3.1. Ericom Shield リリースノート¶

3.1.1. 新機能および修正点¶

Ericom Shield 19.04¶

【リリース日：2019/4/12】

New Features¶

カスタムマウスカーソルをサポートしました。（例：map.baidu.com）
NSSによる証明書検証をサポートしました。
内部ICAPサーバの冗長化を行いました。
ダイナミックノード：ブラウザ展開の割合が設定可能となりました。（ テクニカルプレビュー ）
ダイナミックノード：定期的なアクセス増加に対応するためのバーストイベントが実装されました。（ テクニカルプレビュー ）
ダイナミックノード：管理コンソールのダッシュボードにクラウド環境の情報を表示するようになりました。（ テクニカルプレビュー ）
ファイルサニタイズ: SASA Gate Scannerとの連携をサポートしました。( テクニカルプレビュー )

Bug Fixes¶

Googleドライブが正しく動作しない場合がある問題を修正しました。
インテリジェント分離モードにおいて、カテゴリが削除できてしまう問題を修正しました。
いくつかの表示されないサイトへの対応を行いました。
Firefox66で入力が一切できなくなる問題に対応しました。
上位プロキシがある環境でアラートメールが送信できない場合がある問題に対応しました。

3.1.2. 制限事項および既知の不具合¶

インストール関係¶

ライセンスアクティベーションを行う前の設定は再起動で初期化されます。これは仕様です。設定前に必ずアクティベーションを行ってください。
上位プロキシが存在する環境においてインストールを行う場合、環境変数にプロキシ設定を登録してください。これは仕様です。
複数のNICが存在する環境にインストールすることは可能ですが、製品が利用するネットワークを複数設定することはできません。(インターネットとの通信用と、ノード間通信用など。)製品が利用するネットワークとそれ以外の通信（SSH接続や監視用など）を区別することは可能です。
既存プロキシからICAPによる連携は検証中です。設定の要件がある場合、お問い合わせください。
導入対象のサーバのlocaleはen_USとしてください。
既存のプロキシやUTM装置の上位にEricom Shieldを配置する場合、画像による画面転送になっているため、動的なコンテンツフィルタリングやSSLインスペクション等の処理は行えません。(URLベースのフィルタリングは可能です。)
導入対象サーバの時刻はNTPなどで正確に設定してください。また、複数台構成の場合、各ノードで時刻が一致するようにしてください。時刻にずれがある場合、証明書のタイムスタンプの問題が発生する可能性があります。
クライアントPCとShieldとの間に既存のProxyサーバが存在する場合、Proxyサーバでは8080ポートをSSL Connectionとして許可しておく必要があります。

autoupdate.shによる自動アップデートは日本ではサポートしていません。
Shieldが内部で利用するネットワークアドレスのセグメント(10.20.0.0/16)は同一のDocker内で利用できません。
Shieldの導入時にデフォルトで導入されるDockerのネットワークアドレス(docker0:172.17.0.0/16およびdocker_gwbridge:172.18.0.0/16)と重複するセグメントを利用しないでください。回避できない場合、Shield側の設定変更を行う必要があります。(docker_gwbridgeは導入環境によって172.19.0.0/16であったり、172.20.0.0/16である場合があります。)

上位プロキシが存在する環境でご利用の場合、一部のHTTPSサイトが閲覧できない場合があります。この問題は将来のバージョンで修正される予定ですが、回避策として、こちらの手順に従い、スクリプトを実行してください。この問題は19.07以降で解消しています。
同時接続ライセンスをご利用の場合、18.12より前のバージョンから、18.12以降へバージョンアップすると、ライセンスの再アクティベーションが必要となります。

→ ライセンスアクティベーションについては展開ガイド - 管理コンソール - ライセンスをご参照ください。
addnodes.shによる冗長構成を行った場合、途中でエラーを検知して停止する場合があります。19.01.1以降で発生するエラーは多くの場合、手動で回避することが可能です。詳細は [APPENDIX] [トラブルシュート] [ addnodes.sh 実行時のエラー対処 ] を参照してください。

