3.1. Ericom Shield リリースノート

3.1.1. 新機能および修正点

Ericom Shield 20.10 (20.10.685)

【リリース日:2020/11/13】

New Features

  • いくつかのPodにおいて、リソース上限の設定が実装されました。
  • Kubernetesの水平ポッドオートスケーラー(HPA)サービスに対応しました。
  • ホワイトリストに登録されたドメインの外部オブジェクトの動作について設定が追加されました。

Bug Fixes

  • Proxy-Authorization ヘッダによる認証連携の不具合を修正しました。
  • X-Forwarded-For ヘッダに余計な文字が含まれて居た問題を修正しました。
  • Firefoxでの日本語入力バグを修正しました。
  • 特定のノードでconsulバックアップが設定値をデフォルトに戻してしまう問題を修正しました。
  • sysctl_common.conf と configure-sysctl-values.sh において設定値が異なっていた問題を修正しました。

<以下、メーカーに詳細を確認中>

  • ホワイトリスト通信における、X-Authenticated-User フォーマットを修正しました。
  • セッション内をナビゲートする際、レポートが欠落する問題を修正しました。

注意

テクニカルプレビューの機能については、不具合がある場合があるため、本番環境での正式利用はサポートできません。

当社におきましても、正式リリースに向けての評価検証中であるため、サポートもお受けできない場合がございます。 あらかじめご了承ください。

また、お気づきの不具合やご意見につきましては、次回以降のリリースに向けての参考情報として承ります。

3.1.2. 制限事項および既知の不具合

インストール関係

  • 複数のNICが存在する環境にインストールすることは可能ですが、製品が利用するネットワークを複数設定することはできません。(インターネットとの通信用と、ノード間通信用など。)製品が利用するネットワークとそれ以外の通信(SSH接続や監視用など)を区別することは可能です。
  • 既存プロキシからICAPによる連携は検証中です。設定の要件がある場合、お問い合わせください。
  • 導入対象のサーバのlocaleはen_USとしてください。
  • 既存のプロキシやUTM装置の上位にEricom Shieldを配置する場合、画像による画面転送になっているため、動的なコンテンツフィルタリングやSSLインスペクション等の処理は行えません。(URLベースのフィルタリングは可能です。)
  • 導入対象サーバの時刻はNTPなどで正確に設定してください。また、複数台構成の場合、各ノードで時刻が一致するようにしてください。時刻にずれがある場合、証明書のタイムスタンプの問題が発生する可能性があります。
  • クライアントPCとShieldとの間に既存のProxyサーバが存在する場合、Proxyサーバでは8080ポートをSSL Connectionとして許可しておく必要があります。
  • Shieldの導入時にデフォルトで導入されるDockerのネットワークアドレス(docker0:172.17.0.0/16,10.42.0.0/16および10.43.0.0/16)と重複するセグメントを利用しないでください。回避できない場合、kubernetesの設定を変更する必要があります。この変更は、インストール時のみに可能であり、導入後の変更はできません。
  • MicrosoftAzure環境を利用する場合に10.0.0.0帯のプライベートIPアドレスがマシン上で利用されていると、正しくShieldのインストールが完了しない場合があることを確認しています。その場合には、マシンが利用するプライベートIPアドレスを10.0.0.0帯以外のIPアドレス帯(192.168.0.0等)を利用してインストールをお試しください。
  • Rancherの証明書について証明書が失効する前に期限を更新しないとRancherUI画面へのログイン操作およびShield開始/停止/確認スプリクトの利用が不可となる問題があるため、失効前に、延長のスクリプトを実行ください(CA0000073539/QA#809378) 詳細はこちら を参照。
  • 上位プロキシが存在する環境においてインストールを行う場合、環境変数にプロキシ設定を登録してください。これは仕様です。
  • 同時接続ライセンスをご利用の場合、18.12より前のバージョンから、18.12以降へバージョンアップすると、ライセンスの再アクティベーションが必要となります。
    → ライセンスアクティベーション については 展開ガイド - 管理コンソール - ライセンス をご参照ください。
  • OVAによるオフラインインストーラーについては、ベースOSはUbuntuのみでの提供となります。(CentOSでの提供は行われなくなりました。)
  • インストール方法によって、Dockerのバージョンが統一されない場合があります。「6.3.2. shield-prepare-servers.sh による事前準備 」 手順を参照し、対応を行ってください。
  • 導入時にIPV6が無効化される場合があり、IPV6が無効化された場合、Shieldのインストールが正常に完了できません。事前にIPV6が有効化されているかをご確認ください。

