3.1. Ericom Shield リリースノート

3.1.1. 新機能および修正点

Ericom Shield 23.13 (23.13.6295-51)

【リリース日:2024/12/20】

新機能

  • ブラウザ上の拡張機能(Cradlepoint ZTEdge)を利用して、検査モード利用時に、シームレスなファイルダウンロードが可能になりました。拡張機能のダウンロードは、こちら
  • ポリシーにおけるウェブカテゴリの使い方を改善しました:ウェブカテゴリのリストがより具体的になり、必要なカテゴリを素早く見つけるための検索オプションが追加されました。
  • 外部CDRとして使用する場合、SasaのV4 APIがサポートされるようになりました。

機能強化

  • プラットフォーム
    • ログの発送状況が管理者ポータルのダッシュボードに表示されるようになりました。
    • 管理ポータルでアイドルタイムアウトを設定する機能を追加しました。
    • RBI使用中の潜在的な問題を修正するために、ユーザーエージェントヘッダーを変更および操作する機能を追加しました。

  • アイソレーション(分離)

    • Googleデスクトップ通知のサポートを追加しました。
    • 保護されたクリップボードからローカルマシンへのコピーを許可する機能を追加しました。
    • RBIの「画像をコピー」オプションが有効/無効にできるようになりました。
    • ストリーム&フレームモードでのタイピングパフォーマンスを向上させました。
    • WebGLサイト表示可否リストの更新についてコマンドベースでの設定変更が可能となりました。
      ⇒ 設定変更スクリプトを用意しておりますので、詳しくは「 5.11. WebGLを利用するサイトを閲覧可能にする方法 」を参照ください。
    • 分離ブラウザ利用時にWaylandブラウザ方式を選択することが可能となりました。
      ⇒ 通常利用の推奨はVer23.13からWaylandブラウザ方式となります。
    • 読み取り専用仕様の設定機能が追加されました。
      ⇒ 特定サイトでの入力を禁止して読み取り専用することが可能となりました。
  • ポリシー
    • プロファイル制御にサブネットやユーザーエージェントでの制御が追加されました。
      ⇒ ActiveDirectory認証を用いたユーザ制御の他にサブネットIPやユーザーエージェントをベースにしたプロファイル制御が可能となりました。
    • 新しいAIカテゴリが追加され、ジェネレーティブAIのウェブサイトが含まれるようになりました。
    • ファイルタイプ制限リストの設定機能が追加されました。
      ⇒ 特定拡張子のダウンロードやアップロード制御が可能となりました。
    • マルチドメイン定義の設定機能が追加されました。
      ⇒ ポリシー設定のグループドメイン制御が可能となりました。
  • レポート
    • 下流プロキシからのX-Forwarded-Forヘッダー値をレポートに表示が可能となりました。
  • その他
    • Ubuntu 22.04のサポートを追加しました。
    • Rancher証明書が10年証明書に変更となりました。
      ⇒ Ver23.05以前まで必要であった年一回の証明書更新が不要となります。

修正点

  • プラットフォーム
    • いくつかのレポートでクライアントIPとユーザ名が見つからない問題を修正しました。
    • ポリシーにジェネレーティブAIのウェブサイトを追加しました。
    • 管理者がCDRのために複数のサニタイズURLを使用できない問題を修正しました。
  • プロキシ
    • サニタイズプロセスの一環としてファイルをダウンロードする際にエラーが発生する問題を修正しました。
    • インスペクトモードでGZipおよびBINファイルをスキャンする際の問題を修正しました。
  • アイソレーション(分離)
    • Yahooドメインでアイソレーションを使用する際のいくつかの問題を修正しました。
    • 広告ブロック機能が動作しない問題を修正しました。
    • デフォルトのブラウザースペックを3Giメモリ、4CPUに更新しました。

