リリース 1.17.0 では、[概要 (Overview)] ページが改善され、印刷用に自動的にフォーマットされるようになりました。

Adobe Acrobat Reader で開いたレポートの例を次に示します。

CASB、Web アプリケーション、および DLP ルール ウィザード、また、[SaaS ヘッダー例外 (SaaS Header Exceptions)] および [企業ゲートウェイ IP アドレス (Corporate Gateway IPs)] ページでは、送信の進行中に [送信 (Submit)] ボタンを素早くクリックすると、フォームが複数回送信される場合があります。この影響は、ネットワーク接続が遅い場合により顕著になります。

この問題は、[Cloud Web Security] > [設定 (Configure)] > [SSL 証明書 (SSL Certificate)] に移動し、このページの [証明書のダウンロード (Download Certificate)] ボタンのいずれかをクリックすると発生する可能性があります。

 ログのエクスポート機能を使用すると、Cloud Web Security アクティビティに関するほぼリアルタイムのログをカスタマーが制御する SIEM（セキュリティ情報およびイベント管理）エンドポイントに転送して、ストレージと分析を行うことができます。

詳細については、Cloud Web Security ドキュメントの「ログのエクスポート」セクションを参照してください。

Cloud Web Security には、新しい [監視 (Monitor)] > [概要 (Overview)] ページが導入されました。このダッシュボードは、重要な情報を 1 つのページにすっきりとアクセスしやすい方法で表示すると同時に、各データ カテゴリのより詳細な情報をユーザーに示します。一番上のグラフは、設定された期間における Cloud Web Security での [実行されたアクション (Actions Taken)] とそのカスタマーの現在の [ルールの分布 (Rules Distribution)] をユーザーに提供します。

ユーザーはさらにスクロールして、[アクセスしたトップの Web サイト (Top Websites Visited)]、[トップの SaaS アプリケーション (Top SaaS Applications)]、[脅威の内訳 (Threat Breakdown)]、および [ユーザーの内訳 (User Breakdown)] を一目で確認できるグラフを表示できます。

複数項目の入力フィールドが使用されているタグ、ドメイン、メール アドレス、および同様の項目を設定する場合、カンマ区切りのリストを追加することは時間を節約する一般的な方法です。この問題では、ユーザー インターフェイスでカンマが無視され、リストには 1 つの項目のみが表示されます。たとえば、Web セキュリティ ルールのタグのリストを貼り付けた場合、結果は単一のタグになります。

CWS ユーザー インターフェイスでさまざまなリストやタグに選択を追加する場合、複数項目の入力フィールドではキーボードのフォーカスや操作が許可されません。これは、多くの場合、タグ、ドメイン、メール アドレス、またはその他の同様の項目を入力するために使用されます。

たとえば、[宛先の選択 (Select Destinations)] 画面で、キーボードを使用して、この画面内を移動したり、複数の [カテゴリ (Categories)] を選択することができません。

[URL フィルタリング (URL Filtering)] ルールを編集するときに、最後の手順で [更新 (Update)] をすばやく複数回クリックすると、ルールの内容が破損する可能性があります。破損すると、ユーザーはルールとその内容を再作成する必要があります。

ユーザー インターフェイスは、ユーザーがカテゴリ タイプを [ファイル タイプ (File Type)] と [ファイル ハッシュ (File Hash)] 間で切り替えた場合にのみ、[コンテンツ インスペクション (Content Inspection)] のポリシー アクションをリセットする必要があります。ただし、ユーザーがファイルのタイプを [検査 (Inspect)] に変更すると、ユーザー インターフェイスもポリシー アクションをリセットし、ユーザーはポリシー アクションを手動で目的の値にリセットする必要があります。

ユーザーが SAML 詳細デバッグを有効にすると、無効にすることはできません。さらに、詳細デバッグを有効にしてから 2 時間後、状態は自動的に [無効/いいえ (disabled/No)] に設定されるはずですが、[有効/はい (enabled/Yes)] のままです。

たとえば、ユーザーが同じ企業 Gateway を 2 回目に追加しようとすると、このアクションで API によるエラーがトリガされますが、ユーザー インターフェイスにエラー通知が表示されません。

ユーザーがキーボード ナビゲーションによってユーザー インターフェイス間を移動する場合、ポップアップ表示されるサインポスト コンテンツにフォーカスしたりスクロールしたりすることができません。