Votiro関係

  • ダブルバイトのファイル名のZIPファイルをサニタイズすると、ファイル名が文字化けする場合があります。
  • ダブルバイトのファイル名がついたファイルを内包しているZIPファイルをサニタイズした場合、内部のファイル名はUTF-8で処理されます。そのため、UTF-8を扱うことができない解凍ソフトを利用している場合、内包されるファイル名が文字化けしてしまします。
  • Votiro 7.4 はブルースクリーンとなりクラッシュする可能性があるため、公開を停止しました。現在公開しております、Votiro 8.1.1 以降への移行をご検討ください。
  • 一太郎ファイルの無害化を正しく行うには、Votiroサーバのロケールは日本語になっている必要があります。
  • Votiroにバンドルされるアンチウイルス製品のライセンス有効期限が発行した年の12月31日となっているため、利用するためにはファイルの差し替えが必要です。評価目的・または正規にアンチウイルス機能をご利用の場合は最新のインストーラパッケージに同梱されているライセンスファイルをご利用ください。 詳細は こちら をご確認ください。
  • Votiroに同梱されているアンチウィルス製品が変更になりました。(Votiroのアンチウィルス製品は1750ユーザー以上に提供されています)2021年4月1日以降はAviraのみになります。(VotiroサーバがWindows Server 2016以降の場合はWindows Defenderも利用可)
  • Shieldの再起動により、「アラートは飛ぶがVOTIROが使用できない」とVOTIROが正しく動作しない場合があります。その際は、VOTIROアドレスの再設定を行ってください。
  • 起動後に、ShieldがVotiroと通信し管理者画面にバージョン情報を表示しますが、バージョン情報が表示されない時はVotiroの利用ができない場合があります。検知スクリプトを用意しておりますので、サポートセンターまでお問い合わせください。
  • dwgファイルがCADではなく不明なファイルとして認識されます。こちらは、Votiro 8.4にて解消されております。(ShieldではVotiro8.4は未サポートとなります。)

入力関係

  • 未確定文字列に下波線が表示されません。

  • [変換]キーが正しく動作しません。
    • IE11,Chrome : 変換キーを押しても再変換されません。
    • Firefox : 変換済み文字が残ったまま、新たに再変換が行われます。
    • Edge : 変換済み文字が残ったまま、キーを押す度に変換候補が入力されます。

  • Ctrl+z 利用時、語句単位ではなく1文字ずつ戻る動作となります。

  • 変換候補の位置がずれることがあります。

  • Office Online では日本語入力時にセッションが異常終了する場合があります。この問題はWordとPowerPointでのみ確認されています。これは既知の問題です。ご利用の場合は該当ドメインをホワイトリストに登録してご利用ください。

  • F1キーでヘルプが起動されません。

  • F12キーで開発ツールが起動されません。

  • メニューキーでメニューは表示されません。

  • クライアントにChromeとFirefoxを利用していて日本語入力を行っている場合、変換を確定せずに入力を継続すると、最初の1文字が欠落します。この問題は現在調査中です。

    例:ほんじつは[変換]→未確定状態で「せいてんなり」と入力すると「本日は」の直後1文字目「s」が欠落します。

リダイレクト・印刷関係

  • 印刷対象はすべて縦表示の状態でPDF化されて印刷されます(横表示のPDF化は不可)。PDF化されたファイル名は「PrintPage.pdf」となります。
  • 印刷時のスプールデータサイズは大きくなる場合があります。
  • 印刷倍率指定して印刷した場合、ローカルブラウザの挙動と異なります。(ローカルブラウザでは通常横幅の倍率が変更されますが、Shieldでは縦横それぞれに倍率を適用します。)
  • Internet Explorerでは、音声再生をするためにはFast Media Streamを有効にする必要があります。
  • FMSに対応していないメディアは、Internet Explorerでは音声再生は行えません。
  • Windows7のInternet Explorerでは、Fast Media Streamを利用できません。
  • Windows7のInternet Explorerでは、FMSに対応していないため、音声再生は行えません。
  • Internet ExploreとFireFox利用時、ブラウザ内の文字列をコピーした時にダイアログウィンドウが表示されます。
  • Chromeを利用した場合、用紙を横向きに設定することができません。
  • 印刷設定において、タイトル/日付/URL情報を付与しても印刷されません。
  • 上位プロキシが存在する環境でGoogleMapを印刷すると、印刷物が滲んでしまいます。
  • IE11や(Chromium版ではない)Edgeから印刷を行う場合に印刷が行えない問題があります。これはWindowsOS側の問題の可能性が高く、Ericom製品を使用せずとも発生する場合があります。この問題は、IE11のアドオンとして登録されている「Adobe PDF Reader」を無効化すること回避可能です。
  • Internet上のPDFファイルを印刷する場合、ダウンロードを許可する必要があります。(サニタイズによるダウンロードも可。)これはShieldではPDFを「ファイル」として扱っており、印刷制御のの対象は「HTMLコンテンツ」に限定されているためです。これは製品の仕様です。