注意

テクニカルプレビューの機能については、不具合がある場合があるため、本番環境での正式利用はサポートできません。

当社におきましても、正式リリースに向けての評価検証中であるため、サポートもお受けできない場合がございます。 あらかじめご了承ください。

また、お気づきの不具合やご意見につきましては、次回以降のリリースに向けての参考情報として承ります。

3.1.2. 制限事項および既知の不具合

インストール関係

  • 複数のNICが存在する環境にインストールすることは可能ですが、製品が利用するネットワークを複数設定することはできません。(インターネットとの通信用と、ノード間通信用など。)製品が利用するネットワークとそれ以外の通信(SSH接続や監視用など)を区別することは可能です。
  • 導入対象のサーバのlocaleはen_USとしてください。
  • 既存のプロキシやUTM装置の上位にEricom Shieldを配置する場合、画像による画面転送になっているため、動的なコンテンツフィルタリングやSSLインスペクション等の処理は行えません。(URLベースのフィルタリングは可能です。)
  • 導入対象サーバの時刻はNTPなどで正確に設定してください。また、複数台構成の場合、各ノードで時刻が一致するようにしてください。時刻にずれがある場合、証明書のタイムスタンプの問題が発生する可能性があります。
  • クライアントPCとShieldとの間に既存のProxyサーバが存在する場合、Proxyサーバでは8080ポートをSSL Connectionとして許可しておく必要があります。
  • Shieldの導入時にデフォルトで導入されるDockerのネットワークアドレス(docker0:172.17.0.0/16,10.42.0.0/16および10.43.0.0/16)と重複するセグメントを利用しないでください。回避できない場合、kubernetesの設定を変更する必要があります。この変更は、インストール時のみに可能であり、導入後の変更はできません。
  • MicrosoftAzure環境を利用する場合に10.0.0.0帯のプライベートIPアドレスがマシン上で利用されていると、正しくShieldのインストールが完了しない場合があることを確認しています。その場合には、マシンが利用するプライベートIPアドレスを10.0.0.0帯以外のIPアドレス帯(192.168.0.0等)を利用してインストールをお試しください。
  • Shield通信をSSL復号化(SSLデコード)して利用する環境の場合には以下のShield内部通信のために利用しているドメインをフィルタリング除外対象に登録する必要があります。
    • Var21.11以前
      • icap-server.service.consul
      • es-proxyless.farm-services.svc
    • Var22.08以降
      • icap-server.service.consul
      • es-proxyless.farm-services.svc.cluster.local
  • 上位Proxyを指定しないとインターネットへ接続できない環境において、内部上位プロキシの設定がオフになっている場合、内部上位プロキシを通る通信(アプリケーションの許可通信)やホワイト(許可)通信が多く存在するとそれらが全てエラーになり、その影響でAuthProxyがダウンしShieldサーバを利用したwebの閲覧が不可になる場合があります。原因事象を回避するためには、以下の何れかにて対応可能です。
    • Shieldの前段のプロキシサーバにて、アプリケーション通信をブロックする
    • Shieldの設定にて、内部上位プロキシサーバの設定を行う
  • 上位ネットワーク機器でSSL復号化(SSLデコード)やURLフィルタリング、アンチウイルスを実施している環境の場合、Shieldインストール処理にてインターネット上より必要なデータをダウンロードして処理を行う関係で、通信エラーによりインストールが失敗する場合があります。Shieldインストール処理が失敗する場合には、上位ネットワーク機器の設定を確認ください。具体的にShieldインストール時や運用利用時に許可する必要がある通信ドメインを確認されたい場合には、簡易導入手順のShield外部通信ドメイン一覧を参照ください。
  • Ericom Shieldの上位プロキシに証明書が必要な場合において、上位プロキシにSSLデコード機能が存在する場合、Shield管理コンソールからのインポートだけでなくOSサーバへの証明書配置が必要になります。

Votiro関係

  • ダブルバイトのファイル名のZIPファイルをサニタイズすると、ファイル名が文字化けする場合があります。
  • ダブルバイトのファイル名がついたファイルを内包しているZIPファイルをサニタイズした場合、内部のファイル名はUTF-8で処理されます。そのため、UTF-8を扱うことができない解凍ソフトを利用している場合、内包されるファイル名が文字化けしてしまいます。
  • 一太郎ファイルの無害化を正しく行うには、Votiroサーバのロケールは日本語になっている必要があります。
  • Votiroに同梱されているアンチウィルス製品が変更になりました。V8.4以降から「ClamAVとWindowsDefender」が利用されます。
  • 二重に圧縮されているzipファイルにおいて、Votiroをご利用の場合、外側のzipファイルがパスワードなし、内側のzipファイルがパスワードありの場合、サニタイズされずにダウンロードされます。
  • dwgファイルがCADではなく不明なファイルとして認識されます。こちらは、Votiro 8.4以降のバージョンにて解消されております。