CASB アプリケーション アイコンがユーザー インターフェイスの CASB ルールの設定ダイアログおよび [CASB アプリケーション (CASB Applications)] ページにロードされません。

Web アプリケーション ルール グリッドに宛先ドメインが表示されず、代わりに [任意 (Any)] と表示されます。

[アップロード (Uploads)] オプションと [アップロードとダウンロード (Uploads and Downloads)] オプションのファイル タイプ選択メニューのみが表示されます。これらのファイル タイプのオプションは、[ダウンロード (Download)] タイプでは非表示になります。

すべての Cloud Web Security ポリシーは、デフォルトの動作を示す編集不可の一連のルールで始まります。これは通常 [許可 (Allow)] ですが、コンテンツ インスペクションの場合、デフォルトの動作は [クリーンとしてマーク (Mark as Clean)] ではなく [検査 (Inspect)] にする必要があります。

21 個を超えるポリシー ルールが追加されると、ドラッグ アンド ドロップを使用して 2 ページ目以降でルールの順序を変更したり、2 ページ目以降から最初のページにルールを移動したりしようとすると失敗します。

さらに、[SaaS ヘッダー (SaaS Header)]、[CASB]、[DLP]、[Web アプリケーション (Web Application)]、または [Web セキュリティ (Web Security)] ルールの 2 ページ目以降で、1 つ以上のルールを移動しようとすると、ルールは一時的に正しく並べ替えられて表示されますが、更新後に元の順序に戻ります。

ユーザーは、最初のページに移動する単一のルールに対してこの問題を回避できます。それには、ルールを削除して再度追加し、最後のルール作成ウィザード ページで「リストの上部」または「リストの下部」を指定します。または、ルール リストの順序を変更するには、Orchestrator ユーザー インターフェイスの代わりに API 呼び出しを使用します。

CASB コントロールの [検索 (Search)] コントロールをリストアする唯一の方法は、[ブラウザ アクション (Browser Action)] の [ブロック (Block)] を選択して、すべてのトグルをオフに切り替えることです。次に、もう一度 [ブロック (Block)] を切り替えて、すべての Instagram ルールを許可します。これにより、個々のコントロールの切り替えが機能しない場合に、[検索 (Search)] コントロールがリストアされます。

 セキュリティ ポリシー ルール画面（[SSL インスペクション (SSL Inspection)] など）で、Tab キーを使用して既存のルールの名前にフォーカスすると、ブラウザのフォーカスはルール名をスキップします。時間を選択する唯一の方法はマウス/タッチパッドを使用することです。

スクリーン リーダーまたはアクセシビリティ ツールを使用すると、ユーザーは、「メイン」のロールを持つページの部分を特定するのが難しい場合があります。これは、その部分を指すヘッダーやバナーがないためです。

スクリーン リーダーまたはアクセシビリティ ツールを使用して左側のナビゲーションの項目にフォーカスすると、表示されるキャプションが混乱し、不要なアナウンスが発生しました。

Cloud Web Security では、[スケジュール (Schedule)] 機能を使用して、指定した期間内にのみ一部の [URL フィルタリング (URL Filtering)] ルールを適用できるようになりました。この機能は、[URL フィルタリング (URL Filtering)] タイプを使用して Web セキュリティ ルールを設定するときに、[アクション、ログ、およびスケジュール (Action, Log and Schedule)] セクションに追加されます。

スケジュールには、URL フィルタリング ルールに対して 2 つの [スケジュール タイプ (Schedule Type)] オプションがあります：[定期 (Periodic)] および [ワンタイム (One Time)]。

[定期 (Periodic)] オプションを使用すると、URL フィルタリング ルールがアクティブになる週単位のローテーション スケジュールを設定できます。この定期的なスケジュールは、グローバル タイム ゾーン、曜日、および 1 つ以上の開始および終了期間に基づいています。

[ワンタイム (One Time)] オプションでは、ルールがアクティブになる開始日時と有効期限の日時を持つ単一の時間ブロックを指定するか、ルールが無期限にアクティブになる開始日時を指定します。

詳細については、『Cloud Web Security ガイド』の「セキュリティ ポリシーの設定 > Web セキュリティ ルールの設定 > URL フィルタリング」のドキュメントを参照してください。

