとステップ)。FortiSOAR には、承認と手動タスクに使用される Approval/Manual Task Playbooks コレクションも含まれており、入力受信後のプレイブックの再開を含む(FortiSOAR システム構成)。
これらの手動ゲートは、弱い自動化への譲歩ではない。それらは自動化を許容可能にする方法である。SOC は、自動エンリッチメントとケース作成を許可するが、封じ込めの前に承認を要求するかもしれない。低リスクセグメントでの既知のマルウェアドメインの自動ブロックを許可するが、支払いゲートウェイにはビジネスオーナーの承認を要求するかもしれない。IT、OT、エグゼクティブエンドポイント、公共部門ネットワーク、マネージドカスタマーテナントに異なるゲートを要求するかもしれない。
FortiGate コネクターのドキュメントは、特異性がなぜ重要かを示している。FortiSOAR コネクターアクションには、URL、IP アドレス、アプリケーションのブロックとブロック解除操作が含まれ、必要な FortiGate 構成、権限、VDOM の動作に関する注意事項が添えられている。ドキュメント化されたコネクターページでは、一部の URL およびアプリケーション操作はルート VDOM で動作し、IP ブロックはすべての VDOM でサポートされている(FortiSOAR FortiGate コネクター)。「URL をブロック」を VDOM スコープを理解せずに一般的なアクションとして扱う顧客は、予期しない結果を生み出す可能性がある。
ここでコストモデルが変わる。SOAR の前は、人間のアナリストは遅いかもしれないが、組織は時として人間のためらいに頼ることができる。SOAR の後は、ためらいを設計しなければならない。プレイブックには、前提条件、入力検証、承認ロジック、抑制ロジック、例外処理、ロールバックステップ、証拠キャプチャ、アクション後チェックが必要である。バージョン管理と所有権が必要である。既知の誤検知に対するテストが必要である。注意深く設計された「ブロック解除」ストーリーが「ブロック」ストーリーと同じくらい必要である。
Fortinet のベンダーがホストする顧客ストーリーは、これらのパターンが市場で使用されていることを示している。Alestra は、FortiGate NGFW、FortiAnalyzer、FortiEDR、FortiRecon を統合して、セキュリティ運用、インシデント応答、ネットワークワークフローを自動化するために FortiSOAR を実装したと述べている(Alestra 事例)。TCS は、FortiAnalyzer と FortiGuard Labs と統合された FortiSIEM と FortiSOAR を使用して、AI 搭載のマルチテナント SOC を構築していると説明されている(TCS 事例)。SecureCyber の事例では、FortiSOAR はクライアントの FortiGate、FortiEDR、FortiWeb、FortiMail、FortiSIEM システムからアラートを受信し、350以上の Fortinet 以外の製品向けのコネクターを持っているとされている(SecureCyber PDF)。
これらのストーリーは有用だが、ベンチマークではない。それらはベンダーが選択した展開である。生のアラートサンプル、誤検知率、完全なプレイブック、例外数、ロールバック失敗、サポート負担、または反事実的な人件費を公開していない。SparkFound の事例資料には、自動化がケースの98%を10分未満で解決するのに役立ったという強い主張が含まれているが、基礎となるケース分布なしには、その数字は顧客ストーリーのシグナルとして扱われるべきであり、Fortinet の一般的なパフォーマンス保証ではない(SparkFound 事例)。
購入者にとって有用な指標は、受け入れられたプレイブックアクションあたりのコストである。前後のアナリスト時間を数える。プレイブックを構築・維持するためのエンジニアリング時間を数える。ライセンスコストを数える。統合メンテナンスを数える。失敗した実行を数える。例外を数える。誤検知を数える。ロールバックを数える。アクションを監査人や顧客に説明するのに費やした時間を数える。これらのコストの後で受け入れられたアクションがより安く、より安全になるなら、FortiSOAR は実質的な仕事をしている。ダッシュボードがより多くの自動化を示している一方で、チームが過度に広範なアクションを修正するために夜を費やしているなら、節約は幻想である。