入力関係

  • 未確定文字列に下波線が表示されません。

  • 変換候補の位置がずれることがあります。

  • Office Online では日本語入力時にセッションが異常終了する場合があります。この問題はWordとPowerPointでのみ確認されています。これは既知の問題です。ご利用の場合は該当ドメインをホワイトリストに登録してご利用ください。

  • F1キーでヘルプが起動されません。

  • F12キーで開発ツールが起動されません。

  • メニューキーでメニューは表示されません。

  • クライアントにChromeとFirefoxを利用していて日本語入力を行っている場合、変換を確定せずに入力を継続すると、最初の1文字が欠落します。この問題は現在調査中です。

    例:ほんじつは[変換]→未確定状態で「せいてんなり」と入力すると「本日は」の直後1文字目「s」が欠落します。

  • [変換]キーが正しく動作しません。
    • Chrome : 変換キーを押しても再変換されません。
    • Firefox : 変換済み文字が残ったまま、新たに再変換が行われます。
    • Edge : 変換済み文字が残ったまま、キーを押す度に変換候補が入力されます。

リダイレクト・印刷関係

  • 印刷対象はすべて縦表示の状態でPDF化されて印刷されます(横表示のPDF化は不可)。PDF化されたファイル名は「PrintPage.pdf」となります。
  • 印刷時のスプールデータサイズは大きくなる場合があります。
  • 印刷倍率指定して印刷した場合、ローカルブラウザの挙動と異なります。(ローカルブラウザでは通常横幅の倍率が変更されますが、Shieldでは縦横それぞれに倍率を適用します。)
  • Chromeを利用した場合、用紙を横向きに設定することができません。
  • 印刷設定において、タイトル/日付/URL情報を付与しても印刷されません。
  • 上位プロキシが存在する環境でGoogleMapを印刷すると、印刷物が滲んでしまいます。
  • Internet上のPDFファイルを印刷する場合、ダウンロードを許可する必要があります。(サニタイズによるダウンロードも可。)これはShieldではPDFを「ファイル」として扱っており、印刷制御のの対象は「HTMLコンテンツ」に限定されているためです。これは製品の仕様です。
  • [SHIELD-8745] <bdi.co.il>で複数ページのレポートを印刷できない問題があります。

URLカテゴリ関係

  • URLカテゴリは別途ライセンスが必要です。

その他・仕様関連

  • Firefoxを利用時、アカウント情報保存の候補表示がページ遷移後も残っていることがあります。

  • サイトが正しく表示されない場合があります。(コンテンツのずれ、文字化け、オブジェクトの欠落など)

  • Ericom Shieldの管理コンソール閲覧はChromeもしくはEdgeを推奨しています。

  • GoogleMapが埋め込まれたサイトでCtrlを押しながらスクロールをすると、地図だけではなく、ページ全体が拡大されてしまいます。

  • ブラウザのフォントを任意に変更することはできません。

  • Ctrl+nでブラウザを複数起動した時、「Page failed to load properly Browser already in use」のメッセージが表示されます。間隔をあけて起動を行ってください。

  • ユーザ認証を行わない場合、ライセンスは利用するブラウザ毎に消費します。これは仕様です。

  • ユーザ認証を行わない場合でブラウザのキャッシュをクリアする拡張などを利用されている場合、ライセンスはタブ毎に消費します。キャッシュクリアツールの停止をご検討ください。

  • ユーザ認証を行わない場合、1ユーザが複数のデバイスから同時にEricom Shieldを利用するとライセンスを複数消費します。

  • 動画再生やFlashコンテンツができないサイトがあります。

  • ブラウザコンテナへのプラグインやクライアント証明書の追加はできません。

  • タブレット端末から利用できません。

  • ファイル無害化前のオリジナルファイルを閲覧/取得することはできません。必要に応じて、ホワイトリストとして設定してダウンロードする必要があります。

  • 外部SYSLOGサーバへログを転送する設定を行った場合、Shieldから転送されるログの時刻が9時間ずれて(UTCにて)登録されてしまいます。

  • 管理コンソールから読み込む各種証明書の形式はPEM形式である必要があります。それ以外の形式(例:バイナリ形式)で読み込んだ場合はコンテナが生成できないなどの問題が発生する可能性があります。

