3.1. Ericom Shield リリースノート

3.1.1. 新機能および修正点

Ericom Shield 23.05 (23.05.4922-8)

【リリース日:2023/08/31】

新機能

  • 新しいオンプレミス版管理者UIが追加されました。(23.05以降で実装される新機能については新しい管理コンソールからのみ設定変更が可能となりますのでご注意ください)
  • 新しい管理者UIダッシュボード・レポートが追加されました。
  • 分離されたセッション内のナビゲーションの詳細を示す新しいレポート「セッション履歴(詳細ナビゲーション)」が追加されました。
  • セッション履歴レポートに「証明書の検証」アクティビティが追加されました。
  • クライアント・ネットワーク/サブネットごとのポリシーが追加されました。
  • 管理者ダウンロードモード - 管理者パスワードでサニタイズをバイパスする機能が追加されました。
  • ダウンロード - ファイルの種類による制限が可能になりました。
  • ユーザコンテキストメニューからレンダリングモードの変更が可能になりました。
  • 新しい「読み取り専用」オプション:「ログインを防止」が追加されました。
  • Google検索メニューオプションを非表示にできるようになりました。
  • Whatsapp での埋め込みビデオ再生をブロックできるようになりました。
  • Shieldでアップストリームプロキシからの例外を許可できるようになりました。
  • ランディングページのカスマイズ可能な機能が実装されました。
  • ブロックページをカスマイズ可能な機能が実装されました。
  • ポリシー設定にて動画再生可否の制御機能が追加されました。

機能強化

  • ポリシータイプの名称が変更されました。
    新名称 旧名称
    分離 シールド
    検査 許可

    注意

    23.05.4922-8で実装された「検査」ポリシーに伴い、ファイルダウンロードの仕様が22.08までと変更になっております。詳細については こちら をお読みください。

  • ポリシーのエクスポートに「デフォルト」ポリシーが含まれるようになりました。

  • フィッシングサイトの検出を改善されました。

  • MAC でのコンテキストメニューのルック&フィールを更新しました。

  • スマート読み取り専用モードの Dropbox で検索フィールドへの入力が可能になりました。

修正点

  • 広告ブロックが機能しない問題を修正しました。 (CA0000087338/QA#00031059)
  • 一部のウェブサイトでPDFが正しく表示されない問題を修正しました。(CA0000083456/QA#876021,CA0000085081,CA0000081329/QA#861939)
  • Google 認証を使用したログイン時の問題について修正パッチがあります。Googleログイン時に問題がある場合は弊社サポートセンターまでお問い合わせください。
  • Captcha が原因で https://www.bdicoface.co.il/ を読み込めない問題を修正しました。
  • FigmaサイトがWebGLエラーストリームのみを取得する問題を修正しました。
  • Yahooのニュースカテゴリを何度かクリックすると画面がフリーズする問題を修正しました。(CA0000084725/QA#879579)
  • Yahoo動画ページで動画が再生されない問題を修正しました。(CA0000084803/QA#00009496,CA0000087931/QA#00036335,CA0000087929/QA#00036327)
  • LMSの音声がビデオと同期しない問題を修正しました。
  • 特定のウェブサイトで音声が途切れる問題を修正しました。(CA0000083821/QA#00003676)
  • WhatsApp ビデオで音声が途切れる問題を修正しました。
  • 一部のウェブサイトで部分的に表示される問題を修正しました。
  • 一部のウェブサイトで画面が固まったり、白いページが表示されることがあった問題を修正しました。
  • 一部の日本語ウェブサイトでポップアップウィンドウが起動しなかった問題を修正しました。
  • Outlook Web でポップアップウィンドウが正しく表示されない問題を修正しました。(CA0000083267/QA#874759)
  • チームへの再接続で白い画面になる問題を修正しました。
  • LinkedIn URL が異なるページに到達する問題を修正しました。(CA0000083091)
  • 一部の地図サイトで閲覧中に発生する問題を修正しました。
  • 画像のズームインとズームアウトが機能しない問題を修正しました。(CA0000085180/QA#00013767)
  • インジケータフレームタイプを使用すると画質が悪くなる問題を修正しました。(CA0000084434/QA#00007051)
  • 数字がドットで表示される問題を修正しました。(CA0000084768/QA#879603)
  • 一部のサイトで Edge を使用すると画像が表示されない問題を修正しました。(CA0000084020/QA#878772)
  • Crystal Rendering でのマウススクロールの問題を修正しました。(CA0000085104/QA#00012580)
  • 入力中のテキストに予測変換フィールドが重なる問題を修正しました。(CA0000083914/QA#00003929)
  • 右クリックで画像をコピーする問題を修正しました。(CA0000082125/QA#868044)
  • クリップボードからコピーされる文字数が制御される問題を修正しました。(CA0000082974/QA#873475)
  • 特定のサイトでファイルのダウンロード処理が失敗する問題を修正しました。(CA0000085315/QA#00012151,CA0000082270,CA0000083091)
  • アップロードファイルがランダムに失敗する問題を修正しました。(CA0000085041)
  • 管理コンソールのレポートが表示されない問題を修正しました。(CA0000084646/QA#00008198)
  • ネイティブアプリケーションのルールを管理者UIで作成する場合、正規表現でルールを保存できない問題を修正しました。
  • ネイティブアプリケーションのルールが削除されない問題を修正しました。
  • ネイティブアプリケーションがDENY ポリシーをバイパスする問題を修正しました。
  • Websense 証明書を使用するように Shield を設定した後、ブラウザが Shield 証明書について警告する問題を修正しました。
  • ローカルホストへのブラウジングが有効になるのを無効になるよう修正しました。
  • CloudFlare のセキュリティ・チェックが複数のウェブサイトで失敗する問題を修正しました。
  • + サインイン URL がプロキシレスで発生する問題を修正しました。
  • 新しいタブを開くとポリシーが変更される問題を修正しました。 (CA0000083775/QA#00003455)
  • 2023年8月31日のリリース当初において、このバージョンではアイルドタイムアウトが動作しない仕様となっていましたが、2023年10月2日以降に導入した場合、以前のバージョンと同様アイドルタイムアウトが動作する仕様に戻りました。2023年10月2日以前に23.05を導入されたお客様は、こちら の手順でアイドルタイムアウトが機能するHotFixの適用が可能です。必要に応じてHotFixを適用してください。

