3.1. Ericom Shield リリースノート¶

3.1.1. 新機能および修正点¶

Ericom Shield 20.03 (20.03.639)¶

【リリース日：2020/04/30】

New Features¶

スプリットモードにより、ELKとブラウザファームをDMZに配置することが可能となりました。（Advancedによる導入が必要です。）
CSVへのエクスポートを備えたあたらしいレポートを実装しました。
Proxy-Authorization ヘッダの連携をサポートしました。( 日本検証中 )
新しいCDRベンダとして、Opswat をサポートしました。（ 日本未検証 ）
OVA展開の環境において、主要コンポーネントのオフラインアップデートをサポートしました。（ 日本未サポート ）
接続情報のレポートに、接続先との応答時間などを記録するようになりました。
接続性テストの接続先URLを変更可能にしました。
ext-proxy のエラーページをカスタマイズ可能としました。（言語リソースによるメッセージ変更）
Rancherサーバにおいて、冗長構成をとることができるようになりました。（ 日本未サポート ）

Bug Fixes¶

最大ブラウザ数を、割り当て可能コア数に基づく計算に変更しました。(これまでは搭載コア数で計算していました。)
重複するレポートコンテンツを削除しました。
アラートメールが受信できない場合が有る問題を修正しました。
フィッシング詳細情報へのリンクを更新しました。
Managementサーバへの接続がない場合のアラートを修正しました。
上位プロキシでSSLデコードを行っている場合に、squidのエラー画面が表示される場合がある問題に対し、一部の原因を取り除きました。他に考えられる原因については継続調査中です。
アプリケーションポリシーのテーブルで検索が動作しない問題を修正しました。
2バイト文字を含むポリシーをエクスポートすると文字化けする問題を修正しました。
OVA展開したシステムでアップデートに失敗する問題を修正しました。
Sasa：ファイルタイプ変換をサポートできない問題に対応しました。（ 日本未サポート ）
Sasa：」Embedded files not supported and were removed」メッセージを削除しました。（ 日本未サポート ）
クリスタルレンダリング：多くの入力フィールドで編集ができない問題を修正しました。( テクニカルプレビュー )
クリスタルレンダリング：相対マウス座標を変換します。( テクニカルプレビュー )
クリスタルレンダリング：ynetでの動画自動再生を修正しました。( テクニカルプレビュー )

注意

テクニカルプレビューの機能については、不具合がある場合があるため、本番環境での正式利用はサポートできません。

当社におきましても、正式リリースに向けての評価検証中であるため、サポートもお受けできない場合がございます。あらかじめご了承ください。

また、お気づきの不具合やご意見につきましては、次回以降のリリースに向けての参考情報として承ります。

3.1.2. 制限事項および既知の不具合¶

インストール関係¶

複数のNICが存在する環境にインストールすることは可能ですが、製品が利用するネットワークを複数設定することはできません。(インターネットとの通信用と、ノード間通信用など。)製品が利用するネットワークとそれ以外の通信（SSH接続や監視用など）を区別することは可能です。
既存プロキシからICAPによる連携は検証中です。設定の要件がある場合、お問い合わせください。
導入対象のサーバのlocaleはen_USとしてください。
既存のプロキシやUTM装置の上位にEricom Shieldを配置する場合、画像による画面転送になっているため、動的なコンテンツフィルタリングやSSLインスペクション等の処理は行えません。(URLベースのフィルタリングは可能です。)
導入対象サーバの時刻はNTPなどで正確に設定してください。また、複数台構成の場合、各ノードで時刻が一致するようにしてください。時刻にずれがある場合、証明書のタイムスタンプの問題が発生する可能性があります。
クライアントPCとShieldとの間に既存のProxyサーバが存在する場合、Proxyサーバでは8080ポートをSSL Connectionとして許可しておく必要があります。
EricomShieldの初期構築から1年を過ぎるとRancher証明書の期限切れが発生することで、RancherUI画面へのログイン操作および、shield-start.sh、shield-stop.sh、shield-status.shの利用が不可となります。本事象が発生した場合にはサポートセンターへ一度、お問い合わせいただけますようお願いします。