FortiGuard はインテリジェンスであり、最終的な権威ではない
FortiGuard は Fortinet に最も強力なプラットフォームストーリーの1つを与える。Fortinet は、FortiGuard AI-Powered Security Services が、ネットワーク、ファイル、コンテンツ、ウェブトラフィック、SaaS、データ、ユーザー、インフラストラクチャに対して20以上の統合サービスをセキュリティファブリック全体で提供すると述べている。これらのサービスは FortiGuard Labs の AI、機械学習、ディープラーニング、脅威インテリジェンス作業によるものとしている(FortiGuard AI-Powered Security Services)。FortiGuard Labs は、世界中の何百万ものセンサーを使用して世界的な攻撃面を監視し、AI を使用してデータから新たな脅威を発掘すると述べている(FortiGuard Labs)。
脅威インテリジェンスは不可欠である。個々の顧客がすべてのマルウェアキャンペーン、フィッシングドメイン、ボットネットの動作、エクスプロイトの試み、疑わしいファイルを観察することはできない。大規模なセンサーネットワークを持つベンダーは、更新された評決と調査を製品に供給することで、対応を改善できる。FortiGuard サービスは、外部コンテキストをローカルイベントに追加するため、FortiGate、FortiAnalyzer、FortiSOAR をより有用にすることができる。
しかし、外部インテリジェンスはローカルな権限と同じではない。FortiGuard の評決は、宛先、ファイル、動作が悪意があるように見えると言うことができる。特定のブロックが病院のワークフローを中断するかどうか、ドメインが重要な SaaS 依存関係によって共有されているかどうか、疑わしいエンドポイントが役員の旅行用ラップトップかどうか、OT ネットワークがリセットに耐えられるかどうか、顧客が補償制御を持っているかどうかはわからない。承認されたアクションは依然としてローカルコンテキストを必要とする。
この区別は誤検知にとって特に重要である。セキュリティチームは、誤検知をアナリストの疲労として話すことが多い。Fortinet にとって、誤検知は施行イベントになる可能性がある。FortiGuard 主導の過度に広範なブロック、過度に攻撃的な FortiGate オートメーションステッチ、またはベンダーの評決を十分と扱う SOAR プレイブックは、顧客に回復コストを支払わせる可能性がある。答えは脅威インテリジェンスを信用しないことではない。答えは、脅威インテリジェンスが推奨できる場所、低リスクアクションをトリガーできる場所、そして人間またはポリシーの承認を待たなければならない場所を定義することである。
FortiGuard にはライフサイクルの意味もある。サブスクリプションサービスは Fortinet の経常的な価値の一部である。年次報告書は、サービス収益には FortiGuard およびその他のセキュリティサブスクリプション、FortiCare テクニカルサポート、SaaS が含まれ、通常はサービス期間にわたって認識されると述べている。つまり、商業関係は一回限りのファイアウォール購入ではない。顧客は継続的なインテリジェンス、サポート、クラウド提供サービスに対して支払う。購入者は、これらの経常サービスが総運用コストを削減するのか、それとも単にアプライアンスエステートを安全に実行するための参入コストになるのかを評価すべきである。
最も信頼性の高い運用モデルは、FortiGuard を決定記録への入力として扱う。決定記録は、どの FortiGuard サービスまたはアラートが証拠を提供したか、どのローカルログがそれを裏付けたか、どの資産が影響を受けたか、どの信頼閾値が適用されたか、アクションが自動か承認されたか、それがどれくらい続くか、そしてチームがそれをどのように逆転させるか、に答えるべきである。これは官僚的に聞こえるかもしれないが、自動化を安全に拡大できるようにするものそのものだ。これがなければ、顧客は「Fortinet が何かをブロックした」という状態に置かれ、監査、回復、信頼には不十分である。