この問題は、同じルール内で 2 つの宛先ドメインが重複している場合にも発生します。このエラーはあいまいで、ルールの検証を妨げる設定の問題のトラブルシューティングに関してはユーザーにとって役に立ちません。ユーザーができることは、SSL インスペクション ルール内で重複するドメイン、IP アドレス、CIDR、または IP アドレス範囲（クイック例外ルールの内容を含む）を確認し、1 つのルールを除くすべてのルールからそれらを削除することだけです。現在、競合している送信元または宛先、またはルール自体に重複があるかどうかを示すエラーが表示されるようになりました。

Cloud Web Security は、手動で設定されたユーザーやグループをクリアしませんでした。これを修正する唯一の方法は、[すべてのユーザーおよびグループ (All Users and Groups)] をオフにして、すべてのユーザーとグループを手動で削除してから、[すべてのユーザーおよびグループ (All Users and Groups)] を再度オンにすることでした。

無効なルールを持つ SSL ルールは、ユーザーが保存しようとすると拒否されます。問題は、ユーザーがプロセスの最後まで行き着かなくても SSL ルールの IP アドレス、IP CIDR、またはドメインが無効であることを検出できる必要があるということです。Orchestrator は、SSL ルール ウィザードを使用した SSL ルールの編集手順中にユーザーにアラートを送信する必要があります。

DLP 辞書と DLP 監査者のフィルタが英語以外の言語でローカライズされませんでした。この修正により、文字列フィルタがチェックボックス フィルタにアップグレードされ、ローカライズ言語の問題が修正されるだけでなく、ユーザーはこれらの 2 つのセクションを簡単にフィルタリングできるようになりました。

以前は、ユーザーが URL フィルタリング ルールを含む Web セキュリティ ルールを設定する場合、ドメイン別にフィルタリングするときのオプションは静的ドメイン リストの 1 つだけでした。これは、Orchestrator ユーザー インタフェースで手動で設定および維持する必要がありました。ドメインの数が多い場合、またはそのリストが頻繁に変更される場合、このオプションは理想的ではありませんでした。リリース v1.12.0 以降では、ドメインのフィルタリング時に追加のオプション、動的ドメイン リストを使用できるようになりました。

このオプションの場合、Cloud Web Security は、ユーザーが選択した場所にリモートで保存される FQDN 形式のドメインのテキスト リストを参照します。この場所は、サービスからパブリックにアクセスできる必要があります。このオプションの利点は、多数のドメインを含むドメイン リストを作成でき、簡単に編集および更新できることです。Cloud Web Security は動的ドメイン リストを 30 秒ごとから最大 24 時間ごとの間隔でチェックするように設定できます。

詳細については、『VMware Cloud Web Security 設定ガイド』のWeb セキュリティ ルールの設定 > URL フィルタリングのドキュメントを参照してください。

SaaS ヘッダーの制限機能は Cloud Web Security のすべてのユーザーが使用できる必要がありますが、標準ライセンスを持つユーザーが [SaaS ヘッダーの制限 (SaaS Header Restrictions)] リンクをクリックすると、意図したページではなく [コンテンツ インスペクション (Content Inspection)] ページに移動します。この問題は、詳細ライセンスのユーザーでは発生しません。

何も変更していない場合でも、Orchestrator ユーザー インターフェイスは変更を保存するかどうかをユーザーに尋ねるため、ユーザーに不要な混乱を引き起こします。

従来、企業はアクセスを管理する際にドメイン名または IP アドレスを制限します。このアプローチは、サービスとしてのソフトウェア (SaaS) アプリケーションがパブリック クラウドでホストされ、共有ドメイン名で実行されている環境では失敗します。たとえば、企業が Office 365 を使用している場合は、outlook.office.com や login.microsoftonline.com などのドメイン名を使用します。Microsoft の例では、これらのアドレスをブロックすると、単にユーザーを承認された ID とリソースに制限するのではなく、ユーザーは Web 上の Outlook に完全にアクセスできなくなります。

この問題のソリューションはテナント アクセスを制限することです。Cloud Web Security は、[SaaS ヘッダーの制限 (SaaS Header Restriction)] 機能を使用してこれを実現します。この機能により、管理者は Office 365 や G Suite などの SaaS サービス内でテナント制限ポリシーを適用できます。たとえば、すべての従業員に対して Office 365 企業アカウントへのアクセスを許可し、個人アカウントへのアクセスを禁止することができます。これらの制限は、許可されたテナントを指定する HTTP ヘッダーの挿入によって許可されます。