注意

テクニカルプレビューの機能については、不具合がある場合があるため、本番環境での正式利用はサポートできません。

当社におきましても、正式リリースに向けての評価検証中であるため、サポートもお受けできない場合がございます。 あらかじめご了承ください。

また、お気づきの不具合やご意見につきましては、次回以降のリリースに向けての参考情報として承ります。

3.1.2. 制限事項および既知の不具合

注意

http:///install-certificate.html/ からクライアント証明書をダウンロードすることは非推奨です。代わりに、http://install-certifiaction をShieldプロキシを経由して接続してダウンロードするか、Shield管理コンソール上から証明書をダウンロードいただくことを推奨します。

・新規でインストールされた環境では、「設定>コンテンツ分離>許可されたドメイン内の外部オブジェクト」のデフォルト値が「絶対許可」に変更されます。バージョンアップでは、手動で「絶対許可」に変更する必要があります。

・冗長化構成の環境でVer21.11からVer23.05にバージョンアップした後、新しいレポートが表示されない問題が発生する可能性があります。対処として「central-logstash」PODサービスを再起動することで解決できます。

・Ver23.05から変更された新しい管理コンソールでは最大同時セッション数レポートが、ページネーションなしで1ページに表示されます。

インストール関係

  • 複数のNICが存在する環境にインストールすることは可能ですが、製品が利用するネットワークを複数設定することはできません。(インターネットとの通信用と、ノード間通信用など。)製品が利用するネットワークとそれ以外の通信(SSH接続や監視用など)を区別することは可能です。
  • 導入対象のサーバのlocaleはen_USとしてください。
  • 既存のプロキシやUTM装置の上位にEricom Shieldを配置する場合、画像による画面転送になっているため、動的なコンテンツフィルタリングやSSLインスペクション等の処理は行えません。(URLベースのフィルタリングは可能です。)
  • 導入対象サーバの時刻はNTPなどで正確に設定してください。また、複数台構成の場合、各ノードで時刻が一致するようにしてください。時刻にずれがある場合、証明書のタイムスタンプの問題が発生する可能性があります。
  • クライアントPCとShieldとの間に既存のProxyサーバが存在する場合、Proxyサーバでは8080ポートをSSL Connectionとして許可しておく必要があります。
  • Shieldの導入時にデフォルトで導入されるDockerのネットワークアドレス(docker0:172.17.0.0/16,10.42.0.0/16および10.43.0.0/16)と重複するセグメントを利用しないでください。回避できない場合、kubernetesの設定を変更する必要があります。この変更は、インストール時のみに可能であり、導入後の変更はできません。
  • MicrosoftAzure環境を利用する場合に10.0.0.0帯のプライベートIPアドレスがマシン上で利用されていると、正しくShieldのインストールが完了しない場合があることを確認しています。その場合には、マシンが利用するプライベートIPアドレスを10.0.0.0帯以外のIPアドレス帯(192.168.0.0等)を利用してインストールをお試しください。
  • Shield通信をSSL復号化(SSLデコード)して利用する環境の場合には以下のShield内部通信のために利用しているドメインをフィルタリング除外対象に登録する必要があります。
    • Var21.11以前
      • icap-server.service.consul
      • es-proxyless.farm-services.svc
    • Var22.08以降
      • icap-server.service.consul
      • es-proxyless.farm-services.svc.cluster.local
  • 上位Proxyを指定しないとインターネットへ接続できない環境において、内部上位プロキシの設定がオフになっている場合、内部上位プロキシを通る通信(アプリケーションの許可通信)やホワイト(許可)通信が多く存在するとそれらが全てエラーになり、その影響でAuthProxyがダウンしShieldサーバを利用したwebの閲覧が不可になる場合があります。原因事象を回避するためには、以下の何れかにて対応可能です。