Fortinet の統合の利点は、FortiGuard インテリジェンスが施行に近いことである。リスクは、その近さが熟考を減らす可能性があることだ。プラットフォームは良いアクションをより簡単にすべきであり、推奨されるすべてのアクションを不可避に感じさせるべきではない。
クラウド管理は第二の信頼性サーフェスを追加する
Fortinet はしばしばアプライアンスを通じて議論されるが、クラウド管理とクラウドサービスの状態は重要である。顧客は、アーキテクチャによってはクラウド管理の問題中もローカルファイアウォールの施行を維持できるが、管理、ログ記録、トンネルの安定性、ポリシーの調整、またはサポートワークフローは Fortinet が運営するサービスの影響を受ける可能性がある。
公開されている FortiCloud ハブは、レビュー時に「すべてのシステムが稼働中」と表示され、表示されたステータスページには2026年7月1日から11日までのインシデントが記載されていなかった(FortiCloud ステータスハブ)。これはある時点のスナップショットにすぎない。FortiGate Cloud のステータスページはより情報が多かった。アクセス時に FortiGate Cloud、Global、Europe、US、Japan、Fortinet Common Infrastructure コンポーネントが稼働中で、それらのコンポーネントの90日間の稼働時間が表示されていた(FortiGate Cloud ステータス)。
インシデント API は、グリーンなステータススナップショットよりも有用である。2024年1月から2026年6月までに50件の記録が返され、重大な影響と軽微な影響のインシデントが含まれていた。最近の2026年6月24日の記録には「潜在的な停止」エントリと「FortiGate Cloud の部分的な停止」が含まれていた。2026年4月の US リージョンの劣化更新では、基盤となるネットワーク問題が FortiGate Cloud サービスに影響を与え、一部のデバイスでトンネル接続が安定せず、デバイスのログアップロードは影響を受けなかったとされていた。
これらの記録はサービスを非難するものではない。公開インシデント履歴は実際のクラウドサービスでは普通である。しかし、クラウド管理レイヤーがリスクモデルに含まれることを証明している。購入者は、どの Fortinet アクションがローカルか、どれが FortiGate Cloud に依存するか、どれが FortiCloud SSO に依存するか、どれが FortiGuard アップデートに依存するか、どれがクラウド問題中に実行できるかを尋ねるべきである。ローカル管理者が緊急変更をまだ実行できるか、ログがローカルにバッファされるか、ポリシーインストールが待機できるか、マネージドサービスプロバイダーが代替アクセスを持っているかを文書化すべきである。
クラウドステータスの証拠にも限界がある。ベンダーのステータスページは通常、テナントレベルの影響、失敗したアクション数、顧客加重の停止期間、またはすべてのイベントの根本原因の詳細を提供しない。特定の顧客がルーティング、アイデンティティ、ライセンス、エンドポイント、または地域の問題を抱えている間、ページはコンポーネントを稼働中と報告することができる。運用上の答えは、公開ステータスページを1つのシグナルとして使用し、唯一のシグナルとしてではない。
2026年1月の Fortinet FortiCloud SSO の問題は、クラウド管理依存のより深刻なバージョンを示している。Fortinet の PSIRT ブログは、悪用された FortiCloud アカウントが無効化され、悪用を防ぐために FortiCloud SSO が無効化され、公開アドバイザリが発行され、脆弱なデバイスがそのパスを使用できなくなるよう制限付きで FortiCloud SSO アクセスが復旧されたタイムラインを記録した(Fortinet SSO 悪用分析)。NVD の CVE-2026-24858 エントリは、FortiCloud SSO が有効な場合の FortiAnalyzer、FortiManager、FortiNAC-F、FortiOS、FortiProxy、FortiWeb にわたる影響を受けるバージョン範囲を説明し、CISA の既知の悪用された脆弱性メタデータを記録している(NVD CVE-2026-24858)。