この機能は、[エンタープライズ設定 (Enterprise Settings)] の [Cloud Web Security] > [設定 (Configure)] ページに追加されています。

カスタマーは、次の 6 つの事前定義済みアプリケーションのいずれかを選択して、SaaS ヘッダー ルールを設定できます。Office 365 - Enterprise、Office 365 - Consumer、G Suite、Slack、YouTube、Dropbox。これらの各事前定義済みアプリケーションには、制限されたドメインやヘッダーなど、さまざまなレベルの詳細が含まれています。アプリケーションによっては、ルールを完成させるために追加の入力が必要になる場合があります。

カスタマーは、アプリケーションがヘッダーを介したテナント制限をサポートしていると想定して、カスタム アプリケーションを作成することもできます。

たとえば、[セキュリティ ポリシー (Security Policies)] というメニュー用語の翻訳は、正しくは [Directivas de seguridad (Security Policies)] と表示されるべきですが、[Directivas De Seguridad (Security Policies)] と表示されます。実際に、英語のメニュー項目が 1 つの単語で、翻訳された項目が複数の単語になる場合、Orchestrator は、正しくはすべて小文字で表示すべきなのですが、追加の単語の先頭を大文字で表示します。

ユーザー インターフェイスは、未保存の変更についてのフッターの高さを考慮せず、小さな Web ブラウザでスクロールするため、このフッターによってそれぞれのページの他のコンテンツが見えなくなります。

カスタマーは、DLP 処理が Web セキュリティ ルール処理に先行するという誤った印象を受けることがありますが、そうではありません。修正バージョンでは、[DLP] タブが最後に表示され、処理フローの実際の場所を表しています。

SSL インスペクションの [クイック例外 (Quick Exception)] ボタンが英語以外の言語に翻訳されている場合、ユーザーはボタンの外側の端をクリックできますが、結果を得ることはできません。修正バージョンでは、マウス カーソルの場所に関係なく、[クイック例外 (Quick Exception)] ボタンを完全にクリックできるようになりました。

バージョン 11.1.1 以降では、Cloud Web Security ユーザー インターフェイスのサイド ナビゲーション メニューに次の変更が加わりました。

• 新しいセクション：ポリシーの設定 (Policy Settings)

• [CASB] および [DLP] を [ポリシーの設定 (Policy Settings)] に移動しました

• [インスペクション エンジン (Inspection Engine)] を [コンテンツ インスペクション (Content Inspection)] に名前変更し、[ポリシーの設定 (Policy Settings)] に移動しました

• セクション [証明書 (Certificates)] を削除しました

• [認証 (Authentication)] を [ID プロバイダ (Identity Provider)] に名前変更し、[エンタープライズ設定 (Enterprise Settings)] に移動しました

• [SSL 終端 (SSL Termination)] を [SSL 証明書 (SSL Certificate)] に名前変更し、[エンタープライズ設定 (Enterprise Settings)] に移動しました

• [企業ゲートウェイ (Corporate Gateway)] を [企業ゲートウェイ IP アドレス (Corporate Gateway IPs)] に名前変更しました

ユーザーは、ポート値が同じで宛先 IP アドレスが別の 2 つの異なる [非標準の Web ポート (Non-Standard Web Port)] ルールの設定が必要になる場合があります。リリース 11.1.1 では、ユーザーはこれが可能です。

カスタマーは、コンテンツまたはユーザーの地理的なリージョンに基づいてインターネット トラフィックをブロックまたは許可できるようになりました。この機能は [設定 (Configure)] > [セキュリティ ポリシー (Security Policies)] > [Web セキュリティ (Web Security)] セクションに追加され、[地理ベースのフィルタリング (Geo-Based Filtering)] タブをクリックすると使用できます。

[地理ベースのフィルタリング (Geo-Based Filtering)] ルールを設定するときに、ユーザーはルールを適用するユーザーとグループを指定し、251 の国/地域のリストから選択し、[不明な国/地域 (Unknown Countries)]、[匿名プロキシ (Anonymous Proxy)]、および [サテライト プロバイダ (Satellite Provider)] トラフィックの追加オプションを選択して、ユーザーがルールをバイパスできないようにすることができます。

ユーザーが [監視 (Monitor)] ページの情報（Web ログや DLP ログなど）を更新する場合、Orchestrator のページの下部に [更新 (Refresh)] ボタンが表示されます。

