Sophos Firewall v22 MR1: 今すぐアップグレードすべきか、まだ待つべきか

2026年4月20日 • 4 min read

v22 は最初から技術的にはかなり意欲的でした。Secure by Design、Health Check、より強い control plane の基盤、より堅い kernel、そして深い audit 機能。紙の上ではとても良く見えました。しかし実運用では立ち上がりがかなり荒かったのも事実です。その時期については以前 v21.5 から v22 までの Sophos Firewall の不具合について書いた記事で触れています。

だからこそ MR1 は単なる「次のリリース」ではありません。多くのチームにとって、「v22 はようやく本番導入を真剣に検討できる段階に入ったのか」という実務的な問いが出てくるタイミングです。

私の短い答えはこうです。環境によっては yes。でも blind に、しかも test なしで進めるのは still no です。

まず押さえるべきポイント

v22 MR1 は Build 490 で、v22 GA と再リリース版 Build 411 に残っていた多くの現実的な問題を修正しています。
特に重要なのは policy-based IPsec、アップグレード後の bridge routing、HA stability、PPPoE の edge case、WAF、SSL VPN、そして一部の authentication 問題です。
同時に、upgrade 時の caveat も残っています。legacy remote access IPsec は完全に削除され、disk space の確認は引き続き重要で、XG/SG hardware も引き続き未サポートです。
すでに v22 を使っていて具体的な不具合に悩まされているなら、MR1 は真剣に見る価値があります。
21.5 が安定しているなら、初日に興味本位で upgrade するのではなく、まず丁寧にテストした方がいいです。

なぜ MR1 がここまで重要なのか

大きな major release の直後に re-release があり、その後まもなく最初の maintenance release が出る場合、そこには大抵何かしらの意味があります。Sophos もまさにそうでした。

元の v22 GA Build 365 は、2026 年 1 月に GA re-release Build 411 へ置き換えられました。その時点で Sophos は、bridge 経由の WebAdmin access、特定 outbound interface に絡む DNAT の問題、Invalid rule id or family for update という CLI log spam、壊れた SNMP 設定、Policy Test の問題などを修正していました。これは必要でしたが、それでもまだ「落ち着いた」とは言えませんでした。

MR1 は、むしろ多くの管理者が最初から期待していた v22 に近い印象です。marketing slide よりも、運用上の後片付けに重心が置かれています。

v22 MR1 で実際に良くなったこと

MR1 の価値は、派手な新機能ひとつにあるわけではありません。大事なのは、複数の運用上の friction を同時に減らしている点です。

Policy-based IPsec がようやく本気で手当てされた

v22 GA で policy-based IPsec を本番利用していたなら、トラブルに当たる可能性はかなりありました。公式 release notes でも、この領域に関する fix が複数挙がっています。たとえば tunnel は up と表示されているのに traffic が流れない、diagnostics の route lookup で誤った interface が見える、MPLS 上の traffic に間違った SNAT IP が適用される、upgrade 後に branch firewall の WebAdmin が policy-based IPsec 越しに使えなくなる、といったものです。

私にとって MR1 で一番重要なのはここです。VPN の問題は決して「小さな不具合」ではありません。site-to-site、branch access、SD-WAN path が乗っているなら、firmware bug はすぐに運用問題になります。

Bridge、routing、firewall 周りも実務的に改善

MR1 では、実ネットワークで即座に痛みが出る種類の問題にも手が入っています。Sophos が挙げているのは次のような項目です。

v22 GA への upgrade 後、bridge interface 経由の subnet communication が到達不能になる
diagnostics から backup WAN への ping に問題が出る
HA state が予期せず切り替わり、その後 restart が起きる
Policy Test に PPPoE 関連の問題がある
firewall rules の export に問題がある

紙の上では小さな不具合の寄せ集めに見えるかもしれませんが、実際にはこういう bug の積み重ねが change window を高くつくものにします。

WAF、SSL VPN、authentication も恩恵が大きい

MR1 は、多くの企業で optional ではない領域にも fix を入れています。たとえば次のような内容です。

VPN zone 向けの CAPTCHA 無効化が v22 GA で SSL VPN user に対して正しく効かない
user portal の Azure AD SSO が 404 ページへ redirect される
OAuth certificate や API/MFA に関する問題
特定条件で SSL VPN service が周期的に restart する
certificate permission が誤っていて mobile IPsec configuration を download できない

external user、VPN client、WAF 公開アプリがある環境なら、MR1 で運用上のつまずきがかなり減ります。

HA と storage は引き続き要注目

MR1 の中で Sophos が overall stability にも取り組み続けている点は重要です。power loss 後の HA recovery、Sophos Central への HA registration、dedicated link 上の system traffic、passive device での upgrade failure、logging/disk に起因する高負荷などに対する fix があります。