運用上の教訓は、単一の欠陥よりも広い。クラウド ID と管理機能は、緊急アクションサーフェスの一部になる可能性がある。Fortinet が保護のために機能を無効化または制限する場合、顧客はアップグレード、管理アクセスパスの変更、ログのレビュー、資格情報のローテーション、既知のクリーンな構成からの復元、または不正な変更の監査を行う必要があるかもしれない。Fortinet 自身のブログは、管理アクセスの制限、予期しないローカル管理者アカウントの確認、指標が見つかった場合の構成を侵害されたものとして扱うこと、資格情報のローテーション、構成の復元または監査をアドバイスしている。
これがセキュリティ製品の隠れたコストである。本番を保護するツールは、それ自体が本番として維持されなければならない。バージョン、アドバイザリ、クラウド依存関係、資格情報、管理インターフェース、ログ、バックアップがある。Fortinet の購入者は、統合が自動的に運用を削減すると判断する前に、このライフサイクル作業を数えるべきである。
ファームウェアとロールバックは経済的な変数である
Fortinet のアプライアンスベースは、ファームウェアのライフサイクルが背景のハウスキーピングではないことを意味する。それは製品の経済の一部である。購入者は、脅威インテリジェンス、AI 支援、SOAR 自動化、クラウド管理に支払うことができるが、FortiGate エステートが困難なファームウェアパスにある場合、HA クラスターが脆弱である場合、バックアップが不完全である場合、または変更ウィンドウが不足している場合、承認されたセキュリティアクションは高価になる。
Fortinet のアップグレードパスツールのドキュメントでは、このツールは現在のファームウェアリリースとターゲットファームウェアリリース間の最短のテスト済みアップグレードパスを返し、各ホップは Fortinet によって検証され、バージョン選択は選択されたハードウェアまたは VM 用にリリースされたファームウェアに絞り込まれると述べている(アップグレードパスツール)。FortiManager のドキュメントでは、FortiGate アップグレードマトリックスに基づいて最短のアップグレードパスを選択でき、複数ステップのファームウェアパスの各アップグレードはサブタスクであるとされている(複数ファームウェアバージョンのアップグレード)。
これらは有用な制御である。ファームウェアを無料にするものではない。複数ステップのパスは、複数のメンテナンスフェーズ、互換性チェック、HA 状態チェック、バックアップ検証、ロールバック計画、アップグレード後のテスト、サポート調整、ビジネスコミュニケーションを意味する可能性がある。アップグレードは Fortinet によって技術的にテストされているかもしれないが、顧客にとっては運用上困難なままであるかもしれない。
ロールバックも同様に具体的である。FortiGate ファームウェアのロールバックガイダンスには、古いファームウェアバージョンの選択、レビューと確認、アップグレード前に取得したバックアップを使用した構成の復元が含まれる。一部の直接復元方法では、ローカルアクセスと工場出荷時状態へのリセットが最もクリーンなパスの一部になる場合がある(FortiGate アップグレードガイド)。これはアップグレードを避ける理由ではない。正直に価格設定する理由である。
ファームウェアはセキュリティアドバイザリとも相互作用する。Fortinet の FortiClient EMS アドバイザリ FG-IR-26-099 は、不適切なアクセス制御の脆弱性が認証されていないコードやコマンドの実行を許す可能性があり、悪用が実環境で観測されているため、顧客は影響を受ける FortiClient EMS バージョンのホットフィックスをインストールするかアップグレードすべきと述べている(FG-IR-26-099)。FortiCloud SSO アドバイザリとブログも同様にアップグレードとクリーンアップ作業を生み出した。これらのイベントは一般的な原則を示している。セキュリティベンダーはある種のリスクを軽減する一方で、それ自体が緊急に運用されなければならないメンテナンスサーフェスを作り出す。