ただし、ユーザーが [更新 (Refresh)] をクリックしても、Orchestrator コンポーネントの根本的な変更が原因でデータが更新されません。

症状：CASB は Google ドライブの [アップロード (Upload)] および [ダウンロード (Download)] 制御オプションのみをサポートするため、バージョン 1.11.0 以降では [作成 (Create)] の制御が削除されます。

CASB では Telegram アプリケーションはサポートされなくなり、対応する CASB ルールを設定するオプションはこのリリースで削除されました。

カスタマーが Telegram を [宛先アプリケーション (Destination Application)] として含む既存の CASB ルールを使用していて、Cloud Web Security のバージョンを 1.11.0 以降にアップグレードする場合、ルールが適用されなくなるため、そのアプリケーションを削除する必要があります。

以降のリリースでは、Cloud Web Security はすべての CASB ルールから Telegram アプリケーションを自動的に削除し、このアクションをイベントとしてログに記録します。

VMware Cloud Web Security では、セキュリティ ポリシーによってユーザーが Web サイトまたはクラウド アプリケーションにアクセスできないようにブロックされると、デフォルトですべてのユーザーに VMware ブランドのブロック ページが表示されます。

カスタマイズ可能なブロック ページ機能を使用すると、ユーザーは自分のブランドのブロック ページを作成およびカスタマイズして、トラフィック（Web またはデータ漏洩防止トラフィック）がブロックされたときにユーザーに表示できます。Orchestrator の [設定 (Configure)] > [ページのカスタマイズ (Page Customization)] セクションを使用して、Cloud Web Security 管理者は次の項目をカスタマイズできます。

• 設定されたセキュリティ ポリシーに違反する HTTP 要求またはファイル アップロードに応答するために VMware Cloud が使用するブロック ページ。

• ユーザーが設定済みの DLP ルールに違反するファイルをアップロードしようとしたときに VMware Cloud が返すブロック ページ。

カスタムのブロック ページの設定方法の詳細については、ページのカスタマイズを参照してください。

データ漏洩防止 (DLP) ルールの作成時に、「最大ファイル サイズ (Maximum File Size)」ツールチップに誤った情報が表示されることがあります。ツールチップには、「アップロードされたファイル サイズが指定された値を超えている場合、ファイルはドロップされ、監査者に通知されます (If the uploaded file size is more than the specified value, the file is dropped, and auditor is informed)」と表示されますが、これは誤りです。この問題はツールチップを「アップロードされたファイル サイズが指定された値を超えていても、ファイルは DLP によって検査されず、そのまま許可されます (If the uploaded file size is more than the specified value, the file is not inspected by DLP and is allowed through)」に書き換えることで解決されました。

Cloud Web Security の Web ログには、「脅威のタイプ (Threat Type)」のみが含まれ、リスクの詳細は表示されません。Web トラフィックを監視するユーザーの機能を強化するために、特定された「脅威のタイプ (Threat Type)」に加えて脆弱性のリスクの詳細も表示する必要があります。

ブラウザ以外の Web アプリケーションでブラウザ トラフィックを検査しているときに、古いカスタマーがブラウザ以外の Web アプリケーションのセキュリティ ポリシー ルールを発行すると、エラーが表示されることがあります。この問題は、サポートされているブラウザにデフォルト値が設定されていないことが原因です。この問題は、新しいカスタマーには発生しません。

以前は、ユーザーが Chrome、Edge、Firefox、Safari などのブラウザベースの Web アプリケーションを検査するように CWS セキュリティ ポリシー ルールを設定できましたが、このルールは Slack や Dropbox などの非ブラウザ Web アプリケーションには適用されませんでした。

リリース 1.10.0 より、ユーザーは、非ブラウザ Web アプリケーションでのブラウザ トラフィックを検査するルールを設定するオプションを使用できます。

ユーザーは、非ブラウザ Web アプリケーションのトラフィックに関するルールを表示、追加、および削除することができます。非ブラウザ Web アプリケーションのルールを設定する手順は次のとおりです。

1. [Cloud Web Security] > [設定 (Configure)] > [セキュリティ ポリシー (Security Policy)] の順に移動し、既存のポリシーを選択して [Web アプリケーション (Web Applications)] タブをクリックします。

   
   

2. [+ ルールの追加 (+ ADD RULE)] をクリックし、送信元のタイプ、宛先のタイプ、要求とファイルのタイプ、アクションとログの詳細など、必要な詳細情報をすべて入力して、新しい非ブラウザ Web アプリケーションのルールを作成します。

