3.1. Ericom Shield リリースノート

3.1.1. 新機能および修正点

Ericom Shield 22.08 (22.08.934)

【リリース日:2022/09/27】

新機能

  • [Crtl+Shift+@]キーで表示されるShield デバッグバーによるサポートが強化されました。
  • ファイルアップロードにCDR/AVスキャンを適用する新ポリシーが追加されました。
  • URLグループ/マルチドメインポリシーが追加になっています。
  • アイソレーションモードでのボーダー設定可能になりました。
  • ダウンロード/アップロード時のポリシーに「アンチウイルス」オプションの選択肢が追加されました
  • ファイルダウンロード時にサニタイズ制限サイズを超えた場合の代替ポリシー設定が追加されました。

機能強化

  • Ubuntu20.04LTSをサポート開始しました。
  • ダウンロード/アップロード時にサニタイズ処理進捗が表示されるようになりました。
  • ユーザーが印刷しようとしたときに印刷が無効になっていた場合、通知が表示されるようになりました。
  • コピー&ペーストを実施する際に、2回のコピー操作を実施するかポップアップ画面での操作が必要でしたが、一度のCtrl-C操作だけでコピーされるように改善されました。
  • X-Authenticated-Groupsヘッダーにて区切り文字による複数グループのサポート開始しました。

修正点

  • Smoothfile (ファイル共有サービス) でのアップロード表示に関する問題を修正。
  • 一部の日本語サイトでPDFリンクをクリックすると、Forbiddenページが表示される問題を修正。
  • LinkedIn、Facebook、Twitter で読み取り専用で特別に編集可能なフィールド必要である問題を修正。
  • Captcha認証が連続的にループする問題を修正。
  • 右クリックが無効となり、特定ウェブサイトからビデオをダウンロードすることができない問題を修正。
  • WhatsAppで[クリスタルモード]で利用した際にステッカー使用後、カーソルが正しい位置に来ない問題を修正。
  • dropbox / google sheet / outlookで印刷に問題が発生する点を修正。
  • Excelの表示フィールド上からのコピーに失敗する問題を修正。
  • WhatsAPPでのビデオとオーディオの問題を修正。
  • WhatsAppで[クリスタルモード]を利用した際にCtrl-C でコピーしたテキストをCtrl-Vでペーストできない問題を修正。
  • Google Drive で、古いChromeバージョンのためにサポートが終了している旨のメッセージが表示される問題を修正。
  • Gmailで、Ctrl-B(太字)やCtrl-U(下線)などのショートカットが機能しない問題を修正。
  • 一部の CNN ビデオが[クリスタルモード]または[ストリームモード]で再生されない問題を修正。
  • [クリスタルモード]で CNN のビデオを再生すると、冒頭で遅延が発生する問題を修正。
  • office.comで Eメールをポップアップウィンドウで開くと、貼り付けができない問題を修正。
  • office.comで、宛先/cc/bcc フィールドからの電子メールアドレスのコピー/ペーストが機能しない問題を修正。
  • [クリスタルモード]でオートスペルが機能しない問題を修正
  • 特殊文字を含むユーザ名がレポートに正しく表示されない問題を修正。
  • 一部のサイトで、ツールチップが表示されない問題を修正。
  • 一部のサイトで、PDFの表示が崩れる問題を修正。
  • foxnews.comで[クリスタルモード]でメニューが開かない問題を修正。
  • 大きな 4K 画像をマウスで右クリックした場合にポップアップメニューが表示されるまで約 7 秒かかる問題を修正。
  • 一部の日本語サイトで[クリスタルモード]での表示に失敗する場合がある問題を修正。
  • [フレームモード]でプロキシおよびプロキシレスでブラウズすると、白い画面が表示される問題を修正。
  • [フレームモード]でブラウズすると、[ストリームモード]で表示される問題を修正。
  • ターンエンドポイントのコンフィグマップが作成されていないため、白い画面が表示される問題を修正。
  • Internet Explorer 11でブラウジングができない問題を修正。

