5.5. アクセス「検査」ポリシーについて

5.5.1. 本ガイドについて

Shield Cloud 23.02以降では、アクセスポリシーとして「検査」が実装されました。

本ガイドでは、「検査」ポリシーについて解説いたします。なお、後述の「ダウンロードの検査」ポリシーで設定した場合の動作については、CDRサーバとしてShield Cloud標準のSasa GateScannerを利用した場合を前提としています。

5.5.2. 「検査」ポリシーについて

Shield Cloud 23.02以降では、下図の通りアクセスポリシー「検査」を設定することが可能となりました。「検査」を設定した場合、当該ドメインへのブラウジングのアクセスについてはShieldモードではなく、「許可」モードと同じ動作でのアクセスとなります。

  • 図1 ポリシー設定画面

    ../../_images/sc2302_inspectionpolicy01.jpg

Shield Cloud 23.01以前では、「許可」モードのドメインについては一部を除きファイルダウンロードの処理を行うことはできませんでしたが、Shield Cloud 23.02以降では「検査」ポリシーを設定することにより、「許可」モードのドメインであってもダウンロードファイルの処理を行うことができるようになりました。

「検査」ポリシーを設定したドメインにおいて、ダウンロードファイルの処理を行うためには、「ファイルダウンロードの検査」ポリシーを設定します。「ファイルダウンロードの検査」ポリシーで設定可能な値とその処理内容は次のとおりです。

  • 表 「ファイルダウンロードの検査」ポリシーの値とその処理内容
番号 処理内容
1 許可・検査なし CDR処理せず、そのままファイルをダウンロードします。
2 ブロック CDR処理せず、ファイルダウンロードをブロックします。
3 アンチウィルス アンチウィルスチェックを行い、問題なければファイルダウンロードが可能です。
4 プレビュー
ダウンロードするファイルがPDFへ変換できる場合は、PDFへ変換してダウンロードします。PDFへ変換できない場合は、エラーとなります。

エラーの例)
File Download Failed
Your file sample.xlsm has failed to scan by the file scanning platform.
[This file cannot be converted to PDF. File type is not supported.]
5 AV Only 5つのアンチウィルスエンジンでウィルスチェックを行い、問題なければファイルダウンロードが可能です。
6 Fast AV 2つのアンチウィルスエンジンでウィルスチェックを行い、問題なければファイルダウンロードが可能です。
7 True File 5つのアンチウィルスエンジンでウィルスチェックを行います。また、偽装ファイルチェックを行います。問題なければファイルダウンロードが可能です。
8 Full CDR 5つのアンチウィルスエンジンでウィルスチェックを行います。また、偽装ファイルチェックを行います。更に、コンテンツの無害化(CDR)処理を行います。問題なければファイルダウンロードが可能です。
9 File Restricted CDR 2つのアンチウィルスエンジンでウィルスチェックを行います。また、偽装ファイルチェックを行います。更に、コンテンツの無害化(CDR)処理を行います。問題なければファイルダウンロードが可能です。

5.5.3. 「検査」ポリシー時におけるファイルダウンロード時の動作について

「検査」ポリシーおよび「ファイルダウンロードの検査」ポリシーを設定したドメインにおいて、ファイルダウンロードを行った場合の動作は以下のとおりです。

例)

  • 「アクセス」ポリシーは「検査」を設定
  • 「ファイルダウンロードの検査」ポリシーは「Full CDR」を設定

  1. ユーザが上記ポリシーを設定したドメインへアクセスし、ファイルをダウンロードします。

    図2 ファイルダウンロードサンプルサイト

    ../../_images/sc2302_inspectionpolicy02.jpg

  2. htmlファイルがクライアント端末へダウンロードされます。そのhtmlファイルを開くと、下記例のように処理内容が確認できます。

    図3 htmlファイル上の表示例1

    ../../_images/sc2302_inspectionpolicy03.jpg

  3. 処理が完了し、問題なければ「Download」リンクがhtmlファイル内に生成されます。このリンクから、ファイルをダウンロードが可能です。

    図4 htmlファイル上の表示例2

    ../../_images/sc2302_inspectionpolicy04.jpg

アシストにて、「アクセス」ポリシーと「ファイルダウンロードの検査」ポリシーの組み合わせによるファイルダウンロードの動作について、下記資料にまとめています。 今後、下記資料と挙動が変わる可能性がありますので、参考としてご参照ください。

資料 : ポリシーの組み合わせによるファイルダウンロードの動作

5.5.4. その他

現時点では、下記制限事項がありますのでご留意ください。

  • 「アクセス」ポリシーが「検査」または「分離」、「ファイルダウンロードの検査」ポリシーが「プレビュー」の場合、ダウンロード対象ファイルをPDFファイルへ変換できない場合はプレビュー表示できません。ダウンロードもしくはエラーとなります。
  • 「アクセス」ポリシーが「検査」の場合、パスワード付きファイルは「ファイルダウンロードの検査」ポリシーのサポート対象外です。ファイルダウンロードはエラーとなります。(アンチウィルス以外)
  • 「アクセス」ポリシーが「検査」または「分離」、「ファイルダウンロードの検査」ポリシーが「True File」の場合、ダウンロード対象ファイルとしてマクロ付きエクセル(xlsm)などをダウンロードするとエラーとなります。(圧縮ファイル内にxlsmファイルが含まれる場合も同様)
  • Whatsapp Web、Telegram Web、Outlook Webなど、エンドツーエンドで暗号化されて送信されたダウンロードファイルについては、「アクセス」ポリシーが「検査」、「ファイルダウンロードの検査」ポリシーの処理対象外となります。
  • html、css、fonts、javascript、video、audio、imagesなどのダウンロードしたWebリソースファイルについては、「アクセス」ポリシーが「検査」、「ファイルダウンロードの検査」ポリシーの処理対象外となります。また、Webリソースファイル以外においてもMIMEタイプがbinaryやpemなどのファイルは処理対象外のファイルがあります。
    ※ 必要に応じて、Ericom社にて除外対象のMIMEタイプは更新されますので、最新の場外対象の情報についてご確認されたい場合は、弊社サポートセンターまでお問い合わせください。