結論:FortiClient EMSを使用している企業は、今すぐバージョンを確認し、ホットフィックスを適用してほしい。 2026年4月4日、FortinetはFortiClient EMSに存在するCriticalレベルの脆弱性CVE-2026-35616(FG-IR-26-099)に対する緊急パッチをリリースした。CISAは4月6日にKEV(既知の悪用済み脆弱性)カタログに追加しており、すでに実際の攻撃に悪用されている。
脆弱性の概要
横にスクロールして確認できます
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-35616 |
| Fortinet Advisory | FG-IR-26-099 |
| CVSSv3スコア | 9.1(Critical) |
| 脆弱性の種類 | 不適切なアクセス制御(CWE-284) |
| 攻撃条件 | 認証不要・リモートから実行可能 |
| 影響を受けるバージョン | FortiClient EMS 7.4.5 および 7.4.6 |
| 悪用確認日 | 2026年3月31日 |
| ホットフィックス公開 | 2026年4月4日 |
| 推奨対応 | ホットフィックス適用 → 7.4.7 へアップグレード |
FortiClient EMSは、企業のPC・スマートフォンなどのエンドポイントを一元管理するサーバーだ。VPN接続設定、セキュリティポリシー、ソフトウェア配信をすべてこのサーバーから制御する。つまり、EMSが乗っ取られると管理下の全端末が危険にさらされる。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
なぜVPN機器の脆弱性が狙われるのか
VPN機器経由の侵入は、ランサムウェア攻撃の主要な侵入経路だ。警察庁の「令和7年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害の侵入経路の約70%がVPN機器の脆弱性を突いたものだった。
攻撃者がVPN機器の脆弱性を好む理由は明確だ。
- インターネットに直接公開されている:VPN機器は外部からの接続を受け付ける設計であり、攻撃対象として発見しやすい
- パッチ適用が遅れがち:VPN機器のファームウェア更新は業務影響を伴うため、後回しにされやすい
- 一度侵入すれば社内ネットワーク全体にアクセスできる:VPNの性質上、内部ネットワークへの足がかりを得られる
Fortinet製品は国内シェアが高く、中小企業を中心に広く利用されている。攻撃者にとってはFortinet機器の脆弱性を狙うことで、効率的に多数の企業に侵入できるターゲットとなっている。
今すぐやるべき3ステップ
ステップ1:バージョンを確認する(所要時間:5分)
FortiClient EMSの管理コンソールにログインし、現在のバージョンを確認する。
- FortiClient EMSの管理画面(https://[EMSサーバーのIP]:443)にアクセス
- 左下の「About」またはダッシュボード上部でバージョンを確認
- 7.4.5 または 7.4.6 であれば影響を受ける
バージョンが7.4.4以前の場合、本脆弱性の直接的な影響はないが、他の既知の脆弱性が存在する可能性があるため、最新版へのアップグレードを推奨する。
ステップ2:ホットフィックスを適用する(所要時間:30分〜1時間)
Fortinetのサポートサイトからホットフィックスをダウンロードし、適用する。
- Fortinet Support Portal(support.fortinet.com)にログイン
- FortiClient EMS 7.4.7のホットフィックスをダウンロード
- メンテナンスウィンドウを設定(EMSの再起動が必要)
- ホットフィックスを適用
- 適用後にバージョンが7.4.7になっていることを確認
メンテナンス時間が確保できない場合でも、EMSサーバーへの外部からのアクセスを一時的にファイアウォールで遮断することで、リスクを軽減できる。
ステップ3:侵害の痕跡を確認する(所要時間:1〜2時間)
ホットフィックス公開前(3月31日〜4月4日)にすでに攻撃を受けている可能性がある。以下を確認する。
- EMSサーバーのアクセスログに不審なAPIリクエストがないか
- EMSサーバーに見覚えのないプロセスやサービスが起動していないか
- 管理下のエンドポイントに異常なポリシー変更が行われていないか
- EMSサーバーから外部への不審な通信(C2通信)がないか
不審な痕跡が見つかった場合は、EMSサーバーをネットワークから隔離し、インシデント対応の専門業者に連絡すること。
VPN機器のセキュリティ運用ベストプラクティス
今回の脆弱性対応だけでなく、VPN機器のセキュリティを日常的に維持するためのベストプラクティスを整理する。
ファームウェアの定期更新
VPN機器のファームウェアは、最低でも四半期に1回は最新版への更新を検討する。Critical/Highレベルの脆弱性が公表された場合は、72時間以内のパッチ適用を目標とする。