注意

テクニカルプレビューの機能については、不具合がある場合があるため、本番環境での正式利用はサポートできません。

当社におきましても、正式リリースに向けての評価検証中であるため、サポートもお受けできない場合がございます。 あらかじめご了承ください。

また、お気づきの不具合やご意見につきましては、次回以降のリリースに向けての参考情報として承ります。

3.1.2. 制限事項および既知の不具合

インストール関係

  • 複数のNICが存在する環境にインストールすることは可能ですが、製品が利用するネットワークを複数設定することはできません。(インターネットとの通信用と、ノード間通信用など。)製品が利用するネットワークとそれ以外の通信(SSH接続や監視用など)を区別することは可能です。
  • 導入対象のサーバのlocaleはen_USとしてください。
  • 既存のプロキシやUTM装置の上位にEricom Shieldを配置する場合、画像による画面転送になっているため、動的なコンテンツフィルタリングやSSLインスペクション等の処理は行えません。(URLベースのフィルタリングは可能です。)
  • 導入対象サーバの時刻はNTPなどで正確に設定してください。また、複数台構成の場合、各ノードで時刻が一致するようにしてください。時刻にずれがある場合、証明書のタイムスタンプの問題が発生する可能性があります。
  • クライアントPCとShieldとの間に既存のProxyサーバが存在する場合、Proxyサーバでは8080ポートをSSL Connectionとして許可しておく必要があります。
  • Shieldの導入時にデフォルトで導入されるDockerのネットワークアドレス(docker0:172.17.0.0/16,10.42.0.0/16および10.43.0.0/16)と重複するセグメントを利用しないでください。回避できない場合、kubernetesの設定を変更する必要があります。この変更は、インストール時のみに可能であり、導入後の変更はできません。
  • MicrosoftAzure環境を利用する場合に10.0.0.0帯のプライベートIPアドレスがマシン上で利用されていると、正しくShieldのインストールが完了しない場合があることを確認しています。その場合には、マシンが利用するプライベートIPアドレスを10.0.0.0帯以外のIPアドレス帯(192.168.0.0等)を利用してインストールをお試しください。
  • Shield通信をSSL復号化(SSLデコード)して利用する環境の場合には以下のShield内部通信のために利用しているドメインをフィルタリング除外対象に登録する必要があります。
    • Var21.11以前
      • icap-server.service.consul
      • es-proxyless.farm-services.svc
    • Var22.08以降
      • icap-server.service.consul
      • es-proxyless.farm-services.svc.cluster.local
  • 上位Proxyを指定しないとインターネットへ接続できない環境において、内部上位プロキシの設定がオフになっている場合、内部上位プロキシを通る通信(アプリケーションの許可通信)やホワイト(許可)通信が多く存在するとそれらが全てエラーになり、その影響でAuthProxyがダウンしShieldサーバを利用したwebの閲覧が不可になる場合があります。原因事象を回避するためには、以下の何れかにて対応可能です。
    • Shieldの前段のプロキシサーバにて、アプリケーション通信をブロックする
    • Shieldの設定にて、内部上位プロキシサーバの設定を行う
  • 既存プロキシからICAPによる連携は検証中です。設定の要件がある場合、お問い合わせください。
  • Rancherの証明書について証明書が失効する前に期限を更新しないとRancherUI画面へのログイン操作およびShield開始/停止/確認スプリクトの利用が不可となる問題があるため、失効前に、延長のスクリプトを実行ください(CA0000073539/QA#809378) 詳細はこちら を参照。
  • 同時接続ライセンスをご利用の場合、18.12より前のバージョンから、18.12以降へバージョンアップすると、ライセンスの再アクティベーションが必要となります。
    → ライセンスアクティベーション については 展開ガイド - 管理コンソール - ライセンス をご参照ください。
  • OVAによるオフラインインストーラーについては、ベースOSはUbuntuのみでの提供となります。(CentOSでの提供は行われなくなりました。)
  • インストール方法によって、Dockerのバージョンが統一されない場合があります。「6.3.2. shield-prepare-servers.sh による事前準備 」 手順を参照し、対応を行ってください。
  • 導入時にIPV6が無効化される場合があり、IPV6が無効化された場合、Shieldのインストールが正常に完了できません。事前にIPV6が有効化されているかをご確認ください。
  • 上位ネットワーク機器でSSL復号化(SSLデコード)やURLフィルタリング、アンチウィルスを実施している環境の場合、Shieldインストール処理にてインターネット上より必要なデータをダウンロードして処理を行う関係で、通信エラーによりインストールが失敗する場合があります。Shieldインストール処理が失敗する場合には、上位ネットワーク機器の設定を確認ください。具体的にShieldインストール時や運用利用時に許可する必要がある通信ドメインを確認されたい場合には、サポートセンターへお問い合わせください。
  • Ericom Shieldの上位プロキシに証明書が必要な場合において、上位プロキシにSSLデコード機能が存在する場合、Shield管理コンソールからのインポートだけでなくOSサーバへの証明書配置が必要になります。詳細は 「5.1.8 Ericom Shieldの上位プロキシへのルート証明書インポート」 をご参照ください。

Votiro関係

  • ダブルバイトのファイル名のZIPファイルをサニタイズすると、ファイル名が文字化けする場合があります。
  • ダブルバイトのファイル名がついたファイルを内包しているZIPファイルをサニタイズした場合、内部のファイル名はUTF-8で処理されます。そのため、UTF-8を扱うことができない解凍ソフトを利用している場合、内包されるファイル名が文字化けしてしまいます。
  • 一太郎ファイルの無害化を正しく行うには、Votiroサーバのロケールは日本語になっている必要があります。
  • Votiroに同梱されているアンチウィルス製品が変更になりました。V8.4以降から「ClamAVとWindowsDefender」が利用されます。
  • 二重に圧縮されているzipファイルにおいて、Votiroをご利用の場合、外側のzipファイルがパスワードなし、内側のzipファイルがパスワードありの場合、サニタイズされずにダウンロードされます。
  • Votiroにバンドルされるアンチウイルス製品のライセンス有効期限が発行した年の12月31日となっているため、利用するためにはファイルの差し替えが必要です。評価目的・または正規にアンチウイルス機能をご利用の場合は最新のインストーラパッケージに同梱されているライセンスファイルをご利用ください。 詳細は こちら をご確認ください。
  • dwgファイルがCADではなく不明なファイルとして認識されます。こちらは、Votiro 8.4以降のバージョンにて解消されております。