※ Rancher証明書の期限切れが発生した後にサーバOSの再起動を行った場合でも内部的にEricomShieldが自動的に起動されることでShieldブラウザは継続して利用は可能です。

Shieldの導入時にデフォルトで導入されるDockerのネットワークアドレス(docker0:172.17.0.0/16,10.42.0.0/16および10.43.0.0/16)と重複するセグメントを利用しないでください。回避できない場合、kubernetesの設定を変更する必要があります。この変更は、インストール時のみに可能であり、導入後の変更はできません。
Azure環境ではRancherを別にしないとセットアップができません。この問題については現在メーカにて調査中となります。

上位プロキシが存在する環境においてインストールを行う場合、環境変数にプロキシ設定を登録してください。これは仕様です。
ライセンスアクティベーションを行う前の設定は再起動で初期化されます。これは仕様です。設定前に必ずアクティベーションを行ってください。
同時接続ライセンスをご利用の場合、18.12より前のバージョンから、18.12以降へバージョンアップすると、ライセンスの再アクティベーションが必要となります。

→ ライセンスアクティベーションについては展開ガイド - 管理コンソール - ライセンスをご参照ください。
OVAによるオフラインインストーラーについては、ベースOSはUbuntuのみでの提供となります。(CentOSでの提供は行われなくなりました。)

Votiro関係¶

ダブルバイトのファイル名のZIPファイルをサニタイズすると、ファイル名が文字化けする場合があります。
ダブルバイトのファイル名がついたファイルを内包しているZIPファイルをサニタイズした場合、内部のファイル名はUTF-8で処理されます。そのため、UTF-8を扱うことができない解凍ソフトを利用している場合、内包されるファイル名が文字化けしてしまします。
Votiro 7.4 はブルースクリーンとなりクラッシュする可能性があるため、公開を停止しました。現在公開しております、Votiro 8.1.1 以降への移行をご検討ください。
一太郎ファイルの無害化を正しく行うには、Votiroサーバのロケールは日本語になっている必要があります。
Votiroにバンドルされるアンチウイルス製品のライセンス有効期限が2019/12/31となっているため、利用するためにはファイルの差し替えが必要です。評価目的・または正規にアンチウイルス機能をご利用の場合は最新のインストーラパッケージに同梱されているライセンスファイルをご利用ください。詳細はこちらをご確認ください。
Shieldの再起動により、「アラートは飛ぶがVOTIROが使用できない」とVOTIROが正しく動作しない場合があります。その際は、VOTIROアドレスの再設定を行ってください。
Votiroに同梱されているアンチウィルス製品が変更になりました。（Votiroのアンチウィルス製品は1750ユーザー以上に提供されています）2021年4月1日以降はAviraのみになります。（VotiroサーバがWindows Server 2016以降の場合はWindows Defenderも利用可）
起動後に、ShieldがVotiroと通信し管理者画面にバージョン情報を表示しますが、バージョン情報が表示されない時はVotiroの利用ができない場合があります。検知スクリプトを用意しておりますので、サポートセンターまでお問い合わせください。

dwgファイルがCADではなく不明なファイルとして認識されます。こちらは、Votiro 8.4にて解消されております。（ShieldではVotiro8.4は未サポートとなります。）