    • Shieldの前段のプロキシサーバにて、アプリケーション通信をブロックする
    • Shieldの設定にて、内部上位プロキシサーバの設定を行う
  • Rancherの証明書について証明書が失効する前に期限を更新しないとRancherUI画面へのログイン操作およびShield開始/停止/確認スプリクトの利用が不可となる問題があるため、失効前に、延長のスクリプトを実行ください(CA0000073539/QA#809378) 詳細はこちら を参照。
  • インストール方法によって、Dockerのバージョンが統一されない場合があります。「5.2.10. shield-prepare-servers.sh による事前準備 」 手順を参照し、対応を行ってください。
  • IPv6が無効化されている場合、Shieldのインストールが正常に完了できません。事前にIPv6が有効化されているかをご確認ください。
  • 上位ネットワーク機器でSSL復号化(SSLデコード)やURLフィルタリング、アンチウィルスを実施している環境の場合、Shieldインストール処理にてインターネット上より必要なデータをダウンロードして処理を行う関係で、通信エラーによりインストールが失敗する場合があります。Shieldインストール処理が失敗する場合には、上位ネットワーク機器の設定を確認ください。具体的にShieldインストール時や運用利用時に許可する必要がある通信ドメインを確認されたい場合には、サポートセンターへお問い合わせください。
  • Ericom Shieldの上位プロキシに証明書が必要な場合において、上位プロキシにSSLデコード機能が存在する場合、Shield管理コンソールからのインポートだけでなくOSサーバへの証明書配置が必要になります。

Votiro関係

  • ダブルバイトのファイル名のZIPファイルをサニタイズすると、ファイル名が文字化けする場合があります。
  • ダブルバイトのファイル名がついたファイルを内包しているZIPファイルをサニタイズした場合、内部のファイル名はUTF-8で処理されます。そのため、UTF-8を扱うことができない解凍ソフトを利用している場合、内包されるファイル名が文字化けしてしまいます。
  • 一太郎ファイルの無害化を正しく行うには、Votiroサーバのロケールは日本語になっている必要があります。
  • Votiroに同梱されているアンチウィルス製品が変更になりました。V8.4以降から「ClamAVとWindowsDefender」が利用されます。
  • 二重に圧縮されているzipファイルにおいて、Votiroをご利用の場合、外側のzipファイルがパスワードなし、内側のzipファイルがパスワードありの場合、サニタイズされずにダウンロードされます。
  • Votiroにバンドルされるアンチウイルス製品のライセンス有効期限が発行した年の12月31日となっているため、利用するためにはファイルの差し替えが必要です。評価目的・または正規にアンチウイルス機能をご利用の場合は最新のインストーラパッケージに同梱されているライセンスファイルをご利用ください。 詳細は こちら をご確認ください。
  • dwgファイルがCADではなく不明なファイルとして認識されます。こちらは、Votiro 8.4以降のバージョンにて解消されております。

入力関係

  • 未確定文字列に下波線が表示されません。

  • 変換候補の位置がずれることがあります。

  • Office Online では日本語入力時にセッションが異常終了する場合があります。この問題はWordとPowerPointでのみ確認されています。これは既知の問題です。ご利用の場合は該当ドメインをホワイトリストに登録してご利用ください。

  • F1キーでヘルプが起動されません。

  • F12キーで開発ツールが起動されません。

  • メニューキーでメニューは表示されません。

  • クライアントにChromeとFirefoxを利用していて日本語入力を行っている場合、変換を確定せずに入力を継続すると、最初の1文字が欠落します。この問題は現在調査中です。

    例:ほんじつは[変換]→未確定状態で「せいてんなり」と入力すると「本日は」の直後1文字目「s」が欠落します。

  • [変換]キーが正しく動作しません。
    • Chrome : 変換キーを押しても再変換されません。
    • Firefox : 変換済み文字が残ったまま、新たに再変換が行われます。
    • Edge : 変換済み文字が残ったまま、キーを押す度に変換候補が入力されます。