入力関係

  • 未確定文字列に下波線が表示されません。

  • 変換候補の位置がずれることがあります。

  • Office Online では日本語入力時にセッションが異常終了する場合があります。この問題はWordとPowerPointでのみ確認されています。これは既知の問題です。ご利用の場合は該当ドメインをホワイトリストに登録してご利用ください。

  • F1キーでヘルプが起動されません。

  • F12キーで開発ツールが起動されません。

  • メニューキーでメニューは表示されません。

  • クライアントにChromeとFirefoxを利用していて日本語入力を行っている場合、変換を確定せずに入力を継続すると、最初の1文字が欠落します。この問題は現在調査中です。

    例:ほんじつは[変換]→未確定状態で「せいてんなり」と入力すると「本日は」の直後1文字目「s」が欠落します。

  • [変換]キーが正しく動作しません。
    • IE11,Chrome : 変換キーを押しても再変換されません。
    • Firefox : 変換済み文字が残ったまま、新たに再変換が行われます。
    • Edge : 変換済み文字が残ったまま、キーを押す度に変換候補が入力されます。
  • Ctrl+z 利用時、語句単位ではなく1文字ずつ戻る動作となります。

リダイレクト・印刷関係

  • 印刷対象はすべて縦表示の状態でPDF化されて印刷されます(横表示のPDF化は不可)。PDF化されたファイル名は「PrintPage.pdf」となります。
  • 印刷時のスプールデータサイズは大きくなる場合があります。
  • 印刷倍率指定して印刷した場合、ローカルブラウザの挙動と異なります。(ローカルブラウザでは通常横幅の倍率が変更されますが、Shieldでは縦横それぞれに倍率を適用します。)
  • Chromeを利用した場合、用紙を横向きに設定することができません。
  • 印刷設定において、タイトル/日付/URL情報を付与しても印刷されません。
  • 上位プロキシが存在する環境でGoogleMapを印刷すると、印刷物が滲んでしまいます。
  • Internet Explorerでは、音声再生をするためにはFast Media Streamを有効にする必要があります。
  • FMSに対応していないメディアは、Internet Explorerでは音声再生は行えません。
  • Windows7のInternet Explorerでは、Fast Media Streamを利用できません。
  • Windows7のInternet Explorerでは、FMSに対応していないため、音声再生は行えません。
  • Internet ExploreとFireFox利用時、ブラウザ内の文字列をコピーした時にダイアログウィンドウが表示されます。
  • IE11や(Chromium版ではない)Edgeから印刷を行う場合に印刷が行えない問題があります。これはWindowsOS側の問題の可能性が高く、Ericom製品を使用せずとも発生する場合があります。この問題は、IE11のアドオンとして登録されている「Adobe PDF Reader」を無効化することで回避可能です。
  • Internet上のPDFファイルを印刷する場合、ダウンロードを許可する必要があります。(サニタイズによるダウンロードも可。)これはShieldではPDFを「ファイル」として扱っており、印刷制御のの対象は「HTMLコンテンツ」に限定されているためです。これは製品の仕様です。
  • [SHIELD-8745] <bdi.co.il>で複数ページのレポートを印刷できない問題があります。

URLカテゴリ関係

  • URLカテゴリは別途ライセンスが必要です。
  • カテゴリポリシーにおいて、「アクセス」をデフォルト値を示す「(Shield)」として設定すると、そのポリシーにマッチしたページが正しく表示できません。Shield / ホワイト / ブラック を明示的に設定してください。
  • URLカテゴリの初期動作モードは「インテリジェント分離モード」 相当 となっています。この場合、URLカテゴリにリストされているサイトは分離されません。「未分類」または「疑わしい」サイトのみをShieldします。 Shieldの分離機能をフルに活用するためには URLカテゴリの最適化 の手順を実施してください。

その他・仕様関連

  • Firefoxを利用時、アカウント情報保存の候補表示がページ遷移後も残っていることがあります。

  • サイトが正しく表示されない場合があります。(コンテンツのずれ、文字化け、オブジェクトの欠落など)

  • Ericom Shieldの管理コンソール閲覧はChromeもしくはEdgeを推奨しています。

  • GoogleMapが埋め込まれたサイトでCtrlを押しながらスクロールをすると、地図だけではなく、ページ全体が拡大されてしまいます。

  • ブラウザのフォントを任意に変更することはできません。

  • Ctrl+nでブラウザを複数起動した時、「Page failed to load properly Browser already in use」のメッセージが表示されます。間隔をあけて起動を行ってください。

  • ユーザ認証を行わない場合、ライセンスは利用するブラウザ毎に消費します。これは仕様です。

  • ユーザ認証を行わない場合でブラウザのキャッシュをクリアする拡張などを利用されている場合、ライセンスはタブ毎に消費します。キャッシュクリアツールの停止をご検討ください。

