8.10. アクセス「検査」ポリシーについて

8.10.1. 本ガイドについて

Shield 23.05.4922-8以降では、アクセスポリシーとして「検査」が実装されました。

本ガイドでは、「検査」ポリシーについて解説いたします。なお、後述の「ダウンロードの検査」ポリシーで設定した場合の動作については、CDRサーバとしてShield標準のSasa GateScannerを利用した場合を前提としています。

※ オンプレミスVotiroやOpswatを利用時も同様に利用が可能です。

8.10.2. 「検査」ポリシーについて

Shield 23.05.4922-8以降では、下図の通りアクセスポリシー「検査」を設定することが可能となりました。「検査」を設定した場合、当該ドメインへのブラウジングのアクセスについてはShieldモードではなく、「許可」モードと同じ動作でのアクセスとなります。

  • 図1 ポリシー設定画面

    ../../_images/sc2313_inspectionpolicy01.jpg

Shield 22.08以前では、「許可」モードのドメインについては一部を除きファイルダウンロードの処理を行うことはできませんでしたが、Shield 23.05.4922-8以降では「検査」ポリシーを設定することにより、「許可」モードのドメインであってもダウンロードファイルの処理を行うことができるようになりました。

「検査」ポリシーを設定したドメインにおいて、ダウンロードファイルの処理を行うためには、「ファイルダウンロードの検査」ポリシーを設定します。「ファイルダウンロードの検査」ポリシーで設定可能な値とその処理内容は次のとおりです。

  • 表 「ファイルダウンロードの検査」ポリシーの値とその処理内容
番号 処理内容
1 許可・検査なし CDR処理せず、そのままファイルをダウンロードします。
2 ブロック CDR処理せず、ファイルダウンロードをブロックします。
3 アンチウィルス アンチウィルスチェックを行い、問題なければファイルダウンロードが可能です。
4 プレビュー
ダウンロードするファイルがPDFへ変換できる場合は、PDFへ変換してダウンロードします。PDFへ変換できない場合は、エラーとなります。

エラーの例)
File Download Failed
Your file sample.xlsm has failed to scan by the file scanning platform.
[This file cannot be converted to PDF. File type is not supported.]
5 AV Only 5つのアンチウィルスエンジンでウィルスチェックを行い、問題なければファイルダウンロードが可能です。
6 Fast AV 2つのアンチウィルスエンジンでウィルスチェックを行い、問題なければファイルダウンロードが可能です。
7 True File 5つのアンチウィルスエンジンでウィルスチェックを行います。また、偽装ファイルチェックを行います。問題なければファイルダウンロードが可能です。
8 Full CDR 5つのアンチウィルスエンジンでウィルスチェックを行います。また、偽装ファイルチェックを行います。更に、コンテンツの無害化(CDR)処理を行います。問題なければファイルダウンロードが可能です。
9 File Restricted CDR
2つのアンチウィルスエンジンでウィルスチェックを行います。また、偽装ファイルチェックを行います。更に、コンテンツの無害化(CDR)処理を行います。問題なければファイルダウンロードが可能です。