商業的な問いは、Fortinet にアドバイザリがあるかどうかではない。本格的なセキュリティ製品にはアドバイザリがある。問いは、Fortinet の管理、ドキュメント、アップグレードツール、サポート、顧客プロセスが代替案よりも緊急メンテナンスを安価にするかどうかである。規律ある FortiManager の使用とテスト済みのバックアップを備えた小規模な FortiGate エステートを持つ顧客であれば、答えはイエスかもしれない。散在したアプライアンス、文書化されていないローカル変更、弱い HA プラクティス、ロールバック訓練のない顧客であれば、エステートがクリーンアップされるまで答えはノーかもしれない。
ここで、ライセンスコストよりも承認されたアクションあたりのコストがより正直になる。エステートが最新で、ポリシーパッケージが整合し、承認が定義され、ロールバックがリハーサルされていれば、ポリシーインストールは安価である。すべてのアクションがバージョン、デバイス状態、未知のローカル変更についての議論を引き起こすなら高価である。データがクリーンでアクションパスが明確であれば、AI 推奨は安価である。アナリストが、アプライアンスがモデルの提案したことを安全に実行できるかどうかを理解するのに30分を費やさなければならないなら、高価である。
Fortinet はライフサイクルの摩擦を減らすツールを提供できる。制御を維持する顧客の責任を取り除くことはできない。ファームウェアとロールバックを無視する購入者は、自動化を購入しているのではない。将来のメンテナンスインシデントから時間を借りているのである。
統合は、選択肢を保持する場合に役立つ
Fortinet のプラットフォームストーリーは一部、統合に関するものである。1つのベンダー、1つのファブリック、1つの管理レイヤー、1つの SOC ワークフロー、1つの脅威インテリジェンスファミリー、1つのサポート関係。多くの顧客にとって、これは魅力的である。ツールの乱立は現実である。セキュリティチームは、コンソールの切り替え、ログの調整、コネクターの管理、一貫性のないポリシーセマンティクスの説明、重複するベンダーへの支払いに時間を浪費する可能性がある。
Fortinet の統合アプローチは、その作業を減らすことができる。FortiGate の施行、FortiManager のポリシー管理、FortiAnalyzer の証拠、FortiSOAR のワークフロー、FortiGuard のインテリジェンスは、緩く統合されたスタックよりも多くのコンテキストを共有できる。FortiAI は、アナリストの使用を支援しているデータと機能により近く位置することができる。マネージドセキュリティプロバイダーは、顧客全体で反復可能な Fortinet 運用を標準化できる。Alestra、TCS、SecureCyber、SparkFound、Spring Branch ISD の公開顧客ストーリーは、これらの製品の組み合わせを SOC とネットワーク運用に使用した実際の展開を示している。
問題は、統合が選択肢を保持するかどうかである。購入者は Fortinet を少なくとも5つの選択肢と比較すべきである。既存の制御での手動作業、現行の SIEM/SOAR と FortiGate 施行、クラウドプロバイダーのファイアウォールとセキュリティ分析スタック、オープンソースまたは内部構築のワークフローレイヤー、競合他社の統合セキュリティプラットフォーム。ポイントは、Fortinet が代替案が存在する場合に負けなければならないということではない。ポイントは、スイッチングコストが見えるべきだということである。
Fortinet のスイッチングコストにはいくつかのレイヤーがある。アプライアンスエステートのコスト:ハードウェアリフレッシュ、ファームウェア、HA トポロジー、ブランチ展開、スペアパーツ。ポリシーのコスト:オブジェクト、パッケージ、ADOM、VDOM、VPN、SD-WAN ルール、ローカル例外、変更履歴。インテリジェンスのコスト:FortiGuard サブスクリプション、セキュリティサービスバンドル、チューニング、誤検知処理。SOC のコスト:FortiAnalyzer ログ、FortiSOAR プレイブック、FortiAI ワークフロー、レポート、統合。人件費:Fortinet スキルのある管理者、パートナーの知識、サポート契約、ランブック。証拠のコスト:監査証跡、インシデント記録、エクスポートされたログ、コンプライアンスレポート。