  • ユーザ認証を行わない場合、1ユーザが複数のデバイスから同時にEricom Shieldを利用するとライセンスを複数消費します。

  • 動画再生やFlashコンテンツができないサイトがあります。

  • ブラウザコンテナへのプラグインやクライアント証明書の追加はできません。

  • タブレット端末から利用できません。

  • ファイル無害化前のオリジナルファイルを閲覧/取得することはできません。必要に応じて、ホワイトリストとして設定してダウンロードする必要があります。

  • 外部SYSLOGサーバへログを転送する設定を行った場合、Shieldから転送されるログの時刻が9時間ずれて(UTCにて)登録されてしまいます。

  • 管理コンソールから読み込む各種証明書の形式はPEM形式である必要があります。それ以外の形式(例:バイナリ形式)で読み込んだ場合はコンテナが生成できないなどの問題が発生する可能性があります。

  • レポートの保持期間は前月分のデータまでのみとなります。

    例)現在、7月15日だった場合、レポートの保持は6月1日~7月15日までの期間となります。

  • Ericom ShieldではCNIとしてFlannelを利用するように初期設定されています。FlannelではデフォルトでVXLANが利用されているため、セキュリティ製品などで異なるノード間での通信を制限している場合などでは、Podが適切に起動できない場合があります。事前にKubernetesのPod間で通信が可能なことを確認してください。

  • Zoomなど、プロキシ経由で接続できない場合、直接接続を試みるアプリケーションが存在します。そのようなアプリケーションの場合、直接接続が可能なネットワーク環境においては当該アプリケーション通信がShield非経由となります。

  • Edge標準のホームページににアクセスするとブラウザコンテナが数個消費されてしまいます。

  • Microsoft (Office)365を利用する場合は、トラフィックやレスポンスに大きな影響を与える可能性がありMicrosoft社としても、プロキシサーバーやトラフィック検査デバイスやセキュリティソフト(Ericom Shieldを含む)を経由させないことが推奨されています。お客様環境においては、それぞれの要素を適切に評価いただき、Ericom Shield利用時の構成方法についてご検討ください。

  • Youtube(youtube.com)のサイトリンクをクリックできない場合や動画再生が正しくできない場合があります。この問題は古いChromeやEdgeのバージョンを利用している際に発生する場合があることを確認しています。最新版へブラウザバージョンアップをお試しください。

  • EdgeのIEモードはサポートされません。

  • Shield オンプレ版でファイル無害化ソリューションとしてSasaと連携している場合、Sasaでは、GIFアニメーションをサニタイズしてダウロードするとアニメーションは動作しなくなります。これは現時点のSasa側の仕様となります。GIFアニメーションをファイル無害化(CDR)させたうえで、動作させたい場合はVotiroもしくはOpswatでは動作することが確認できておりますので、それらの製品でのご利用もご検討ください。

  • FireFoxからアクセスする際、Firefoxの「プライバシーとセキュリティ」の設定で「強化型トラッキング防止機能」が有効の場合、Shield経由でのアクセスができないサイトがございます (Exchange Onlineなど複数サイトで確認しております) 。回避策としましては、別のブラウザやアプリの利用をお願いします。

    ※トラッキングの無効方法: 強化型トラッキング防止機能をカスタムに設定し、全てのチェックを外す

    ※トラッキングを無効にした場合であっても、現状Teamsへのアクセスはできません。

  • 二重に圧縮されているzipファイルにおいて、Sasaをご利用の場合、以下の2パターンにおいて、正しいパスワードを入れてもパスワード入力画面が表示され続けダウンロードすることができません。
    • 外側のzipがパスワードなし、内側のzipがパスワードありの場合
    • 外側のzipがパスワードあり、内側のzipがパスワードありの場合

  • 多機能マウスのサイドボタンの動作につきましては、現状メーカー未対応のためサポート対象外となっております。

  • Windows7 のInternet Explorerで、動画サイトの全画面表示が全画面にならない場合があります。

  • Windows 7 Internet Explorer を利用した場合、動作が遅くなる場合があります。

  • IE利用時に同一タブ内でファイルアップロード作業を複数回実施する場合、2回目以降のアップロードが失敗します。回避策として以下での対応をお願いします。

    <対処方法>

    アップロードが失敗した場合は、再度最初から操作を行うことでアップロードできます。ログインを伴うサイトは再度ログインが必要になります。

  • Kubernetesの動作仕様で、最小待機ブラウザ数の指定している値とブラウザノードのリソースを参照して、リソースに余裕があると判断した場合、バージョンアップのタイミングではsecurebrowsing/shield-cefイメージを展開せず、イメージが展開されないノードでは、待機ブラウザが作られません。これは上記仕様のため、問題ありません。

  • レポートを10000行まで制限した場合、「古いログから10000行まで表示」となるため、レポートの「セッション」>「セッション履歴」で「今日」を選択した際に、トップに来る時間が数時間前のものになる場合があります。