リダイレクト・印刷関係

  • 印刷対象はすべて縦表示の状態でPDF化されて印刷されます(横表示のPDF化は不可)。PDF化されたファイル名は「PrintPage.pdf」となります。
  • 印刷時のスプールデータサイズは大きくなる場合があります。
  • 印刷倍率指定して印刷した場合、ローカルブラウザの挙動と異なります。(ローカルブラウザでは通常横幅の倍率が変更されますが、Shieldでは縦横それぞれに倍率を適用します。)
  • Chromeを利用した場合、用紙を横向きに設定することができません。
  • 印刷設定において、タイトル/日付/URL情報を付与しても印刷されません。
  • 上位プロキシが存在する環境でGoogleMapを印刷すると、印刷物が滲んでしまいます。
  • Internet上のPDFファイルを印刷する場合、ダウンロードを許可する必要があります。(サニタイズによるダウンロードも可。)これはShieldではPDFを「ファイル」として扱っており、印刷制御のの対象は「HTMLコンテンツ」に限定されているためです。これは製品の仕様です。
  • [SHIELD-8745] <bdi.co.il>で複数ページのレポートを印刷できない問題があります。

URLカテゴリ関係

  • URLカテゴリは別途ライセンスが必要です。
  • カテゴリポリシーにおいて、「アクセス」をデフォルト値を示す「(Shield)」として設定すると、そのポリシーにマッチしたページが正しく表示できません。Shield / ホワイト / ブラック を明示的に設定してください。
  • URLカテゴリの初期動作モードは「インテリジェント分離モード」 相当 となっています。この場合、URLカテゴリにリストされているサイトは分離されません。「未分類」または「疑わしい」サイトのみをShieldします。 Shieldの分離機能をフルに活用するためには URLカテゴリの最適化 の手順を実施してください。

その他・仕様関連

  • Firefoxを利用時、アカウント情報保存の候補表示がページ遷移後も残っていることがあります。

  • サイトが正しく表示されない場合があります。(コンテンツのずれ、文字化け、オブジェクトの欠落など)

  • Ericom Shieldの管理コンソール閲覧はChromeもしくはEdgeを推奨しています。

  • GoogleMapが埋め込まれたサイトでCtrlを押しながらスクロールをすると、地図だけではなく、ページ全体が拡大されてしまいます。

  • ブラウザのフォントを任意に変更することはできません。

  • Ctrl+nでブラウザを複数起動した時、「Page failed to load properly Browser already in use」のメッセージが表示されます。間隔をあけて起動を行ってください。

  • ユーザ認証を行わない場合、ライセンスは利用するブラウザ毎に消費します。これは仕様です。

  • ユーザ認証を行わない場合でブラウザのキャッシュをクリアする拡張などを利用されている場合、ライセンスはタブ毎に消費します。キャッシュクリアツールの停止をご検討ください。

  • ユーザ認証を行わない場合、1ユーザが複数のデバイスから同時にEricom Shieldを利用するとライセンスを複数消費します。

  • 動画再生やFlashコンテンツができないサイトがあります。

  • ブラウザコンテナへのプラグインやクライアント証明書の追加はできません。

  • タブレット端末から利用できません。

  • ファイル無害化前のオリジナルファイルを閲覧/取得することはできません。必要に応じて、ホワイトリストとして設定してダウンロードする必要があります。

  • 外部SYSLOGサーバへログを転送する設定を行った場合、Shieldから転送されるログの時刻が9時間ずれて(UTCにて)登録されてしまいます。

  • 管理コンソールから読み込む各種証明書の形式はPEM形式である必要があります。それ以外の形式(例:バイナリ形式)で読み込んだ場合はコンテナが生成できないなどの問題が発生する可能性があります。

  • レポートの保持期間は前月分のデータまでのみとなります。

    例)現在、7月15日だった場合、レポートの保持は6月1日~7月15日までの期間となります。

  • Ericom ShieldではCNIとしてFlannelを利用するように初期設定されています。FlannelではデフォルトでVXLANが利用されているため、セキュリティ製品などで異なるノード間での通信を制限している場合などでは、Podが適切に起動できない場合があります。事前にKubernetesのPod間で通信が可能なことを確認してください。

  • Zoomなど、プロキシ経由で接続できない場合、直接接続を試みるアプリケーションが存在します。そのようなアプリケーションの場合、直接接続が可能なネットワーク環境においては当該アプリケーション通信がShield非経由となります。

  • Edge標準のホームページににアクセスするとブラウザコンテナが数個消費されてしまいます。

  • Microsoft (Office)365を利用する場合は、トラフィックやレスポンスに大きな影響を与える可能性がありMicrosoft社としても、プロキシサーバーやトラフィック検査デバイスやセキュリティソフト(Ericom Shieldを含む)を経由させないことが推奨されています。お客様環境においては、それぞれの要素を適切に評価いただき、Ericom Shield利用時の構成方法についてご検討ください。