  • レポートの保持期間は前月分のデータまでのみとなります。

    例)現在、7月15日だった場合、レポートの保持は6月1日~7月15日までの期間となります。

  • Ericom ShieldではCNIとしてFlannelを利用するように初期設定されています。FlannelではデフォルトでVXLANが利用されているため、セキュリティ製品などで異なるノード間での通信を制限している場合などでは、Podが適切に起動できない場合があります。事前にKubernetesのPod間で通信が可能なことを確認してください。

  • Zoomなど、プロキシ経由で接続できない場合、直接接続を試みるアプリケーションが存在します。そのようなアプリケーションの場合、直接接続が可能なネットワーク環境においては当該アプリケーション通信がShield非経由となります。

  • Edge標準のホームページににアクセスするとブラウザコンテナが数個消費されてしまいます。

  • Microsoft (Office)365を利用する場合は、トラフィックやレスポンスに大きな影響を与える可能性がありMicrosoft社としても、プロキシサーバーやトラフィック検査デバイスやセキュリティソフト(Ericom Shieldを含む)を経由させないことが推奨されています。お客様環境においては、それぞれの要素を適切に評価いただき、Ericom Shield利用時の構成方法についてご検討ください。

  • Youtube(youtube.com)のサイトリンクをクリックできない場合や動画再生が正しくできない場合があります。この問題は古いChromeやEdgeのバージョンを利用している際に発生する場合があることを確認しています。最新版へブラウザバージョンアップをお試しください。

  • EdgeのIEモードはサポートされません。

  • Shield オンプレ版でファイル無害化ソリューションとしてSasaと連携している場合、Sasaでは、GIFアニメーションをサニタイズしてダウロードするとアニメーションは動作しなくなります。これは現時点のSasa側の仕様となります。GIFアニメーションをファイル無害化(CDR)させたうえで、動作させたい場合はVotiroもしくはOpswatでは動作することが確認できておりますので、それらの製品でのご利用もご検討ください。

  • FireFoxからアクセスする際、Firefoxの「プライバシーとセキュリティ」の設定で「強化型トラッキング防止機能」が有効の場合、Shield経由でのアクセスができないサイトがございます (Exchange Onlineなど複数サイトで確認しております) 。回避策としましては、別のブラウザやアプリの利用をお願いします。

    ※トラッキングの無効方法: 強化型トラッキング防止機能をカスタムに設定し、全てのチェックを外す

    ※トラッキングを無効にした場合であっても、現状Teamsへのアクセスはできません。

  • 二重に圧縮されているzipファイルにおいて、Sasaをご利用の場合、以下の2パターンにおいて、正しいパスワードを入れてもパスワード入力画面が表示され続けダウンロードすることができません。
    • 外側のzipがパスワードなし、内側のzipがパスワードありの場合
    • 外側のzipがパスワードあり、内側のzipがパスワードありの場合

  • 多機能マウスのサイドボタンの動作につきましては、現状メーカー未対応のためサポート対象外となっております。

  • 短時間に同一端末から同一ドメインへのアクセスを行った場合、アクセスログが全て記録されない場合があります。

  • 冗長化構成をとった場合でも、場合によっては最大10秒程度のシステム停止が発生する可能性があります。システム起動直後のコンポーネント配置状況に依存します。

  • Proxy-Authorizationヘッダによる連携はShieldが前段にあり、上位プロキシへの連携にのみ利用できます。逆の構成はサポートしていません。

  • 「ポリシー」および「アプリケーション」におけるドメイン名はシングルバイトのみサポートします。

  • ポリシーインポートに対応しているファイル形式はCSV形式のみサポートします。

  • SSL証明書のファイル名はシングルバイトのみサポートします。

  • カスタム認証局のパスワードでは記号は未サポートとなります。

  • Active Directory 認証設定においてsamAccountNameでのユーザー名指定は未サポートとなります。

  • Shield管理コンソールのレポート機能で表示できる最大件数の制限は10,000件となります。

  • 管理コンソールから設定するフィールドについてはシングルバイトを利用してください。ダブルバイトを利用した場合、プロファイルの設定やCSVでのエクスポート/インポート時に文字化けする場合があります。