IEモード関係

  • IEモードはテクニカルプレビューでの実装/公開です。
  • IEモードでブラウジング中はポリシーでブラック指定されたサイトも参照できてしまいます。
  • IEモードではIE用サーバを1台のみ構築可能です。複数台を設定することはできません。
  • IEモードでは特定のユーザアカウント(1アカウント固定)でWindowsログオンを行います。セッション間の分離は行われていません。
  • IEモードではセッション終了時の環境破棄は行われません。
  • IEモードは特定の信頼できるサイトで、IEが必須である環境へのアクセスに特化した利用を想定しています。
  • IEモードではファイルの無害化連携を行うことはできません。
  • IEモードでは印刷を行うことができません。
  • IEモードは別途ライセンスが必要です。

URLカテゴリ関係

  • URLカテゴリは別途ライセンスが必要です。
  • カテゴリポリシーにおいて、「アクセス」をデフォルト値を示す「(Shield)」として設定すると、そのポリシーにマッチしたページが正しく表示できません。Shield / ホワイト / ブラック を明示的に設定してください。
  • URLカテゴリの初期動作モードは「インテリジェント分離モード」 相当 となっています。この場合、URLカテゴリにリストされているサイトは分離されません。「未分類」または「疑わしい」サイトのみをShieldします。 Shieldの分離機能をフルに活用するためには URLカテゴリの最適化 の手順を実施してください。

その他・仕様関連

  • Firefoxを利用時、アカウント情報保存の候補表示がページ遷移後も残っていることがあります。

  • サイトが正しく表示されない場合があります。(コンテンツのずれ、文字化け、オブジェクトの欠落など)

  • Shieldの管理コンソールはInternet Explorerでは正しく表示できません。(Chromeを推奨しています。)

  • Windows7 のInternet Explorerで、動画サイトの全画面表示が全画面にならない場合があります。

  • GoogleMap埋め込みサイトでCtrl+すると、地図だけではなく、ページ全体が拡大されてしまいます。

  • ブラウザのフォントを任意に変更することはできません。

  • Ctrl+nでブラウザを複数起動した時、「Page failed to load properly Browser already in use」のメッセージが表示されます。間隔をあけて起動を行ってください。

  • 新しいタブを開くリンクをクリックした時、「Open New Tab?」のダイアログが表示される場合があります。

  • ユーザ認証を行わない場合、ライセンスは利用するブラウザ毎に消費します。これは仕様です。

  • ユーザ認証を行わない場合でブラウザのキャッシュをクリアする拡張などを利用されている場合、ライセンスはタブ毎に消費します。キャッシュクリアツールの停止をご検討ください。

  • ユーザ認証を行わない場合、1ユーザが複数のデバイスから同時にEricom Shieldを利用するとライセンスを複数消費します。

  • 動画再生やFlashコンテンツができないサイトがあります。

  • ブラウザコンテナへのプラグインやクライアント証明書の追加はできません。

  • タブレット端末から利用できません。

  • ファイル無害化前のオリジナルファイルを閲覧/取得することはできません。必要に応じて、ホワイトリストとして設定してダウンロードする必要があります。

  • Windows 7 Internet Explorer を利用した場合、動作が遅くなる場合があります。

  • 外部SYSLOGサーバへログを転送する設定を行った場合、Shieldから転送されるログの時刻が9時間ずれて(UTCにて)登録されてしまします。

  • 管理コンソールから読み込む各種証明書の形式はPEM形式である必要があります。それ以外の形式(例:バイナリ形式)で読み込んだ場合はコンテナが生成できないなどの問題が発生する可能性があります。

  • レポートの保持期間は前月分のデータまでのみとなります。

    例)現在、7月15日だった場合、レポートの保持は6月1日~7月15日までの期間となります。

  • Ericom ShieldではCNIとしてFlannelを利用するように初期設定されています。FlannelではデフォルトでVXLANが利用されているため、セキュリティ製品などで異なるノード間での通信を制限している場合などでは、Podが適切に起動できない場合があります。事前にKubernetesのPod間で通信が可能なことを確認してください。