  • Youtube(youtube.com)のサイトリンクをクリックできない場合や動画再生が正しくできない場合があります。この問題は古いChromeやEdgeのバージョンを利用している際に発生する場合があることを確認しています。最新版へブラウザバージョンアップをお試しください。

  • EdgeのIEモードはサポートされません。

  • Shield オンプレ版でファイル無害化ソリューションとしてSasaと連携している場合、Sasaでは、GIFアニメーションをサニタイズしてダウロードするとアニメーションは動作しなくなります。これは現時点のSasa側の仕様となります。GIFアニメーションをファイル無害化(CDR)させたうえで、動作させたい場合はVotiroもしくはOpswatでは動作することが確認できておりますので、それらの製品でのご利用もご検討ください。

  • FireFoxからアクセスする際、Firefoxの「プライバシーとセキュリティ」の設定で「強化型トラッキング防止機能」が有効の場合、Shield経由でのアクセスができないサイトがございます (Exchange Onlineなど複数サイトで確認しております) 。回避策としましては、別のブラウザやアプリの利用をお願いします。

    ※トラッキングの無効方法: 強化型トラッキング防止機能をカスタムに設定し、全てのチェックを外す

    ※トラッキングを無効にした場合であっても、現状Teamsへのアクセスはできません。

  • 二重に圧縮されているzipファイルにおいて、Sasaをご利用の場合、以下の2パターンにおいて、正しいパスワードを入れてもパスワード入力画面が表示され続けダウンロードすることができません。
    • 外側のzipがパスワードなし、内側のzipがパスワードありの場合
    • 外側のzipがパスワードあり、内側のzipがパスワードありの場合

  • 多機能マウスのサイドボタンの動作につきましては、現状メーカー未対応のためサポート対象外となっております。

  • Kubernetesの動作仕様で、最小待機ブラウザ数の指定している値とブラウザノードのリソースを参照して、リソースに余裕があると判断した場合、バージョンアップのタイミングではsecurebrowsing/shield-cefイメージを展開せず、イメージが展開されないノードでは、待機ブラウザが作られません。これは上記仕様のため、問題ありません。

  • レポートを10000行まで制限した場合、「古いログから10000行まで表示」となるため、レポートの「セッション」>「セッション履歴」で「今日」を選択した際に、トップに来る時間が数時間前のものになる場合があります。

  • 20.10から機能追加された、[ホワイトリストに登録されたドメインの外部オブジェクト]の設定を以下の何れかの設定にすることで、正常にログが取得できるようになりました。
    • デフォルトホワイト
    • 絶対ホワイト
  • Shield管理コンソールへプライマリDNSとセカンダリDNSを設定していても、プライマリDNSがダウンした場合にセカンダリDNSへ切り替わらない事象を確認しています。こちらの問題はEricom社調査中となります。この問題に該当する場合は、下記回避策をご検討ください。
    • すべてのShieldサーバ(ClusterManager、SystemComponent、Browser)のOSレベルで、プライマリとセカンダリのDNSサーバを設定してください。
    • Shield管理コンソールのプライマリDNS、セカンダリDNSに、上記OSレベルで設定したDNSサーバを設定してください。

  • 2022年6月15日に発生した Ericom Shieldオンプレミス環境における障害事象(Ericom Shieldで利用している証明書の有効期限切れに伴うブラウザがアクセス不可になる事象)については21.01以降のバージョンについては利用される証明書の有効期限が2038年10月11日のため、その期限までは発生しません。また、開発元であるEricom Software社にて調査を行い、Ericom Shieldでブラウジング時に使用する証明書、及び期限制約のある動作仕様については、マニュアルに記載されているもの以外では今回のご報告の対象以外に該当するものはないことを確認しております。

  • 2023年3月10日時点で、1GB以上のファイルダウンロード・アップロードが正常に完了しないケースがあるという事象(正常に完了する場合もあります)を確認しています。この問題についてはEricom社に確認中です。

  • 2023/7以降において、Googleへのログインができない事象を確認しています。google.comのポリシーを追加または編集し、アクセスを「許可」としてください。もしくは、accounts.google.comのポリシーを追加または編集し、アクセスを「許可」としてください。後者の場合、Googleへの認証は成功しますがGドライブなど一部のGoogleサービスへアクセスができない場合があります。アクセスできないGoogleサービスがある場合は、accounts.google.comの他、drive.google.comなどアクセスしたいドメインもポリシーへ追加し、アクセスを「許可」してください。この問題はGoogle社による変更の影響を受けて発生しています。Eriocm社にてアクセス「許可」以外の回避策については引き続き調査中です。