これは派手な release marketing ではありません。だからこそ重要です。

MR1 が解決しないこと

私は MR1 で急に全部 green になった、という話をしたいわけではありません。そうではありません。この release でも、upgrade 前に意識して確認すべき点は残っています。

Legacy remote access IPsec は hard blocker になった

今の release notes で最も重要な注意点はこれだと思います。Sophos は、old-style の legacy remote access IPsec が SFOS 22.0 MR1 ではもうサポートされないと明記しています。さらに重要なのは、その legacy configuration が残っている firewall は MR1 に upgrade できないということです。

もし third-party client を使った昔の remote access IPsec setup を引きずっているなら、ざっと眺めて終わりにしないでください。実際に確認すべきです。そうしないと「今夜さっと MR を当てよう」が、長い maintenance window に変わります。

Disk space と root resize はまだ重要

v22 で既知だったもうひとつのテーマ、つまり追加 storage も消えていません。Sophos は今も、SFOS 22.0 以降はより多くの空き容量を必要とし、一部の appliance や virtual/software deployment では upgrade 前に手動準備が必要になる可能性があると案内しています。

容量が足りていても、upgrade に時間がかかることがあります。root partition の resize が入るからです。Sophos によると、追加で 2 〜 10 分かかる可能性があります。小さな home office なら脚注レベルですが、本番 HA pair やタイトな maintenance window では planning detail になります。

XG と SG は引き続き対象外

これは新情報ではありませんが、現場では繰り返し意識すべきです。SFOS 22.0 GA 以降、MR1 を含めて XG と SG hardware はサポートされません。lab や remote site に古い appliance があるなら、実際の upgrade window の最中に気づきたくないポイントです。

Policy-based IPsec には依然として慎重さが必要

まさに MR1 が policy-based IPsec の複数の問題を直しているからこそ、私はここでも慎重であるべきだと思います。production-specific route、MPLS、branch routing、third-party peer、admin access がこうした tunnel を通っているなら、MR1 はそこを重点的に test すべきです。

tunnel が green であるだけでは不十分です。重要なのは、real traffic、return path、SNAT behavior、diagnostics、GUI access、failover が期待どおりに動くかです。

実務目線での評価

今多くのチームがしている質問に落とし込むと、こうなります。

GA や Build 411 の荒れ方を見て意図的に v22 を見送ってきたチームにとって、v22 MR1 は最初のまともな upgrade candidate か。

私の答えは、多くの場合 yes です。

Sophos が突然 flawless になったからではありません。MR1 が、bridge、IPsec、HA、auth、WAF、SSL VPN、logging、そして UI や routing の細部など、日常運用で痛かった場所を明確に片付けているからです。これは cosmetic な maintenance release とは違います。

ただし、私は二つのグループをはっきり分けて考えます。

Upgrade を検討しやすいケース

すでに v22 Build 411 を使っていて、具体的な bug に引っかかっているチーム
一部の v22 feature を待っていたが、初期の不安定さで止まっていた environment
policy-based IPsec や auth/portal 周りの behavior 改善を必要としている admin

まず lab に留めるべきケース

目下の feature 圧力がなく、21.5 が安定している environment
legacy remote access IPsec がまだ残っている構成
WAF、MFA、SSO chain が繊細な setup
以前の firmware phase でも不安定さがあった HA cluster

Upgrade 前に私が確認すること

本番 rollout の前に、私は次を確認します。

configuration に legacy remote access IPsec が残っていないか
backup を export し、restore path を本当に頭の中でシミュレーションする
free disk space と resize 関連 warning を確認する
HA では status icon を信じるだけでなく failover を test する
policy-based IPsec では tunnel status だけでなく real traffic を確認する
WAF、portal、SSL VPN では real user で login、MFA、redirect、certificate を確認する
PPPoE や特殊な WAN scenario では Policy Test と real flow の両方を検証する

もうひとつだけ。もし v22 を新しい Health Check 経由で主に見ていたなら、technical layer と operational layer を混同しないことです。v22 の Health Check は有用で、私はここで詳しく書いています: Sophos Firewall v22 Health Check の解説記事。しかし green の Health Check は、きちんとした upgrade test の代わりにはなりません。

結論

私の見方では、Sophos Firewall v22 MR1 は、v22 系列で初めて「これは真面目に検討できる」と感じられる release です。「もう少し待とう」ではなく、です。

それは良いサインです。でも magic ではありません。

すでに v22 の問題に悩まされているなら、MR1 はしっかり見る価値があります。21.5 が安定しているなら、「maintenance release」という名前に安心しすぎない方がいいです。この upgrade は、今でも preparation、testing、そして現実的な fallback plan を必要とします。

私はこれを exactly そのように扱います。emergency でもなく、no-brainer でもない。v22 の荒い立ち上がり以降、初めて本当に面白い upgrade candidate だということです。

また次回、
Joe