アクセス制御の強化
- 管理画面へのアクセスを社内IPアドレスに限定する
- 管理者アカウントに多要素認証(MFA)を設定する
- デフォルトの管理者パスワードを変更し、強固なパスワードポリシーを適用する
ログ監視の実施
VPN機器のログを定期的に確認し、不審なログイン試行や異常なトラフィックパターンを検知する。可能であればSIEMやログ監視サービスを導入し、リアルタイムでの異常検知体制を構築する。
緊急対応手順の事前策定
脆弱性が公表された際に迅速に対応するため、以下を事前に定めておく。
- 脆弱性情報の収集方法(Fortinetのアドバイザリ、JPCERT/CC、CISAのアラート)
- パッチ適用の意思決定フローと担当者
- メンテナンスウィンドウの確保方法
- 緊急時のエスカレーション先
機器入替の判断基準
以下に該当する場合は、VPN機器の入替(リプレース)を検討すべきだ。
横にスクロールして確認できます
| 判断基準 | 詳細 |
|---|---|
| サポート終了 | メーカーのEOL(End of Life)を過ぎた機器はパッチが提供されない |
| 脆弱性の頻発 | 同一製品で年間3件以上のCritical脆弱性が公表されている |
| 性能不足 | リモートワーク増加により同時接続数が上限に近い |
| 運用負荷 | パッチ適用・監視の運用負荷がIT部門のキャパシティを超えている |
入替の選択肢としては、新型VPN機器への更新のほか、ZTNA(ゼロトラストネットワークアクセス)への移行も有力だ。ZTNAはVPNの構造的な課題(ネットワーク全体へのアクセス許可)を解決し、アプリケーション単位でのアクセス制御を実現する。
GXOの見解
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。
実務判断のポイント
この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。【緊急】FortiClient EMSに重大な脆弱性(FG-IR-26-099)|VPN環境の今すぐ確認手順に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの実務補足
セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。
GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。
GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、診断、監査、保守契約、月次レポート、緊急対応支援へ接続。さらに、チェックリスト型診断を入口に、継続監視・改善支援へ展開。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
FAQ(よくある質問)
Q. FortiGate(ファイアウォール/VPN)も影響を受けるか
今回のCVE-2026-35616はFortiClient EMSに限定された脆弱性であり、FortiGateは直接の影響を受けない。ただし、FortiGateにも過去に複数のCritical脆弱性が報告されているため、ファームウェアが最新であるか確認を推奨する。
Q. FortiClient EMS以外のエンドポイント管理ツールも対象か
本脆弱性はFortiClient EMSに特有のものであり、他のエンドポイント管理ツール(Intune、JAMF等)には影響しない。ただし、各製品の脆弱性情報は定期的に確認すべきだ。
Q. パッチ適用に業務停止は必要か
EMSサーバーの再起動が必要なため、VPN接続の管理が一時的に中断する可能性がある。既存のVPN接続自体は維持されるケースが多いが、メンテナンスウィンドウを設定して業務時間外に実施することを推奨する。
Q. 自社にIT担当者がいない場合、どうすればよいか
Fortinetの保守契約を結んでいるSIer・販売代理店に連絡し、緊急パッチの適用を依頼する。保守契約がない場合は、ネットワークセキュリティの専門業者にスポットで対応を依頼できる。
関連記事
- FortiClient EMS ゼロデイ脆弱性 CVE-2026-35616|CISA緊急警告の詳細
- VPN代替ソリューション比較|ZTNA・SDP・SSEで実現するセキュアなリモートアクセス
- ランサムウェア対策完全ガイド|中小企業のための防御・検知・復旧の実践
- GXOの導入事例
VPN機器のセキュリティ診断・パッチ適用でお困りですか?
GXOは緊急のパッチ適用対応から、VPN機器の定期セキュリティ診断、ZTNA移行の計画策定まで対応しています。「自社のVPN機器が安全かどうか確認したい」——まずはお気軽にご相談ください。
※ 営業電話はしません | オンライン対応可 | 緊急対応もご相談ください
参考情報
- 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。