  • 20.10から機能追加された、[ホワイトリストに登録されたドメインの外部オブジェクト]の設定を以下の何れかの設定にすることで、正常にログが取得できるようになりました。
    • デフォルトホワイト
    • 絶対ホワイト
  • Shield管理コンソールへプライマリDNSとセカンダリDNSを設定していても、プライマリDNSがダウンした場合にセカンダリDNSへ切り替わらない事象を確認しています。こちらの問題はEricom社調査中となります。この問題に該当する場合は、下記回避策をご検討ください。
    • すべてのShieldサーバ(ClusterManager、SystemComponent、Browser)のOSレベルで、プライマリとセカンダリのDNSサーバを設定してください。
    • Shield管理コンソールのプライマリDNS、セカンダリDNSに、上記OSレベルで設定したDNSサーバを設定してください。

  • 2022年6月15日に発生した Ericom Shieldオンプレミス環境における障害事象(Ericom Shieldで利用している証明書の有効期限切れに伴うブラウザがアクセス不可になる事象)については21.01以降のバージョンについては利用される証明書の有効期限が2038年10月11日のため、その期限までは発生しません。また、開発元であるEricom Software社にて調査を行い、Ericom Shieldでブラウジング時に使用する証明書、及び期限制約のある動作仕様については、マニュアルに記載されているもの以外では今回のご報告の対象以外に該当するものはないことを確認しております。

  • 2023年3月10日時点で、1GB以上のファイルダウンロード・アップロードが正常に完了しないケースがあるという事象(正常に完了する場合もあります)を確認しています。この問題についてはEricom社に確認中です。

  • 2023/7以降において、Googleへのログインができない事象を確認しています。google.comのポリシーを追加または編集し、アクセスを「許可」としてください。もしくは、accounts.google.comのポリシーを追加または編集し、アクセスを「許可」としてください。後者の場合、Googleへの認証は成功しますがGドライブなど一部のGoogleサービスへアクセスができない場合があります。アクセスできないGoogleサービスがある場合は、accounts.google.comの他、drive.google.comなどアクセスしたいドメインもポリシーへ追加し、アクセスを「許可」してください。この問題はGoogle社による変更の影響を受けて発生しています。Eriocm社にてアクセス「許可」以外の回避策については引き続き調査中です。

  • Gmailにログインする際、アカウント入力後の画面で「ログインできませんでした」と表示される場合があります。回避策としましては、別ブラウザの利用や、googleドメインのポリシー設定を「許可(あるいはSSLインスペクション無しで許可)」でのご利用をお願いいたします。

    ※ この事象は次期バージョンで改修予定となります。

  • 「ユーザあたりのアクティブなリモートセッションの最大数」の設定において、Internet Explorerでは、同一ドメインを複数タブで開いた際、タブ数のカウントが正しく行われない場合があります。

  • 短時間に同一端末から同一ドメインへのアクセスを行った場合、アクセスログが全て記録されない場合があります。

  • 冗長構成の場合、レポートおける表示が欠落する可能性があります。ログの出力先にNFSサーバをマウントするなどの対応が必要です。

  • Internet Explorerをクライアントとして利用した場合、WebSocket接続の上限数が少ないことでSSLエラーが発生することがあります。「(IEのみ) WebSocket接続の上限数変更 」を参照し、接続数の上限を変更してください。

  • 冗長化構成をとった場合でも、場合によっては最大10秒程度のシステム停止が発生する可能性があります。システム起動直後のコンポーネント配置状況に依存します。この問題の詳細は調査中です。

  • 管理コンソールのポリシー画面において日本語を表示をしている場合、「カテゴリ」の新ポリシーを追加することができません。英語表示の場合は問題ありません。この問題は調査中です。

  • Proxy-Authorizationヘッダによる連携はShieldが前段にあり、上位プロキシへの連携にのみ利用できます。逆の構成はサポートしていません。

  • 「ポリシー」および「アプリケーション」におけるドメイン名はシングルバイトのみサポートします。

  • ポリシーインポートに対応しているファイル形式はCSV形式のみサポートします。

  • Shieldサイトからブラック登録を行っているサイトに遷移した場合、適切なエラー画面が表示されません。

  • 「アプリケーション」において、「名前」欄に同じ名称で複数登録が可能ですが、同名の場合、削除時に両方が削除されてしまうため、同名での登録は避けて下さい。

  • SSL証明書のファイル名はシングルバイトのみサポートします。

  • カスタム認証局のパスワードでは記号は未サポートとなります。

  • Shieldセッション一時停止時間(分)をブランクやマイナスの値を入力した場合に設定が機能しません。

  • Active Directory 認証設定においてsamAccountNameでのユーザー名指定は未サポートとなります。

  • Shield管理コンソールのレポート機能で表示できる最大件数の制限は10,000件となります。10,000件以上をさかのぼって確認したい場合は、kibanaで日時フィルタで絞るなどしてご確認ください。

  • 管理コンソールから設定するフィールドについてはシングルバイトを利用してください。ダブルバイトを利用した場合、プロファイルの設定やCSVでのエクスポート/インポート時に文字化けする場合があります。