<対象の拡張子>
3G2;3GA;3GP;3GPP;AA;AAC;AC3;ADX;AIF;AIFC;AIFF;AIX;AMR;APE;ASF;ASX;AU;AUD;AVI;AVS;BMP;CAF;CDR;CMX;CSV;DCM;DGN;DIF;DIVX;DJV;DJVU;DNG;DOC;DOCM;DOCX;DOT;DOTM;DOTX;DV;DWF;DWG;DWT;DXF;EMF;EPS;EXE;FAP;FFM;FLA;FLAC;FLC;FLI;FLV;FLX;GIF;GIG;GSM;GZ;H261;H264;HTM;HTML;HTMLBODY;ICO;ICS;IFC;IFF;IRCAM;IT;IVF;J2K;JP2;JPEG;JPG;LOG;M1V;M2TS;M2V;M3U;M4A;M4V;MAT;MAT4;MAT5;MHT;MHTML;MID;MKV;MO3;MOD;MOV;MP1;MP2;MP3;MP4;MPC;MPE;MPEG;MPEG4;MPG;MPGA;MPP;MPT;MPV;MPX;MT+AVI;MT+BIN;MT+BMP;MT+EMF;MT+EXE;MT+GIF;MT+GZIP;MT+HTML;MT+JAVA;MT+JPEG;MT+MID;MT+MPEG;MT+PDF;MT+PNG;MT+PS;MT+RTF;MT+TAR;MT+TIFF;MT+TXT;MT+WAV;MT+WMF;MT+XML;MT+ZIP;MTM;MTS;NIST;NSV;NUT;NUV;ODG;ODP;ODS;ODT;OFR;OFS;OGG;OPUS;OTP;OTT;PAF;PDF;PNG;POT;POTM;POTX;PPS;PPSM;PPSX;PPT;PPTM;PPTX;PSD;PVF;PY;RA;RAM;RAR;RAX;RGSM;RM;RMJ;RMM;RMVB;RPM;RTF;S3M;SD2;SDS;SF;SHN;SLK;SND;SPX;STL;SVG;SVX;SWF;TIF;TIFF;TMC;TTA;TXT;TXTBODY;UMX;VCF;VDW;VDX;VOB;VOC;VOX;VSD;VSDM;VSDX;VSS;VSSM;VSSX;VST;VSTM;VSTX;VSX;VTX;W64;WAV;WDP;WEBP;WMA;WMF;WMV;WPS;WV;XI;XLA;XLAM;XLAX;XLS;XLSB;XLSM;XLSX;XLT;XLTM;XLTX;XM;XML;XPS;XVID;XWM;XWMA;ZIP;ISO;MSI

8.10.3. 「検査」ポリシー時におけるファイルダウンロード時の動作について

「検査」ポリシーおよび「ファイルダウンロードの検査」ポリシーを設定したドメインのサイトへアクセスを行っている場合のファイルダウンロード動作は、以下の2パターンがありますので、各パターンの動作について説明を行います。

ファイルダウンロード動作のパターン)

  • ダウンロード用HTMLファイルを経由してダウンロードを行う。
  • ChromeやEdgeブラウザの拡張機能(アドオン)を経由してダウンロードを行う。

説明時の設定例)

  • 「アクセス」ポリシーは「検査」を設定
  • 「ファイルダウンロードの検査」ポリシーは「Full CDR」を設定

ダウンロード用HTMLファイルを経由してダウンロードを行うパターン

  1. ユーザが上記ポリシーを設定したドメインのサイトへアクセスを行いファイルダウンロードします。
  2. htmlファイルがクライアント端末へダウンロードされます。そのhtmlファイルを開くと、下記の表示例のようにCDR機能が利用されてファイルダウンロードが自動で開始されます。

ダウンロードされるHTMLファイル名:

<ダウンロード対象のファイル名>_scanning_CLICK_to_OPEN.html

図2 htmlファイル上の表示例

../../_images/sc2313_inspectionpolicy02.jpg

ダウンロードしたHTMLファイル経由でダウンロードを行うことが可能な回数は1回のみです。

再度、同じダウンロードしたHTMLファイルを開くと以下の例のような表示となります。

※ 稀に初回ダウンロード時に同じ表示となる場合がありますが、その場合には再度、htmlファイルの再ダウンロードからお試しください。

図3 htmlファイル上の表示例

../../_images/sc2313_inspectionpolicy03.jpg

  1. CDR処理が完了し、問題がなければ「Download」リンクがhtmlファイル内に表示されます。このリンクから、ファイルをダウンロードすることができます。

    図4 htmlファイル上の表示例

    ../../_images/sc2313_inspectionpolicy04.jpg

ChromeやEdgeブラウザの拡張機能(アドオン)を経由してダウンロードを行うパターン

Shield 23.13以降より、新たに検査モード利用時に専用のブラウザ拡張機能(アドオン)を導入することでシームレスにCDRでのダウンロードが可能となりました。