  • Gmailにログインする際、アカウント入力後の画面で「ログインできませんでした」と表示される場合があります。回避策としましては、別ブラウザの利用や、googleドメインのポリシー設定を「許可(あるいはSSLインスペクション無しで許可)」でのご利用をお願いいたします。

    ※ この事象は次期バージョンで改修予定となります。

  • 短時間に同一端末から同一ドメインへのアクセスを行った場合、アクセスログが全て記録されない場合があります。

  • 冗長構成の場合、レポートおける表示が欠落する可能性があります。ログの出力先にNFSサーバをマウントするなどの対応が必要です。

  • 冗長化構成をとった場合でも、場合によっては最大10秒程度のシステム停止が発生する可能性があります。システム起動直後のコンポーネント配置状況に依存します。この問題の詳細は調査中です。

  • 管理コンソールのポリシー画面において日本語を表示をしている場合、「カテゴリ」の新ポリシーを追加することができません。英語表示の場合は問題ありません。この問題は調査中です。

  • Proxy-Authorizationヘッダによる連携はShieldが前段にあり、上位プロキシへの連携にのみ利用できます。逆の構成はサポートしていません。

  • 「ポリシー」および「アプリケーション」におけるドメイン名はシングルバイトのみサポートします。

  • ポリシーインポートに対応しているファイル形式はCSV形式のみサポートします。

  • Shieldサイトからブラック登録を行っているサイトに遷移した場合、適切なエラー画面が表示されません。

  • 「アプリケーション」において、「名前」欄に同じ名称で複数登録が可能ですが、同名の場合、削除時に両方が削除されてしまうため、同名での登録は避けて下さい。

  • SSL証明書のファイル名はシングルバイトのみサポートします。

  • カスタム認証局のパスワードでは記号は未サポートとなります。

  • Shieldセッション一時停止時間(分)をブランクやマイナスの値を入力した場合に設定が機能しません。

  • Active Directory 認証設定においてsamAccountNameでのユーザー名指定は未サポートとなります。

  • Shield管理コンソールのレポート機能で表示できる最大件数の制限は10,000件となります。

  • 管理コンソールから設定するフィールドについてはシングルバイトを利用してください。ダブルバイトを利用した場合、プロファイルの設定やCSVでのエクスポート/インポート時に文字化けする場合があります。

  • ユーザ認証を行わない場合、セッション数のカウントが正しく行われない問題が発生しています。この問題は現在調査中です。

  • ShieldではFlashがサポートされていません。

  • 上位プロキシを指定している場合、広告ブロックが機能しません。

  • 21.01以降のバージョンにて、クライアントPCからバージョンアップ前にアクセスしたサイトへアクセスした場合に「ACCESS DENIED(es-proxy-auth)」エラーが発生する場合があります。その場合、F5でページの再読み込み もしくは、ブラウザのキャッシュのクリアをしていただければ表示可能となります。

  • 23.05では、Shield管理コンソールのレポート画面で「高度」をクリックすると認証情報が要求されます。下記IDとパスワードを入力することで、Kibanaの画面に遷移します。
    • ID : admin
    • パスワード : JajaNoice#

  • [SHIELD-9972] レンダリング方式「ストリーム」設定時、Facebookのメッセンジャー画面が白く表示され読めない場合があります。

  • [SHIELD-8845] プロキシレスモードでファイルのプレビューができない場合があります。

  • [SHIELD-9966] Ericom Shieldの前段にプロキシがある構成において、Ericom Shieldの設定でX-Authenticated-Userヘッダーを設定している場合、ホワイトリスト登録したサイトが閲覧できません。

  • [SHIELD-9970] Ericom Shieldの前段にプロキシがある構成において、Ericom Shieldの設定でX-Client-IPヘッダーを設定し、ホワイトリスト登録したサイトを閲覧すると、X-Client-IPヘッダーが上位プロキシのログに記録されません。

  • [SHIELD-9971] consul(Ericom Shieldの設定情報を保管するサービス)をコマンドラインで開くことができません。

  • [SHIELD-9387] Office365の管理者がメールフロールールの編集に失敗する場合があります。(404エラー)

  • [SHIELD-8529] office.comにサインインして、新規ファイルを作成すると、ページが動かなくなることがあります。

  • [SHIELD-9063] ShieldでUSA TODAYビデオの音声が再生されない場合があります(クリスタルレンダリング)

  • [SHIELD-8710] <www.today.com>においてページ内のリンクをクリックしてもサイトが表示されない[プロキシレスモード]。

  • [SHIELD-8709] ピクセルモードまたはクリスタルレンダリングモードで、<www.bet365.com> の読み込みに失敗します

  • [SHIELD-8708] 広告ビデオのミュートを解除できない問題があります。

  • [SHIELD-8476] <bdi.co.il>でWebページの印刷が正しくされない問題があります。

  • [SHIELD-8321] <webcand.com> Webサイトにログインすると、左メニューがまったく表示されないか、完全に動作しません(選択したレンダリングに依存します)。