   
   

   フィールド	説明
   送信元 (Source)	IP アドレス/IP アドレス範囲、ユーザー エージェント、またはブラウザに基づいて、送信元を選択します。 注： 選択できる送信元のタイプは、ルールごとに 1 つのみです。
   宛先 (Destination)	ドメイン、IP アドレス/IP アドレス範囲、URL、カテゴリ、スレッド、または地理的な場所に基づいて宛先を選択します。 注： 選択できる宛先のタイプは、ルールごとに 1 つのみです。
   要求とファイル タイプ (Request And File Type)	要求タイプ（アップロード、ダウンロード、または両方）と、ルールを適用するファイル タイプを選択します。アップロードの要求タイプに対して、HTTP メソッド（POST、PUT）を選択することもできます。必要に応じて、アクションを適用するための最小ファイル サイズを選択できます。
   アクションとログ (Action And Log)	ルール条件が満たされている場合に実行するアクション（許可または拒否）を選択します。必要に応じて、[キャプチャ ログ (Capture Logs)] トグル ボタンをオンにして、このルールのログを収集できます。
   名前、理由、およびタグ (Name, Reason and Tags)	地理ベースのルールの名前、タグ、理由、位置を設定します。ルールに対して、必ず一意の名前を指定します。必要に応じて、ルールの理由とタグを追加できます。これらは、並べ替えとフィルタリングに使用できます。 注： [位置 (Position)] フィールドでは、Web アプリケーション ルールのリスト上でのルールの位置を指定します。

3. [終了 (Finish)] をクリックすると、新しく作成した Web アプリケーション ルールが [Web アプリケーション (Web Application)] リストに表示されます。 

   
   

4. 新しいセキュリティ ポリシー ルールを有効にするには、ルールを選択し、画面の右上隅にある [公開 (Publish)] ボタンをクリックします。

5. セキュリティ ポリシーを公開すると、ユーザーはセキュリティ ポリシーを適用する準備が整います。

以前のバージョンでは、VMware Cloud Web Security は標準の Web ポート 80 および 443 のトラフィックを検査できました。リリース 1.9.1 では、非標準の Web ポートでのブラウザ トラフィック (HTTP/HTTPS) を検査することが可能です。

ユーザーは、[Cloud Web Security] > [設定 (Configure)] > [エンタープライズ設定 (Enterprise Settings)] > [非標準の Web ポート (Non-Standard Web Ports)] の順に移動して、ポート ルールを表示、追加、および削除できます。

非標準の Web ポートでのトラフィックを許可して検査するには、ポート番号を入力します。行の [+] ボタンをクリックして、非標準の Web ポートをさらに追加します。

ユーザーは、関連付けられた [-] ボタンをクリックして、既存のルールを編集したり、ルールを削除したりできます。編集後、[変更の保存 (Save Changes)] ボタンをクリックします。

脅威カテゴリまたはコンテンツ カテゴリをブロックする Web セキュリティ ルールがある場合、これらのカテゴリに一致するドメインにアクセスすると、Web サイトがブロックされます。ただし、Web ページ上のリソースとして同じドメインにアクセスする場合（ファイルをダウンロードするリンクをクリックするなど）、要求はブロックされません。

コンテンツ インスペクション ルールに一致する Web ログでは、デフォルトのルールは一致していると表示しますが、SASE Orchestrator で作成および設定されたルールの実際の名前が表示されません。

YouTube のダウンロードをブロックまたは許可する CASB ルールがある場合、ルールは正しく適用されますが、Web ログには「ファイルのダウンロード (File download)」ではなく「ファイルのアップロード (File Upload)」と表示され、管理者はネットワーク上のアクティビティを評価することができません。

すべてのファイル タイプのアップロードをブロックするコンテンツ フィルタリング ルールがある場合、このルールは、https://login.microsoftonline.com/ からログインする必要がある Microsoft アプリケーションへのログインをブロックします。

ユーザーが「ブロック」ルールを設定した場合に、次の Microsoft アプリケーションに対する CASB 制御が想定どおりに機能しません。ユーザーが該当するいずれかのアクションを試みると、それらのアクションはブロックされず、ユーザーはアクションを正常に完了できます。