  • ユーザ認証を行わない場合、セッション数のカウントが正しく行われない問題が発生しています。この問題は現在調査中です。

  • Rel-21.01より、electronがバージョン10となりました。electron10ではFlashはサポートされません。当バージョン以降、ShieldではFlashがサポートされません。

  • 上位プロキシを指定している場合、広告ブロックが機能しません。

  • 21.01以降のバージョンにて、クライアントPCからバージョンアップ前にアクセスしたサイトへアクセスした場合に「ACCESS DENIED(es-proxy-auth)」エラーが発生する場合があります。その場合、F5でページの再読み込み もしくは、ブラウザのキャッシュのクリアをしていただければ表示可能となります。

  • 21.01以降では、Shield管理コンソールのレポートの一部を参照するために認証情報が要求されます。認証要求された場合は、下記IDとパスワードを入力してください。
    • ID : admin
    • パスワード : JajaNoice#

  • [SHIELD-9972] レンダリング方式「ストリーム」設定時、Facebookのメッセンジャー画面が白く表示され読めない場合があります。

  • [SHIELD-9973] レンダリング方式「ストリーム」設定時、Facebookの動画再生をした場合に、正しく表示されない場合があります。

  • [SHIELD-8845] プロキシレスモードでファイルのプレビューができない場合があります。

  • [SHIELD-9966] Ericom Shieldの前段にプロキシがある構成において、Ericom Shieldの設定でX-Authenticated-Userヘッダーを設定している場合、ホワイトリスト登録したサイトが閲覧できません。

  • [SHIELD-9970] Ericom Shieldの前段にプロキシがある構成において、Ericom Shieldの設定でX-Client-IPヘッダーを設定し、ホワイトリスト登録したサイトを閲覧すると、X-Client-IPヘッダーが上位プロキシのログに記録されません。

  • [SHIELD-9971] consul(Ericom Shieldの設定情報を保管するサービス)をコマンドラインで開くことができません。

  • [SHIELD-9387] Office365の管理者がメールフロールールの編集に失敗する場合があります。(404エラー)

  • [SHIELD-8529] office.comにサインインして、新規ファイルを作成すると、ページが動かなくなることがあります。

  • [SHIELD-9063] ShieldでUSA TODAYビデオの音声が再生されない場合があります(クリスタルレンダリング)

  • [SHIELD-8710] <www.today.com>においてページ内のリンクをクリックしてもサイトが表示されない[プロキシレスモード]。

  • [SHIELD-8709] ピクセルモードまたはクリスタルレンダリングモードで、<www.bet365.com> の読み込みに失敗します

  • [SHIELD-8708] 広告ビデオのミュートを解除できない問題があります。

  • [SHIELD-8476] <bdi.co.il>でWebページの印刷が正しくされない問題があります。

  • [SHIELD-8321] <webcand.com> Webサイトにログインすると、左メニューがまったく表示されないか、完全に動作しません(選択したレンダリングに依存します)。

  • [SHIELD-8135] クリスタルレンダリングでPDFファイルをドラッグするとドラッグ位置がずれてしまう問題があります。(CA0000072616/QA#803399)

  • [SHIELD-7634] <https://drizly.com/beer/c2>のサイトを表示できない問題があります。

  • [SHIELD-7080] <https://www.hilan.co.il/en/>をクリスタルレンダリングモードで閲覧した際に - ログイン/ログアウト時間の設定に関する問題があります

  • [SHIELD-8087] <huffpost.com> においてページ内にグラフが表示されない問題があります。

  • [SHIELD-7813] <https://sis.cat.com/>がオンプレミス版Shieldで正しく表示できない

  • [SHIELD-7291] <reddit.com>の動画再生に問題があります

  • [SHIELD-7803] <telegraph.co.uk> においてロゴが表示されない問題があります。

  • [SHIELD-7808] <Forbes.com>においてサイトの一部が欠けて表示される問題があります。

  • [SHIELD-7975] <cisco.com>でメニューが機能しない問題があります。

  • [SHIELD-8604] Linkedinに埋め込まれたyoutubeビデオの再生時に問題があります。

  • [SHIELD-8780] <pinterest.com> においてビデオが再生されている状態でピンを押すと、ビデオが画面に表示されない問題があります。

  • [SHIELD-7879] <shufersal.co.il> においてビデオ画面がプレーヤーの外に出てしまう問題があります。

  • [SHIELD-5622] <http://gisn.tel-aviv.gov.il/>がWebGLを利用しているため正しく動作しません。

  • [SHIELD-4445] <developer.mozilla.org>においてクリスタルレンダリングを利用した場合、予期せぬ表示と動作になることがあります

  • [SHIELD-9569] Windows 7マシンではクライアント証明書のインストールをすることはできません

  • [SHIELD-7269] <yad2>の地図機能や google mapsにおいてマウスホイールによるズームイン/アウトが機能しない問題があります

  • <backlog.com>においてクリスタルレンダリング利用時に一時停止機能を繰り返し使用するとブラウザザーバのリソース枯渇する問題があります。(CA0000073128/QA#806676)