  • [SHIELD-8135] クリスタルレンダリングでPDFファイルをドラッグするとドラッグ位置がずれてしまう問題があります。(CA0000072616/QA#803399)

  • [SHIELD-7080] <https://www.hilan.co.il/en/>をクリスタルレンダリングモードで閲覧した際に - ログイン/ログアウト時間の設定に関する問題があります

  • [SHIELD-8087] <huffpost.com> においてページ内にグラフが表示されない問題があります。

  • [SHIELD-7975] <cisco.com>でメニューが機能しない問題があります。

  • [SHIELD-8604] Linkedinに埋め込まれたyoutubeビデオの再生時に問題があります。

  • [SHIELD-8780] <pinterest.com> においてビデオが再生されている状態でピンを押すと、ビデオが画面に表示されない問題があります。

  • [SHIELD-4445] <developer.mozilla.org>においてクリスタルレンダリングを利用した場合、予期せぬ表示と動作になることがあります

  • <backlog.com>においてクリスタルレンダリング利用時に一時停止機能を繰り返し使用するとブラウザザーバのリソース枯渇する問題があります。(CA0000073128/QA#806676)

  • 21.04以降では、複数のSyslogアドレスへの転送がサポートされなくなりました。1つのSyslogアドレスへの転送のみとなります。

  • AWS上でJAL、ANA、楽天トラベルのサイトが正しく表示されない問題があります。(CA0000073354/QA#806713)

  • ShieldでWhite登録されているサイトにアクセスした際にsyslogにurlが出力されない場合があります。(CA0000074132/QA#813050)

  • 「ポリシー」設定において日本語ドメイン名を登録する際には、Punycodeで登録する必要があります。

  • Shieldされたサイトで右クリックから画像を保存しようとするとエラーになります。
    • 発生条件
    但し、以下の条件の場合に限ります。
    • "Proxy-Authorization ヘッダー アクション"の設定を"フォワード"に設定している
    • 認証設定を行うよう設定している
    • 回避策
      画像ファイルを保存したい場合は、同じメニューに含まれる「画像をコピー」をしたうえで「名前を付けて画像を保存」を選択してください。
  • Chromeブラウザを使用して「グループウェア desknet’s」にてファイルダウンロードするとセッションを引き継ぐことができずにログイン画面に戻る問題が発生します。
    • 回避策
      Firefoxをご利用ください。

  • Ericom Shieldのレポートへのイベント出力とsyslogへのイベント出力が遅れる(例:20分後に出力される等)事象がある場合があります。現状はイベントがログやレポートに出力されるまでお待ちください。本事象については再現性も含めて調査中となります。

  • Shieldサービス再起動後、コンテナは全て上がっているが使用できない場合があります。その場合、ブラウザ上には「ERR_POLICY_NOT_AVAILABLE」エラーが表示され、レポートにはBlackで出力されます。その場合には、shield-stop.sh、shield-start.shで対応をお願いします。本事象についてはメーカ調査中となります。

  • Shield接続が一時停止し、管理コンソールに表示される利用中ブラウザの数が一時的に0になる事象が一部の環境で確認されております。この事象が発生している場合、es-proxy-authサービスが再起動しているケースが考えられます。ユーザがShieldを利用中の場合にはShieldブラウザの再読み込みが発生します。フォーム入力をしている場合には入力内容がクリアされます。本事象については再現性も含めて調査中となります。

  • Wihte/Blackアクセスでシスログにはhttp(s)は出力されません。

  • ファイルアップロードサイズ制限が1000MB(デフォルト)の時に、100MB以上のファイルがアップロードできません。

  • ブラウザタブが制限設定数より多く開けてしまう事象があります、本件は現在メーカ調査中となります。

  • Chromeブラウザのバージョンが古い場合、Google driveを利用した際に警告が表示される場合があります

  • 設定 - 一般 - 低速ネットワークのメッセージ間隔を設定しても遅延メッセージが表示されません。

  • SHIELD-10037 - ユーザーアカウントが2FAを持っている場合、メールでのアラート送信に失敗しました。[メールアラートを設定する際に、ユーザー名が2FA認証を受けていないと、アラートがメールで送信されてしまいます] 。

  • SHIELD-10013 - クリスタルレンダリング利用時のみYoutube動画内で、右クリックメニューで動画のURLをコピーした後に再度動画のURLコピーをしようとすると、URLコピーの画面表示がおかしくなります。