こちらのブラウザ拡張機能(アドオン)は、以下、URLのChromeウェブストア上からインストールが可能となっております。

https://chromewebstore.google.com/detail/cradlepoint-ztedge/kkppghfjhlkaoheniibjfjcmlpfcndnc

※ 本ブラウザ拡張機能は、ChromeとEdgeのブラウザでのみ利用可能です。

※ 本ブラウザ拡張機能のアドオン名は、「Cradlepoint ZTEdge」となります。

  1. ユーザが上記ポリシーを設定したドメインのサイトへアクセスを行いファイルダウンロードします。

  2. アドオンが有効である場合、以下の表示例のようにアドオンのダウンロード処理の表示となります。その後、処理が完了するとダウンロードがします。

    図5 アドオンのダウンロード表示例(CDR処理中)

    ../../_images/sc2313_inspectionpolicy05.jpg

    図6 アドオンのダウンロード表示例(CDR処理完了)

    ../../_images/sc2313_inspectionpolicy06.jpg

アシストにて、「アクセス」ポリシーと「ファイルダウンロードの検査」ポリシーの組み合わせによるファイルダウンロードの動作について、ShieldCloudでの検証結果よりに資料にまとめています。 基本的にShieldCloudの場合と動作は同じとなる認識となりますので、参考情報として参照ください。

資料 : ポリシーの組み合わせによるファイルダウンロードの動作

8.10.4. その他

現時点では、下記制限事項がありますのでご留意ください。

  • 「アクセス」ポリシーが「検査」または「分離」、「ファイルダウンロードの検査」ポリシーが「プレビュー」の場合、ダウンロード対象ファイルをPDFファイルへ変換できない場合はプレビュー表示できません。ダウンロードもしくはエラーとなります。
  • 「アクセス」ポリシーが「検査」の場合、パスワード付きファイルは「ファイルダウンロードの検査」ポリシーのサポート対象外です。ファイルダウンロードはエラーとなります。(アンチウィルス以外)
  • 「アクセス」ポリシーが「検査」または「分離」、「ファイルダウンロードの検査」ポリシーが「True File」の場合、ダウンロード対象ファイルとしてマクロ付きエクセル(xlsm)などをダウンロードするとエラーとなります。(圧縮ファイル内にxlsmファイルが含まれる場合も同様)
  • Whatsapp Web、Telegram Web、Outlook Webなど、エンドツーエンドで暗号化されて送信されたダウンロードファイルについては、「アクセス」ポリシーが「検査」、「ファイルダウンロードの検査」ポリシーの処理対象外となります。
  • html、css、fonts、javascript、video、audio、imagesなどのダウンロードしたWebリソースファイルについては、「アクセス」ポリシーが「検査」、「ファイルダウンロードの検査」ポリシーの処理対象外となります。また、Webリソースファイル以外においてもMIMEタイプがbinaryやpemなどのファイルは処理対象外のファイルがあります。
    ※ 必要に応じて、Ericom社にて除外対象のMIMEタイプは更新されますので、最新の場外対象の情報についてご確認されたい場合は、弊社サポートセンターまでお問い合わせください。
  • 専用のブラウザ拡張機能(アドオン)を有効としている場合に、ファイルダウンロードのURLを直接アクセスした場合には、アドオンが動作せずダウンロードが開始されません。アドオン経由のダウンロードを行う際には、検査モードで動作しているサイト上のリンクをクリックしてダウンロードを行う必要あります。そのため、検査モードでファイルダウンロードのURLを直接アクセスしてダウンロードを行いたい場合には、専用のブラウザ拡張機能(アドオン)を無効にして、htmlファイル経由でダウンロードを行ってください。