  • 21.04以降では、複数のSyslogアドレスへの転送がサポートされなくなりました。1つのSyslogアドレスへの転送のみとなります。

  • AWS上でJAL、ANA、楽天トラベルのサイトが正しく表示されない問題があります。(CA0000073354/QA#806713)

  • 「リソースを許可する」の設定を「いいえ」にした場合、Shieldでホワイトに設定されたサイトが参照できなくなりますので、この設定はデフォルト値の「はい」のままご利用ください。この問題は、次のリリースバージョンで修正予定です。

  • IE11の互換表示設定で閲覧すると真っ白な画面が表示され、対象ページを閲覧できません。これは現状の仕様となり、制限事項になります。(21.01.744以降のバージョン)

  • ShieldでWhite登録されているサイトにアクセスした際にsyslogにurlが出力されない場合があります。(CA0000074132/QA#813050)

  • 「ポリシー」設定において日本語ドメイン名を登録する際には、Punycodeで登録する必要があります。

  • 「ポリシー」設定において日本語ドメイン名をPunycodedで登録した後に、編集した際にエラー(ドメインとIPアドレスのみがサポートされています)表示となります。設定内容の編集ができないため、設定変更が必要な場合には一度、削除した後に新規登録を行う方法で設定内容の変更をしてください。

  • Shieldされたサイトで右クリックから画像を保存しようとするとエラーになります。
    • 発生条件
    但し、以下の条件の場合に限ります。
    • "Proxy-Authorization ヘッダー アクション"の設定を"フォワード"に設定している
    • 認証設定を行うよう設定している
    • 回避策
      画像ファイルを保存したい場合は、同じメニューに含まれる「画像をコピー」をしたうえで「名前を付けて画像を保存」を選択してください。
  • Chromeブラウザを使用して「グループウェア desknet’s」にてファイルダウンロードするとセッションを引き継ぐことができずにログイン画面に戻る問題が発生します。
    • 回避策
      IEもしくFirefoxをご利用ください。

  • Ericom Shieldのレポートへのイベント出力とsyslogへのイベント出力が遅れる(例:20分後に出力される等)事象がある場合があります。現状はイベントがログやレポートに出力されるまでお待ちください。本事象については再現性も含めて調査中となります。

  • Shieldサービス再起動後、コンテナは全て上がっているが使用できない場合があります。その場合、ブラウザ上には「ERR_POLICY_NOT_AVAILABLE」エラーが表示され、レポートにはBlackで出力されます。その場合には、shield-stop.sh、shield-start.shで対応をお願いします。本事象についてはメーカ調査中となります。

  • Shield接続が一時停止し、管理コンソールに表示される利用中ブラウザの数が一時的に0になる事象が一部の環境で確認されております。この事象が発生している場合、es-proxy-authサービスが再起動しているケースが考えられます。ユーザがShieldを利用中の場合にはShieldブラウザの再読み込みが発生します。フォーム入力をしている場合には入力内容がクリアされます。本事象については再現性も含めて調査中となります。

  • Wihte/Blackアクセスでシスログにはhttp(s)は出力されません。

  • 「リソースを許可する」設定を「いいえ」にすると、ホワイトサイトが全て参照できなくなります。

  • ファイルアップロードサイズ制限が1000MB(デフォルト)の時に、100MB以上のファイルがアップロードできません。

  • ブラウザタブが制限設定数より多く開けてしまう事象があります、本件は現在メーカ調査中となります。

  • IEではCTRL+Cでのコピー&ペーストが利用できません(右クリックでのコピー&ペーストを使用ください)

  • Chromeブラウザのバージョンが古い場合、Google driveを利用した際に警告が表示される場合があります

  • 設定 - 一般 - 音声の有効化を設定してもIEでフレームレンダリングを利用している場合は音声がリダイレクトされません。

  • 設定 - 一般 - 低速ネットワークのメッセージ間隔を設定しても遅延メッセージが表示されません。

  • 設定 - エンドユーザオプション - 疑わしいサイトの警告をNoに設定してもIEとEdgeでは警告メッセージが表示されてしまいます。

  • SHIELD-10037 - ユーザーアカウントが2FAを持っている場合、メールでのアラート送信に失敗しました。[メールアラートを設定する際に、ユーザー名が2FA認証を受けていないと、アラートがメールで送信されてしまいます] 。

  • SHIELD-10013 - クリスタルレンダリング利用時のみYoutube動画 - 動画のURL再度コピーしようとするとURLコピーのUIの表示がおかしくなります。

  • SHIELD-10894 - IE11でフルスクリーンモード(F11)を使用すると、ページが中央ではなく左に浮いてしまいます。

  • SHIELD-10787 - WhatsApp Beta - ページを更新するとログアウトしてしまいます。

  • SHIELD-10390 - クリップボード:フォーマットされたテキストの制限事項。

  • SHIELD-9937 - いくつかのサイトでプロキシモードでのファイルプレビューが機能しません。

  • SHIELD-10801 - X-Authenticated-User Header Action =Set、Encode X-Authenticated-User HeaderがNoに設定されている場合、X-Authenticated-Userが渡されない。