統合は、それらのコストがより低い総摩擦を購入する場合に価値がある。それらが、承認されたアクションを検査したり逆転したりするのが難しいプラットフォームに顧客をロックする場合、リスクがある。購入者の最も強力な交渉・アーキテクチャ上の立場は、明確なインターフェースを維持することである。必要に応じてログを独立したストアにエクスポートし、人間が読めるランブックを維持し、ポリシーの所有権を見えるようにし、ベンダーUI の外でロールバックを文書化し、クラウドサービスの問題中に重要なアクションを実行できるかどうかをテストする。
モデルプロバイダーの比較は FortiAI にも関連する。顧客は、一般的な LLM を SIEM またはチケッティングシステムを通じて、クラウドセキュリティプラットフォームのネイティブアシスタント、オープンソースのアナリストノートブック、または FortiAnalyzer/FortiManager/FortiSOAR ワークフローに組み込まれた FortiAI を使用することができる。Fortinet の利点は、Fortinet データと機能への近接性である。トレードオフは、ベンダー固有の実行範囲とデータフローガバナンスである。正しい答えは、アシスタントが説明、クエリ生成、ケースノート、または承認された修復に使用されるかどうかに依存する。
成熟した Fortinet 顧客にとっては、プラットフォームが実用的なデフォルトかもしれない。異種の制御と強力な既存の SIEM/SOAR プロセスを持つ顧客にとっては、Fortinet はオペレーティングシステム全体ではなく、1つの施行・テレメトリードメインとして扱うのが最善かもしれない。小規模な組織にとっては、Fortinet の統合はツール数を減らすかもしれないが、パートナーやマネージドサービスプロバイダーへの依存度を高める可能性がある。これらの答えは普遍的ではない。承認されたアクションの指標により、購入者は自身のコンテキストをテストできる。
購入者が自律性を信頼する前に測定すべきこと
NIST の現在のインシデント対応ガイダンスは、インシデント作業をガバナンス、準備、検出、応答、回復の成果にマッピングし、組織が報告とコミュニケーションを実行しながら、インシデントを発見、管理、優先順位付け、封じ込め、根絶、回復しなければならないことを強調している(NIST SP 800-61r3)。この中立的なフレームワークは、Fortinet の自動化に対する有用なチェックである。ガバナンス、報告、回復が劣化する場合、より速いブロックでは十分ではない。
Fortinet の購入者は、承認されたアクションを中心に測定テーブルを構築すべきである。各アクションタイプについて、トリガー、証拠、関与する Fortinet 製品、承認アクター、ターゲット、予想される効果、ネガティブテスト、ロールバックパス、検証結果、経過時間、例外処理、下流のビジネス影響を記録する。次に、手動作業、現在のツール、Fortinet の自動化を比較する。
FortiGate の検疫については、アラートから封じ込めまでの時間だけでなく、誤検疫数、解放時間、エンドポイント所有者への通知、EMS の状態一貫性、解放後の検証も測定する。FortiManager のポリシーインストールについては、承認時間、プレビューの品質、インストールターゲットの正確性、インストール後のテスト結果、デバイスと ADOM データベース間のロールバック整合性を測定する。FortiAnalyzer/FortiAI については、生成されたサマリーが基礎となるログと一致するか、生成されたクエリがレビューされるか、推奨が受け入れられるか拒否されるか、ノートが次のアナリストを助けるかを測定する。FortiSOAR については、プレイブックの成功率、手動承認の頻度、失敗したコネクターコール、ブロック解除の品質、プレイブックあたりのメンテナンス時間を測定する。FortiGuard 主導のアクションについては、ローカルの裏付けとビジネス例外を測定する。
重要な数字はしばしば地味である。どれだけのアクションが手直しなしで受け入れられたか?どれだけがロールバックされたか?どれだけがクリーンに逆転できなかったか?どれだけのアラートが既知の誤検知であるために抑制されたか?どれだけのプレイブックステップが緊急の手動オーバーライドを必要としたか?テストで誤ったターゲットにインストールされたポリシーはいくつか?どれだけの FortiGate Cloud インシデントが管理やトンネルの安定性に影響したか?どれだけのファームウェアアップグレードが複数のウィンドウを必要としたか?どれだけの AI 推奨が有用だったが十分ではなかったか?