  • SHIELD-10787 - WhatsApp Beta - ページを更新するとログアウトしてしまいます。

  • SHIELD-9937 - いくつかのサイトでプロキシモードでのファイルプレビューが機能しません。

  • SHIELD-10801 - X-Authenticated-User Header Action =Set、Encode X-Authenticated-User HeaderがNoに設定されている場合、X-Authenticated-Userが渡されない。

  • SHIELD-9997 - 証明書の復元 / ca証明書のアップロード - 認証プロキシがクラッシュして再起動する原因となることがあります。

  • ポリシーの設定において「低速ネットワークのメッセージ間隔」の設定値を「100」(0.1秒)に設定してもメッセージが表示されません。こちらの問題はEricom社調査中となります。

  • syslogで以下の条件でgrepをすることで詳細なアクセスログの確認が可能です。
    • Shield : grep urlNavigation
    • 許可 : grep '"shield_mode":"allow"'
    • SSLインスペクション無しで許可 : grep '"shield_mode":"allow_no_ssl_inspection"'
    • 拒否 : grep '"shield_mode":"black"'

  • 管理コンソールのポリシー画面にて「アクセス:許可」で設定しているドメインのサイト閲覧時にて、表示や操作、ダウンロード等がエラーとなる場合があります。「アクセス:SSLインスペクション無しで許可」に変更することで改善する場合がございますので、お試しください。

  • Ericom Shield 22.08へバージョンアップ後に、ファイルサニタイズベンダーでOpswat MetaDefenderを指定している場合、Opswat MetaDefenderの設定内にある「Opswat Namedポリシー」がブランクになります。そのため、以下のように設定を追加して保存してください。
    • インターナルNamedポリシー: 任意の名称。但し、Opswat (def)とすることはできません。
    • プロバイダNamedポリシー: Opswat MetaDefenderのWorkflows名を記載します。従来のバージョンのデフォルト設定とする場合は、File processと記載します。
    • デフォルト: Yesに変更します。

  • Hyper-VとUbuntu 18.04もしくは20.04とShield 22.08 以降 の組み合わせで運用する場合、ブラウザサーバーにおいてOSから見えないメモリの量が時間経過とともに増えることが確認されており、最終的には、メモリ不足となり障害に繋がります。本件は、Ericom Shieldの不具合ではありません。Hyper-Vをご使用しているお客様が22.08以降へバージョンアップする場合にはご注意ください。本事象はハイパーバイザがHyper-VもしくはVMware ESXiで発生しますが、Hyper-Vのほうがメモリの消費量が大きいため、Shield導入OSのハイパーバイザとしてはVMware ESXiを利用することをお勧めします。また、併せて一定間隔でのブラウザサーバの再起動運用も含めてご検討ください。

  • 複数セッションが同じブラウザコンテナに割り振られることでWebページがリロードを繰り返す場合があります。開発元としてはこの問題を認識しておりますが、次バージョン以降での修正を予定しています。回避策として、待機ブラウザ数を増やすことで回避可能です。詳細については弊社サポートセンターまでお問い合わせください。

  • Shieldの新しいコンソールでは、アンダーバー(_)の入力ができません。ポリシー等でアンダーバーの入力が必要になる場合は、従来の管理コンソールにログインをして変更をしてください。

    従来の管理コンソールへのアクセス方法: https://<サーバIPアドレス>:30187

  • Basic認証やLDAP認証を利用している場合にProxy-Authorizationヘッダーを上位プロキシへフォワードする設定にした場合、HTTPサイトをShieldブラウザ(分離)で閲覧する際にエラー表示(CLIENT_INFO_VERIFICATION_ERROR)が発生してページ表示が不可となります。本事象についてはVer23.05で発生を確認しておりメーカ調査中となります。

  • 下位プロキシからProxy-AuthorizationヘッダーをEicomShieldで受け取り、上位プロキシにProxy-Authorizationヘッダー設定をフォワードする設定にした場合、HTTPおよびHTTPSのサイトをShieldブラウザ(分離)で閲覧する際にエラー表示(CLIENT_INFO_VERIFICATION_ERROR)が発生してページ表示が不可となります。本事象についてはVer23.05で発生を確認しておりメーカ調査中となります。

サポート制限

  • Windows 7 およびIEはMicrosoftのサポート終了に伴い、サポートされなくなりました。
  • 下記はテクニカルプレビューによる限定公開です。不具合がある場合があるため、本番環境での正式利用はサポートできませんのでご注意ください。
    • オートフィル
    • オリジナルファイルの取得
  • 下記は日本では提供の予定がありません。サポートできませんのでご注意ください。
    • Votiro Namedポリシーの利用
    • Rancherサーバの冗長化構成
  • 下記は日本では提供の予定がありません。サポートできませんのでご注意ください。
    • RHEL へのインストール
    • Check Point SandBlast Cloud とのCDR連携