  • SHIELD-9997 - 証明書の復元 / ca証明書のアップロード - 認証プロキシがクラッシュして再起動する原因となることがあります。

  • ポリシーの設定において「疑わしいサイトの警告」設定において、Noに設定してもIEとEdgeは警告が表示されます。こちらの問題はEricom社調査中となります。

  • ポリシーの設定において「低速ネットワークのメッセージ間隔」の設定値を「100」(0.1秒)に設定してもメッセージが表示されません。こちらの問題はEricom社調査中となります。

  • パスワード付きMicrosoft Officeのファイルに対してzip圧縮時に暗号化したものをダウンロードする際に、パスワード入力画面にzipのパスワードを入力するとファイルはダウンロードされますが、解凍するとOfficeファイルがerror XMLとなります。本件はメーカにて調査中となります。

  • 下記、一部のレポート機能は現在使用できません。こちらについてはEricom社へ確認中です。
    • [システム]の「使用状況」および「ユーザーセッション」

  • Chromeでレポートを表示を行う際にChrome上でメモリ不足が発生してOutOfMemory表示となる場合があります。この問題はEricom社にて調査中となります。回避策としてFireFoxを利用ください。

  • syslogで以下の条件でgrepをすることで詳細なアクセスログの確認が可能です。
    • Shield : grep urlNavigation
    • 許可 : grep '"shield_mode":"allow"'
    • SSLインスペクション無しで許可 : grep '"shield_mode":"allow_no_ssl_inspection"'
    • 拒否 : grep '"shield_mode":"black"'

  • 管理コンソールのポリシー画面にて「アクセス:許可」で設定しているドメインのサイト閲覧時にて、表示や操作、ダウンロード等がエラーとなる場合があります。「アクセス:SSLインスペクション無しで許可」に変更することで改善する場合がございますので、お試しください。

  • Ver22.08の管理コンソールのポリシー画面にて設定をインポート(CSV)を行った際に、「サブドメイン」値が全て「含む」で上書きされる不具合を確認しています。本不具合は、メーカへ次バージョンでの改修依頼中となります。

  • Ericom Shield 22.08へバージョンアップ後に、ファイルサニタイズベンダーでOpswat MetaDefenderを指定している場合、Opswat MetaDefenderの設定内にある「Opswat Namedポリシー」がブランクになります。そのため、以下のように設定を追加して保存してください。
    • インターナルNamedポリシー: 任意の名称。但し、Opswat (def)とすることはできません。
    • プロバイダNamedポリシー: Opswat MetaDefenderのWorkflows名を記載します。従来のバージョンのデフォルト設定とする場合は、File processと記載します。
    • デフォルト: Yesに変更します。

  • Hyper-VとUbuntu 18.04もしくは20.04とShield 22.08 以降 の組み合わせで運用する場合、ブラウザサーバーにおいてOSから見えないメモリの量が時間経過とともに増えることが確認されており、最終的には、メモリ不足となり障害に繋がります。本件は、Ericom Shieldの不具合ではありません。Hyper-Vをご使用しているお客様が22.08以降へバージョンアップする場合にはご注意ください。本事象はハイパーバイザがHyper-VもしくはVMware ESXiで発生しますが、Hyper-Vのほうがメモリの消費量が大きいため、Shield導入OSのハイパーバイザとしてはVMware ESXiを利用することをお勧めします。また、併せて一定間隔でのブラウザサーバの再起動運用も含めてご検討ください。

  • Chrome/Edge/Firefoxを使用してShieldされたサイトを閲覧している際に、以下の2パターンの問題が発生する場合があります。
    • ブラウザ上の「戻る」を押すとページ表示がフリーズし利用できない状態が発生する場合がある。
    • 稀にページ表示がフリーズし利用できない状態が発生する場合がある。
    [回避策]

    F5(ページ再読み込み)を実施する。

  • 新しいタブを開くリンクをクリックした時、「Open New Tab?」のダイアログが表示される場合があります。

  • 20.03から、レポートのログの出力方法が以下のように変更されています。

    同じタブ内、またはそのタブから新しいタブを開いた場合、同じドメイン内の場合は最初のアクセスのみレポートに出力されるようになりました。

  • 20.05.650から、syslogで以下の条件でgrepをすることで詳細なアクセスログの確認が可能となりましたが、一部正常に取得できないケースがあることが確認できました。
    • Shield:grep urlNavigetion
    • Black :shield_mode:black
    • White :grep "Mode: white"

サポート制限

  • Windows 7 はMicrosoftのサポート終了に伴い、クライアントとしてサポートされなくなりました。
  • 下記はテクニカルプレビューによる限定公開です。不具合がある場合があるため、本番環境での正式利用はサポートできませんのでご注意ください。
    • オートフィル
    • オリジナルファイルの取得
  • 下記は日本では提供準備中のため、本番環境での正式利用はサポートできませんのでご注意ください。
    • Votiro Namedポリシーの利用
    • Rancherサーバの冗長化構成
  • 下記は日本では提供の予定がありません。サポートできませんのでご注意ください。
    • RHEL へのインストール
    • Check Point SandBlast Cloud とのCDR連携