これらの測定は、ベンダーと購入者がしばしば混同する3つの主張を分離する。第一の主張は機能の可用性である。Fortinet には承認ワークフロー、検疫ステッチ、SOAR コネクター、AI アシスタントがある。第二は製品の信頼性である。それらの機能が顧客の環境で一貫して動作する。第三は運用上の価値である。組織がより低い総コストでより安全なアクションを受け入れる。第三のものだけが商業的ケースを正当化する。
文化的な測定もある。アナリストは Fortinet のアウトプットを過度に信頼しているか、それとも不十分か?過信はレビューされない自動化と見逃された注意点を生み出す。不信は、プラットフォームが購入されたがすべてのアクションが依然として手動であるシェルフウェアを生み出す。健全な状態は、調整された信頼である。Fortinet は明確に定義された限界内で収集、推奨、実行できる一方で、人間とポリシーゲートが曖昧または高影響の決定を処理する。
購入者は、自律性を拡大する前に、机上演習を実行すべきである。インジケーターブロック、エンドポイント検疫、ポリシーインストール、ファームウェア緊急事態、FortiGuard 評決の異議、FortiAI 推奨、FortiGate Cloud サービスの劣化を選ぶ。誰が決定し、どの Fortinet サーフェスが使用され、どのログがキャプチャされ、ロールバックがどのように機能し、どのような顧客またはビジネスコミュニケーションが発生するかをウォークスルーする。演習は、Fortinet が労働を削減する準備ができているか、それとも単に不確実性を加速するかを明らかにするだろう。
Fortinet の価値は監督下の信頼性である
Fortinet の公開証拠はバランスの取れた結論を支持している。同社は承認されたセキュリティアクションのための信頼できるプリミティブを持っている。FortiGate は施行できる。FortiManager はポリシーの変更とリビジョンを統治できる。FortiAnalyzer は証拠とアラートを一元化できる。FortiAI は調査とクエリ/レポート作業を圧縮できる。FortiSOAR は手動タスクとコネクターアクションを含むクロスツールワークフローをオーケストレーションできる。FortiGuard は脅威インテリジェンスを供給できる。FortiCloud と FortiGate Cloud はクラウド管理サーフェスの公開ステータスシグナルを提供する。プラットフォームは現実である。
証拠はまた、単純化された自動化ストーリーがなぜ間違っているのかも示している。Fortinet 自身のドキュメントには注意点が含まれている。アラートハンドラーは分析ログと ADOM スコープに依存する。ポリシーインストールプレビューはアクション前にレビューされるべきである。FortiGate 構成のロールバックは FortiManager データベースとの整合を必要とする可能性がある。ファームウェアやリセット操作は構成を消去できるため、バックアップが重要である。コネクターアクションには権限と VDOM の詳細がある。FortiAI は Fortinet がホストする LLM パスを通じてユーザーリクエストを送信し、ローカルクエリを生成する。公開ステータスページはクラウドインシデントを開示する。PSIRT 資料は緊急のアップグレードとクリーンアップの決定を強いる可能性がある。
これらの注意点は Fortinet のケースを弱めるものではない。それらはケースを定義する。Fortinet は、反復的なセキュリティアクションのための規律ある運用サーフェスとなるときに最も価値がある。購入者が統合、AI、脅威インテリジェンスを、受け入れ、証拠、回復の代替として扱うときに最も価値が低くなる。
したがって、商業的なテストは具体的である。より速い応答と統合されたツールは、ライセンス、チューニング、アナリストレビュー、アプライアンスライフサイクル、誤検知、統合、回復コストを上回ることができるが、それは組織が承認されたアクションがより安く、より安全になっていることを証明できる場合に限る。それを証明できない場合、Fortinet は依然として強力なファイアウォールまたは SOC プラットフォームかもしれないが、自動化のプレミアムは得られていない。
Fortinet, Inc.にとって、未来は FortiAI がより有能になるか、FortiSOAR がより自律的になるかだけではない。より難しいテストは、アクションが推奨から実行に移行する際に、プラットフォームがコンテキストを無傷で維持できるかどうかである。セキュリティアクションは、証拠、承認、施行、検証、ロールバック、学習の完全なパスを生き延びた場合にのみ有用である。Fortinet には多くのツールがある。顧客は依然として制御システムを運用しなければならない。