  • 21.01以降のバージョンにて、クライアントPCからバージョンアップ前にアクセスしたサイトへアクセスした場合に「ACCESS DENIED(es-proxy-auth)」エラーが発生する場合があります。その場合、F5でページの再読み込みもしくは、ブラウザのキャッシュのクリアをしていただければ表示可能となります。

  • Shield管理コンソールのレポート画面で「高度」をクリックすると認証情報が要求されます。下記IDとパスワードを入力することで、Kibanaの画面に遷移します。
    • ID : admin
    • パスワード : JajaNoice#

  • 21.04以降では、複数のSyslogアドレスへの転送がサポートされなくなりました。1つのSyslogアドレスへの転送のみとなります。

  • 「ポリシー」設定において日本語ドメイン名を登録する際には、Punycodeで登録する必要があります。

  • ブラウザタブが制限設定数より多く開けてしまう場合があります。

  • Chromeブラウザのバージョンが古い場合、Google driveを利用した際に警告が表示される場合があります

  • ファイルダウンロード時(サニタイズ処理を行うポリシーの場合)に、パスワード付きMicrosoft Officeファイルは未対応によりPW入力ループの発生やダウンロードエラーが発生します。

  • 「X-Client-IP」ヘッダー値を下流から上流プロキシにフォワードすることができません。

  • 「X-Authenticated-User」ヘッダー値を下流から上流プロキシにフォワードすることができません。

  • ポリシー設定とネイティブアプリケーション設定にて日本語のコメントが含まれている場合に設定一覧をエクスポートすると文字化けした状態で出力されます。

  • Shield管理コンソールにアップロードしたPACファイルを既定URLからダウンロードすることができません。

  • MacOSのSafariブラウザを利用している場合にアプリケーション通信の扱いで通信内容が処理されます。

    例:ネイティブアプリケーション設定で「Default-全て」ポリシーにて「アクション:許可」としてる場合、許可通信として処理が行われます。

  • 「アクセス:検査」を利用している場合にPW付きZIPファイルをオンプレVotiro経由でダウンロードを行うとパスワード入力が求められず、更にCDR処理が行われずにダウンロードが行われます。Votiroを利用される環境の場合には、「アクセス:分離」での利用を推奨します。

  • ポリシー設定側にはクライアントCA証明書の設定について有効無効の設定が存在しているが、設定側にクライアントCA証明書をインポートする設定項目が存在しておらず証明書をインポートすることができません(これは、クライアントCA証明書が非Supportとなったことによる仕様変更となります)

  • MAXブラウザ数付近まで分離ブラウザを起動されている状況で待機ブラウザ数が少ない状態となると待機ブラウザ数があるにも関わらず「Waiting for the browser to load」表示で分離ブラウザが表示されない場合があります。

  • 上流プロキシにてSsl-Bump処理が行われているネットワーク環境の場合、HTTPサイトを分離ブラウザで表示エラーとなります。

    ⇒ HTTPのURLがHTTPSのURLに置き換えられてアクセスされる挙動となることで本表示エラーが発生しています。上流プロキシを利用していない場合や上流プロキシでSsl-Bump処理を行われていない場合には、こちらの不具合は発生しません。分離ブラウザで発生している不具合となりますので「検査」や「SSLインスペクション無しで許可」のポリシー設定を利用いただくことで回避可能となります。

  • エラー画面や証明書ダウンロード画面について日本語で表示することができません。

    対象URL例:http://install-certificate/

    ⇒ バージョンアップ前の環境で日本語の設定に変更している場合には、こちらの不具合の影響は、受けません。管理コンソール上では変更することができませんが、コマンドベースにて、強制的に設定を変更することは可能です。英語から日本語に表示を変更されたい場合は、コマンドベースの手順をご案内しますので必要に応じて、サポートセンターへお問合せください。

サポート制限

  • 下記は日本では提供の予定がありません。サポートできませんのでご注意ください。
    • Votiro Namedポリシーの利用
    • Rancherサーバの冗長化構成