Votiro関係¶

ダブルバイトのファイル名のZIPファイルをサニタイズすると、ファイル名が文字化けする場合があります。
ダブルバイトのファイル名がついたファイルを内包しているZIPファイルをサニタイズした場合、内部のファイル名はUTF-8で処理されます。そのため、UTF-8を扱うことができない解凍ソフトを利用している場合、内包されるファイル名が文字化けしてしまします。
Votiro 7.4 はブルースクリーンとなりクラッシュする可能性があるため、公開を停止しました。現在公開しております、Votiro 8.1.1 以降への移行をご検討ください。
一太郎ファイルの無害化を正しく行うには、Votiroサーバのロケールは日本語になっている必要があります。
Votiroにバンドルされるアンチウイルス製品のライセンス有効期限が2019/12/31となっているため、利用するためにはファイルの差し替えが必要です。評価目的・または正規にアンチウイルス機能をご利用の場合は最新のインストーラパッケージに同梱されているライセンスファイルをご利用ください。詳細はこちらをご確認ください。

入力関係¶

未確定文字列に下波線が表示されません。
[変換]キーが正しく動作しません。
- IE11,Chrome : 変換キーを押しても再変換されません。
- Firefox : 変換済み文字が残ったまま、新たに再変換が行われます。
- Edge : 変換済み文字が残ったまま、キーを押す度に変換候補が入力されます。
Ctrl+z 利用時、語句単位ではなく1文字ずつ戻る動作となります。
変換候補の位置がずれることがあります。
Office Online では日本語入力時にセッションが異常終了する場合があります。この問題はWordとPowerPointでのみ確認されています。これは既知の問題です。ご利用の場合は該当ドメインをホワイトリストに登録してご利用ください。
F1キーでヘルプが起動されません。
F12キーで開発ツールが起動されません。
メニューキーでメニューは表示されません。
IE11を利用している場合、半角入力から全角入力に切り替えた直後のキーが正しく送信されない場合があります。

リダイレクト・印刷関係¶

印刷対象はすべてPDF化されて印刷されます。PDF化されたファイル名は「PrintPage.pdf」となります。
印刷時のスプールデータサイズは大きくなる場合があります。
印刷倍率指定して印刷した場合、ローカルブラウザの挙動と異なります。（ローカルブラウザでは通常横幅の倍率が変更されますが、Shieldでは縦横それぞれに倍率を適用します。）
Internet Explorerでは、音声再生をするためにはFast Media Streamを有効にする必要があります。
FMSに対応していないメディアは、Internet Explorerでは音声再生は行えません。
Windows7のInternet Explorerでは、Fast Media Streamを利用できません。
Windows7のInternet Explorerでは、FMSに対応していないため、音声再生は行えません。
Internet ExploreとFireFox利用時、ブラウザ内の文字列をコピーした時にダイアログウィンドウが表示されます。
Chromeを利用した場合、用紙を横向きに設定することができません。
印刷設定において、タイトル/日付/URL情報を付与しても印刷されません。
上位プロキシが存在する環境でGoogleMapを印刷すると、印刷物が滲んでしまいます。

Internet上のPDFファイルを印刷する場合、ダウンロードを許可する必要があります。（サニタイズによるダウンロードも可。）これはShieldではPDFを「ファイル」として扱っており、印刷制御のの対象は「HTMLコンテンツ」に限定されているためです。これは製品の仕様です。

IEモード関係¶

IEモードはテクニカルプレビューでの実装/公開です。
IEモードでブラウジング中はポリシーでブラック指定されたサイトも参照できてしまいます。
IEモードではIE用サーバを1台のみ構築可能です。複数台を設定することはできません。
IEモードでは特定のユーザアカウント(1アカウント固定)でWindowsログオンを行います。セッション間の分離は行われていません。
IEモードではセッション終了時の環境破棄は行われません。
IEモードは特定の信頼できるサイトで、IEが必須である環境へのアクセスに特化した利用を想定しています。
IEモードではファイルの無害化連携を行うことはできません。
IEモードでは印刷を行うことができません。
IEモードは別途ライセンスが必要です。