入力関係¶

未確定文字列に下波線が表示されません。
[変換]キーが正しく動作しません。
- IE11,Chrome : 変換キーを押しても再変換されません。
- Firefox : 変換済み文字が残ったまま、新たに再変換が行われます。
- Edge : 変換済み文字が残ったまま、キーを押す度に変換候補が入力されます。
Ctrl+z 利用時、語句単位ではなく1文字ずつ戻る動作となります。
変換候補の位置がずれることがあります。
Office Online では日本語入力時にセッションが異常終了する場合があります。この問題はWordとPowerPointでのみ確認されています。これは既知の問題です。ご利用の場合は該当ドメインをホワイトリストに登録してご利用ください。
F1キーでヘルプが起動されません。
F12キーで開発ツールが起動されません。
メニューキーでメニューは表示されません。
クライアントにChromeとFirefoxを利用していて日本語入力を行っている場合、変換を確定せずに入力を継続すると、最初の1文字が欠落します。この問題は現在調査中です。

例：ほんじつは[変換]→未確定状態で「せいてんなり」と入力すると「本日は」の直後1文字目「s」が欠落します。

かな入力において、BackSpaceキーで文字を削除する時、入力した文字数分余計にキーを押下しなければ削除が開始されない問題が発生しています。この問題はRel-20.07で修正されています。

リダイレクト・印刷関係¶

印刷対象はすべてPDF化されて印刷されます。PDF化されたファイル名は「PrintPage.pdf」となります。
印刷時のスプールデータサイズは大きくなる場合があります。
印刷倍率指定して印刷した場合、ローカルブラウザの挙動と異なります。（ローカルブラウザでは通常横幅の倍率が変更されますが、Shieldでは縦横それぞれに倍率を適用します。）
Internet Explorerでは、音声再生をするためにはFast Media Streamを有効にする必要があります。
FMSに対応していないメディアは、Internet Explorerでは音声再生は行えません。
Windows7のInternet Explorerでは、Fast Media Streamを利用できません。
Windows7のInternet Explorerでは、FMSに対応していないため、音声再生は行えません。
Internet ExploreとFireFox利用時、ブラウザ内の文字列をコピーした時にダイアログウィンドウが表示されます。
Chromeを利用した場合、用紙を横向きに設定することができません。
印刷設定において、タイトル/日付/URL情報を付与しても印刷されません。
上位プロキシが存在する環境でGoogleMapを印刷すると、印刷物が滲んでしまいます。
IE11や(Chromium版ではない)Edgeから印刷を行う場合に印刷が行えない問題があります。これはWindowsOS側の問題の可能性が高く、Ericom製品を使用せずとも発生する場合があります。この問題は、IE11のアドオンとして登録されている「Adobe PDF Reader」を無効化すること回避可能です。

Internet上のPDFファイルを印刷する場合、ダウンロードを許可する必要があります。（サニタイズによるダウンロードも可。）これはShieldではPDFを「ファイル」として扱っており、印刷制御のの対象は「HTMLコンテンツ」に限定されているためです。これは製品の仕様です。

IEモード関係¶

IEモードはテクニカルプレビューでの実装/公開です。
IEモードでブラウジング中はポリシーでブラック指定されたサイトも参照できてしまいます。
IEモードではIE用サーバを1台のみ構築可能です。複数台を設定することはできません。
IEモードでは特定のユーザアカウント(1アカウント固定)でWindowsログオンを行います。セッション間の分離は行われていません。
IEモードではセッション終了時の環境破棄は行われません。
IEモードは特定の信頼できるサイトで、IEが必須である環境へのアクセスに特化した利用を想定しています。
IEモードではファイルの無害化連携を行うことはできません。
IEモードでは印刷を行うことができません。
IEモードは別途ライセンスが必要です。

URLカテゴリ関係¶

URLカテゴリは別途ライセンスが必要です。

カテゴリポリシーにおいて、「アクセス」をデフォルト値を示す「(Shield)」として設定すると、そのポリシーにマッチしたページが正しく表示できません。Shield / ホワイト / ブラックを明示的に設定してください。
URLカテゴリの初期動作モードは「インテリジェント分離モード」相当となっています。この場合、URLカテゴリにリストされているサイトは分離されません。「未分類」または「疑わしい」サイトのみをShieldします。 Shieldの分離機能をフルに活用するためには URLカテゴリの最適化の手順を実施してください。