  • Kubernetesの動作仕様で、最小待機ブラウザ数の指定している値とブラウザノードのリソースを参照して、リソースに余裕があると判断した場合、バージョンアップのタイミングではsecurebrowsing/shield-cefイメージを展開せず、イメージが展開されないノードでは、待機ブラウザが作られません。これは上記仕様のため、問題ありません。

  • レポートを10000行まで制限した場合、「古いログから10000行まで表示」となるため、レポートの「セッション」>「セッション履歴」で「今日」を選択した際に、トップに来る時間が数時間前のものになる場合があります。

  • 20.03から、レポートのログの出力方法が以下のように変更されています。

    同じタブ内、またはそのタブから新しいタブを開いた場合、同じドメイン内の場合は最初のアクセスのみレポートに出力されるようになりました。

  • 20.05.650から、syslogで以下の条件でgrepをすることで詳細なアクセスログの確認が可能となりましたが、一部正常に取得できないケースがあることが確認できました。
    • Shield:grep urlNavigetion
    • Black :shield_mode:black
    • White :grep "Mode: white"
  • 20.10から機能追加された、[ホワイトリストに登録されたドメインの外部オブジェクト]の設定を以下の何れかの設定にすることで、正常にログが取得できるようになりました。
    • デフォルトホワイト
    • 絶対ホワイト
  • syslogで以下の条件でgrepをすることで詳細なアクセスログの確認が可能です。
    • Shield:grep urlNavigetion
    • Black :grep shield_mode:black
    • White :grep shield_mode:white
  • IEで同一タブ内でファイルアップロード作業を複数回実施する場合、2回目以降のアップロードが失敗します。回避策として以下での対応をお願いします。

    <対処方法>

    アップロードが失敗した場合は、再度最初から操作を行うことでアップロードできます。ログインを伴うサイトは再度ログインが必要になります。

  • Zoomなど、プロキシ経由で接続できない場合、直接接続を試みるアプリケーションが存在します。そのようなアプリケーションの場合、直接接続が可能なネットワーク環境においては当該アプリケーション通信がShield非経由となります。

  • Shield管理コンソールへプライマリDNSとセカンダリDNSを設定していても、プライマリDNSがダウンした場合にセカンダリDNSへ切り替わらない事象を確認しています。こちらの問題はEricom社調査中となります。この問題に該当する場合は、下記回避策をご検討ください。
    • すべてのShieldサーバ(ClusterManager、SystemComponent、Browser)のOSレベルで、プライマリとセカンダリのDNSサーバを設定してください。
    • Shield管理コンソールのプライマリDNS、セカンダリDNSに、上記OSレベルで設定したDNSサーバを設定してください。
  • 「ユーザあたりのアクティブなリモートセッションの最大数」の設定において、Internet Explorerでは、同一ドメインを複数タブで開いた際、タブ数のカウントが正しく行われない場合があります。
  • 短時間に同一端末から同一ドメインへのアクセスを行った場合、アクセスログが全て記録されない場合があります。
  • 冗長構成の場合、レポートおける表示が欠落する可能性があります。ログの出力先にNFSサーバをマウントするなどの対応が必要です。
  • Internet Explorerをクライアントとして利用した場合、WebSocket接続の上限数が少ないことでSSLエラーが発生することがあります。「(IEのみ) WebSocket接続の上限数変更 」を参照し、接続数の上限を変更してください。
  • 冗長化構成をとった場合でも、場合によっては最大10秒程度のシステム停止が発生する可能性があります。システム起動直後のコンポーネント配置状況に依存します。この問題の詳細は調査中です。
  • 管理コンソールのポリシー画面において日本語を表示をしている場合、「カテゴリ」の新ポリシーを追加することができません。英語表示の場合は問題ありません。この問題は調査中です。
  • Proxy-Authorizationヘッダによる連携はShieldが前段にあり、上位プロキシへの連携にのみ利用できます。逆の構成はサポートしていません。
  • 「ポリシー」および「アプリケーション」におけるドメイン名はシングルバイトのみサポートします。
  • ポリシーインポートに対応しているファイル形式はCSV形式のみサポートします。
  • Shieldサイトからブラック登録を行っているサイトに遷移した場合、適切なエラー画面が表示されません。
  • 「アプリケーション」において、「名前」欄に同じ名称で複数登録が可能ですが、同名の場合、削除時に両方が削除されてしまうため、同名での登録は避けて下さい。
  • SSL証明書のファイル名はシングルバイトのみサポートします。
  • カスタム認証局のパスワードでは記号は未サポートとなります。
  • Shieldセッション一時停止時間(分)をブランクやマイナスの値を入力した場合に設定が機能しません。
  • Active Directory 認証設定においてsamAccountNameでのユーザー名指定は未サポートとなります。
  • Shield管理コンソールのレポート機能で表示できる最大件数の制限は10,000件となります。10,000件以上をさかのぼって確認したい場合は、kibanaで日時フィルタで絞るなどしてご確認ください。
  • 管理コンソールから設定するフィールドについてはシングルバイトを利用してください。ダブルバイトを利用した場合、プロファイルの設定やCSVでのエクスポート/インポート時に文字化けする場合があります。
  • ユーザ認証を行わない場合、セッション数のカウントが正しく行われない問題が発生しています。この問題は現在調査中です。
  • ホワイト定義のサイトにアクセスした際に、ホワイトサイトに含まれる別ドメインはShieldアクセスになりますが、そのログの出力が適切に行われません。
  • 20.07から20.10へのバージョンアップ時は、「6.3.3 スクリプトの差し替え 」を参照し、shield-update.sh と shield-stop.sh を最新版に差し替えて、アップデートを実施してください。shield-update.sh と shield-stop.sh が古いバージョンのままで 20.10へアップデートを行うと、Shieldサービスが起動に失敗する場合があります。
  • Shieldの設定が再起動直後にデフォルトに戻る場合があります。この問題については現在メーカにて調査中となります。
  • 外部サイトの閲覧に時間がかかる場合があります。この問題はアシストでは未リリースの20.11で修正として含まれており、21.01でも修正されております。本事象に遭遇した場合は、21.01へのバージョンアップをお願いします。
  • IE11の互換表示設定を変更すると、Shieldされない動作となります。
  • レポート参照で認証を求められるようになり以下のレポートが参照できません。この問題は今後のバージョンで修正予定となります。
    • レポートの[システム]
    • レポートの[Advanced]