URLカテゴリ関係¶

URLカテゴリは別途ライセンスが必要です。

カテゴリポリシーにおいて、「アクセス」をデフォルト値を示す「(Shield)」として設定すると、そのポリシーにマッチしたページが正しく表示できません。Shield / ホワイト / ブラックを明示的に設定してください。
URLカテゴリの初期動作モードは「インテリジェント分離モード」相当となっています。この場合、URLカテゴリにリストされているサイトは分離されません。「未分類」または「疑わしい」サイトのみをShieldします。 Shieldの分離機能をフルに活用するためには URLカテゴリの最適化の手順を実施してください。

その他・仕様関連¶

Firefoxを利用時、アカウント情報保存の候補表示がページ遷移後も残っていることがあります。
サイトが正しく表示されない場合があります。（コンテンツのずれ、文字化け、オブジェクトの欠落など）
Shieldの管理コンソールはInternet Explorerでは正しく表示できません。(Chromeを推奨しています。)
Windows7 のInternet Explorerで、動画サイトの全画面表示が全画面にならない場合があります。
GoogleMap埋め込みサイトでCtrl+すると、地図だけではなく、ページ全体が拡大されてしまいます。
ブラウザのフォントを任意に変更することはできません。
Ctrl+nでブラウザを複数起動した時、「Page failed to load properly Browser already in use」のメッセージが表示されます。間隔をあけて起動を行ってください。
新しいタブを開くリンクをクリックした時、「Open New Tab？」のダイアログが表示される場合があります。
ユーザ認証を行わない場合、ライセンスは利用するブラウザ毎に消費します。これは仕様です。
ユーザ認証を行わない場合でブラウザのキャッシュをクリアする拡張などを利用されている場合、ライセンスはタブ毎に消費します。キャッシュクリアツールの停止をご検討ください。
ユーザ認証を行わない場合、1ユーザが複数のデバイスから同時にEricom Shieldを利用するとライセンスを複数消費します。
動画再生やFlashコンテンツができないサイトがあります。
ブラウザコンテナへのプラグインやクライアント証明書の追加はできません。
タブレット端末から利用できません。
ファイル無害化前のオリジナルファイルを閲覧/取得することはできません。必要に応じて、ホワイトリストとして設定してダウンロードする必要があります。
Windows 7 Internet Explorer を利用した場合、動作が遅くなる場合があります。
外部SYSLOGサーバへログを転送する設定を行った場合、Shieldから転送されるログの時刻が9時間ずれて(UTCにて)登録されてしまします。
Internet Explorer を利用した場合、タブ数のカウントが正しく行われない場合があります。
短時間に同一端末から同一ドメインへのアクセスを行った場合、アクセスログが全て記録されない場合があります。
冗長構成の場合、レポートおける表示が欠落する可能性があります。ログの出力先にNFSサーバをマウントするなどの対応が必要です。
冗長構成の場合、elastickserchコンテナが障害時に他のノードに移動しない問題があります。この問題は次バージョンで解消予定です。
Internet Explorerをクライアントとして利用した場合、WebSocket接続の上限数が少ないことでSSLエラーが発生することがあります。「(IEのみ) WebSocket接続の上限数変更」を参照し、接続数の上限を変更してください。

サポート制限¶

Windows 7 はMicrosoftのサポート終了に伴い、はクライアントとしてサポートされなくなりました。

下記はテクニカルプレビューによる限定公開です。不具合がある場合があるため、本番環境での正式利用はサポートできませんのでご注意ください。
- ダイナミックノードの利用
- IEモード
下記は日本では提供準備中のため、本番環境での正式利用はサポートできませんのでご注意ください。
- URLカテゴリ
- CentOS / RHEL へのインストール
下記は日本では提供の予定がありません。サポートできませんのでご注意ください。
- Check Point SandBlast Cloud とのCDR連携