その他・仕様関連¶

Firefoxを利用時、アカウント情報保存の候補表示がページ遷移後も残っていることがあります。
サイトが正しく表示されない場合があります。（コンテンツのずれ、文字化け、オブジェクトの欠落など）
Shieldの管理コンソールはInternet Explorerでは正しく表示できません。(Chromeを推奨しています。)
Windows7 のInternet Explorerで、動画サイトの全画面表示が全画面にならない場合があります。
GoogleMap埋め込みサイトでCtrl+すると、地図だけではなく、ページ全体が拡大されてしまいます。
ブラウザのフォントを任意に変更することはできません。
Ctrl+nでブラウザを複数起動した時、「Page failed to load properly Browser already in use」のメッセージが表示されます。間隔をあけて起動を行ってください。
新しいタブを開くリンクをクリックした時、「Open New Tab？」のダイアログが表示される場合があります。
ユーザ認証を行わない場合、ライセンスは利用するブラウザ毎に消費します。これは仕様です。
ユーザ認証を行わない場合でブラウザのキャッシュをクリアする拡張などを利用されている場合、ライセンスはタブ毎に消費します。キャッシュクリアツールの停止をご検討ください。
ユーザ認証を行わない場合、1ユーザが複数のデバイスから同時にEricom Shieldを利用するとライセンスを複数消費します。
動画再生やFlashコンテンツができないサイトがあります。
ブラウザコンテナへのプラグインやクライアント証明書の追加はできません。
タブレット端末から利用できません。
ファイル無害化前のオリジナルファイルを閲覧/取得することはできません。必要に応じて、ホワイトリストとして設定してダウンロードする必要があります。
Windows 7 Internet Explorer を利用した場合、動作が遅くなる場合があります。
外部SYSLOGサーバへログを転送する設定を行った場合、Shieldから転送されるログの時刻が9時間ずれて(UTCにて)登録されてしまします。
管理コンソールから読み込む各種証明書の形式はPEM形式である必要があります。それ以外の形式（例：バイナリ形式）で読み込んだ場合はコンテナが生成できないなどの問題が発生する可能性があります。
レポートの保持期間は前月分のデータまでのみとなります。

例）現在、7月15日だった場合、レポートの保持は6月1日～7月15日までの期間となります。
Ericom ShieldではCNIとしてFlannelを利用するように初期設定されています。FlannelではデフォルトでVXLANが利用されているため、セキュリティ製品などで異なるノード間での通信を制限している場合などでは、Podが適切に起動できない場合があります。事前にKubernetesのPod間で通信が可能なことを確認してください。
Kubernetesの動作仕様で、最小待機ブラウザ数の指定している値とブラウザノードのリソースを参照して、リソースに余裕があると判断した場合、バージョンアップのタイミングではsecurebrowsing/shield-cefイメージを展開せず、イメージが展開されないノードでは、待機ブラウザが作られません。これは上記仕様のため、問題ありません。
レポート参照で認証を求められるようになり以下のレポートが参照できません。この問題は今後のバージョンで修正予定となります。
- レポートの[システム]
- レポートの[Advanced]
レポートを10000行まで制限した場合、「古いログから10000行まで表示」となるため、レポートの「セッション」＞「セッション履歴」で「今日」を選択した際に、トップに来る時間が数時間前のものになる場合があります。