  • Dockerログが肥大化することでShieldのサービス起動等ができなくなる可能性があるためDockerログサイズを変更することを強く推奨します。変更手順については こちら を参照ください。

  • 2022年6月15日に発生した Ericom Shieldオンプレミス環境における障害事象(Ericom Shieldで利用している証明書の有効期限切に伴うブラウザがアクセス不可になる事象)については20.07もしくは20.10においてFARMの証明書を使用し通信します。そのFARMの証明書期限である2022年6月15日を超過したため、当該事象が発生しました。以下の対応をお願いします。証明書のリストアを実施することで、FARMの証明書が再作成され、再作成日から2年間有効な証明書が作成されます。

      【対応手順】

      1. Shield管理コンソールにログインし、[設定] - [SSL] を選択します。

      2. 「Shield のデフォルト証明書をリストアする」の右側ある、「証明書のリストア」を押下します。

      【作業時の注意事項】

      お客様のEricom Shieldのシステム構成において、Ericom Shieldの上位プロキシサーバが存在し、そのサーバ証明書をEricom Shieldへインポートしてご使用されている環境においては、上位プロキシの証明書の再インポートが必要となります。

      【ご案内】

      メーカーサポートが終了しているバージョンとなりますため、バージョンアップを推奨します。

      対象バージョンをご利用の環境へのアナウンスとして、証明書の有効期限となる6か月前より弊社技術情報配信にて注意喚起のご案内をいたします。また、証明書期限の仕様につきましては、マニュアル、FAQへの追記を行い周知徹底いたします。開発元であるEricom Software社にて調査を行い、Ericom Shieldでブラウジング時に使用する証明書、及び期限制約のある動作仕様については、マニュアルに記載されているもの以外では今回のご報告の対象以外に該当するものはないことを確認しております。

サポート制限

  • Windows 7 はMicrosoftのサポート終了に伴い、はクライアントとしてサポートされなくなりました。
  • 下記はテクニカルプレビューによる限定公開です。不具合がある場合があるため、本番環境での正式利用はサポートできませんのでご注意ください。
    • IEモード
    • オートフィル
    • クリスタルレンダリング
    • オリジナルファイルの取得
  • 下記は日本では提供準備中のため、本番環境での正式利用はサポートできませんのでご注意ください。
    • Votiro Namedポリシーの利用
    • Rancherサーバの冗長化構成
  • 下記は日本では提供の予定がありません。サポートできませんのでご注意ください。
    • RHEL へのインストール
    • Check Point SandBlast Cloud とのCDR連携