「ユーザあたりのアクティブなリモートセッションの最大数」の設定において、Internet Explorerでは、同一ドメインを複数タブで開いた際、タブ数のカウントが正しく行われない場合があります。
短時間に同一端末から同一ドメインへのアクセスを行った場合、アクセスログが全て記録されない場合があります。
冗長構成の場合、レポートおける表示が欠落する可能性があります。ログの出力先にNFSサーバをマウントするなどの対応が必要です。
冗長構成の場合、elastickserchコンテナが障害時に他のノードに移動しない問題があります。この問題は次バージョンで解消予定です。
Internet Explorerをクライアントとして利用した場合、WebSocket接続の上限数が少ないことでSSLエラーが発生することがあります。「(IEのみ) WebSocket接続の上限数変更」を参照し、接続数の上限を変更してください。
冗長化構成をとった場合でも、場合によっては最大10秒程度のシステム停止が発生する可能性があります。システム起動直後のコンポーネント配置状況に依存します。この問題の詳細は調査中です。
管理コンソールのポリシー画面において日本語を表示をしている場合、「カテゴリ」の新ポリシーを追加することができません。英語表示の場合は問題ありません。この問題は調査中です。
Proxy-Authorizationヘッダによる連携はShieldが前段にあり、上位プロキシへの連携にのみ利用できます。逆の構成はサポートしていません。
Proxy-Authorizationヘッダによる連携はホワイトリスト通信では利用できません。
「ポリシー」および「アプリケーション」におけるドメイン名はシングルバイトのみサポートします。
ポリシーインポートに対応しているファイル形式はCSV形式のみサポートします。
Shieldサイトからブラック登録を行っているサイトに遷移した場合、適切なエラー画面が表示されません。
「アプリケーション」において、「名前」欄に同じ名称で複数登録が可能ですが、同名の場合、削除時に両方が削除されてしまうため、同名での登録は避けて下さい。
SSL証明書のファイル名はシングルバイトのみサポートします。
カスタム認証局のパスワードでは記号は未サポートとなります。
Shieldセッション一時停止時間(分)をブランクやマイナスの値を入力した場合に設定が機能しません。
Active Directory 認証設定においてsamAccountNameでのユーザー名指定は未サポートとなります。
20.03からログの出力方法が以下のように変更されています。

同じタブ内、またはそのタブから新しいタブを開いた場合、同じドメイン内の場合は最初のアクセスのみレポートに出力されるようになりました。
管理コンソールから設定するフィールドについてはシングルバイトを利用してください。ダブルバイトを利用した場合、プロファイルの設定やCSVでのエクスポート/インポート時に文字化けする場合があります。
Elasticsearchでメモリーリークが発生する場合があります。本件は、Elasticsearchの問題であり、Elasticsearch 7.7で修正されています。発生した場合は、システムコンポーネントの再起動が必要なとなります。尚、本事象はEricom Shield 20.05で修正されています。
Ericom Shieldの運用中に、稀にmng_core_syncコンテナにおいてCPUとメモリの使用率が高騰する事象が発生する場合があります。対応方法は、20.10へバージョンアップをお願いします。
Dockerログが肥大化することでShieldのサービス起動等ができなくなる可能性があるためDockerログサイズを変更することを強く推奨します。変更手順についてはこちらを参照ください。
外部サイトの閲覧に時間がかかる場合があります。この問題はアシストでは未リリースの20.11で修正として含まれており、21.01でも修正されております。本事象に遭遇した場合は、21.01へのバージョンアップをお願いします。
IE11の互換表示設定を変更すると、Shieldされない動作となります。

サポート制限¶

Windows 7 はMicrosoftのサポート終了に伴い、はクライアントとしてサポートされなくなりました。

下記はテクニカルプレビューによる限定公開です。不具合がある場合があるため、本番環境での正式利用はサポートできませんのでご注意ください。
- IEモード
- オートフィル
- クリスタルレンダリング
- オリジナルファイルの取得
下記は日本では提供準備中のため、本番環境での正式利用はサポートできませんのでご注意ください。
- Votiro Namedポリシーの利用
- Opswat MetaDefender とのCDR連携
- Rabcherサーバの冗長化構成
- OVA展開の環境において、主要コンポーネントのオフラインアップデート
下記は日本では提供の予定がありません。サポートできませんのでご注意ください。
- RHEL へのインストール
- Check Point SandBlast Cloud とのCDR連携