• Microsoft Teams - ファイルのアップロード、作成、削除

• Microsoft Outlook - ファイルのアップロード、ダウンロード、削除

• Microsoft OneDrive - 削除

• Microsoft OneNote - ダウンロード

Cloud Web Security ポリシーが適用されているときにユーザーが特定の Web サイトにアクセスすると、クロスオリジン リソース共有 (CORS) の問題が原因でページがロードされない場合があります。ユーザーに対しては、「xxxx は CORS ポリシーによってブロックされています。「Access-Control-Allow-Origin」ヘッダーに、複数の値「*」が含まれています (xxxx has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*’)」というようなエラーがコンソール ログに表示されます。

OneDrive のすべてのアプリケーション制御をブロックする CASB ルールがある場合、CASB ルールは SharePoint のアクションをブロックしません。

Google Drive でアップロードとダウンロードがブロックされているのに、誰でも Google Drive にフォルダを作成できてしまいます。

リリース 1.9.1 以降では、ユーザーはデフォルトで Google Drive にフォルダを作成できなくなり、このアプリケーションについて必要であった設定オプションもなくなりました。

以前のバージョンの Cloud Web Security では、ユーザーが一般的な Web アプリケーションの検査をバイパスするルールを作成する必要がある場合、SSL インスペクション ルールを手動で作成する必要がありました。簡単な SSL バイパス機能が追加されたことで、ユーザーはこれらの SSL インスペクション ルールを迅速に作成できます。

新しい機能は、[Cloud Web Security] > [設定 (Configure)] > [セキュリティ ポリシー (Security Policies)] の [SSL インスペクション (SSL Inspection)] タブに、クイック例外 (Quick Exception) ボタンとして表示されます。

[クイック例外を追加 (Add Quick Exception)] をクリックすると、[クイック例外 (Quick Exceptions)] 設定画面が開くので、SSL インスペクションから除外する 1 つ以上のアプリケーションを選択します。アプリケーションを選択すると、そのアプリケーションに関連付けられているすべての URL が SSL インスペクションから除外されます。

[クイック例外 (Quick Exception)] オプションを使用すると、1 つのルールが作成され、追加のルールは作成できません。このルールは常に [クイック例外ルール (Quick Exception Rule)] と呼ばれ、[クイック例外 (Quick Exception)] ウィザードで名前を変更することはできません。

このルールは常にグリッドの最後から 2 番目のルールとなり、[クイック例外ルール (Quick Exception Rule)] の名前をクリックすると素早くアクセスできます。クイック例外ルールを追加すると、[クイック例外を追加 (Add Quick Exception)] メニュー オプションが [クイック例外 (Quick Exception)] に変わり、編集可能な既存の [クイック例外ルール (Quick Exception Rule)] があり、このタイプのルールを追加することができないことを示します。

• [リージョン (Region)] フィールドは、Web イベントにどの SASE PoP が使用されていたかを示します。これは、イベントが発生した部分のワールドをローカライズするのに役立ちます。

• [ユーザー グループ (User Group)] フィールドは、SAML 設定が使用されている SAML ユーザー グループを示します。

これら 2 つのフィールドを組み合わせることで、Web トラフィックを監視する機能が強化されます。

悪意のあるファイルのダウンロードをブロックするようにポリシーが設定されていても、それらのファイルがダウンロードされる場合があります。

パスワード保護されたファイルを任意の Web サイトからダウンロードする場合、パスワードの入力を求めるプロンプトが表示される必要があります。これは、コンテンツ フィルタリングのデフォルトのアクションです。しかし、OneDrive と Dropbox では、パスワードの入力を求めずにファイルのダウンロードがブロックされ、ファイルをダウンロードできません。

YouTube のダウンロードをブロックまたは許可する CASB ルールがある場合、ルールは正しく適用されますが、Web ログには「ファイルのダウンロード」ではなく「ファイルのアップロード」と表示され、管理者はネットワーク上のアクティビティを評価することができません。

すべてのアプリケーション制御をブロックする一方でブラウザのアクションを許可する CASB ルールを作成して適用し、OneDrive にログインして、ブロックする必要があるすべてのアクションを試行すると、どのアクションもブロックされません。ブロックされないアクションには、フォルダの作成と削除が含まれます。

Microsoft O365 Outlook に対してブロック、削除、ダウンロード、アップロード、または検索を行うための CASB ルールがあり、ユーザーが Microsoft O365 Outlook でこれらのアクションを試みると、いずれもブロックされません。

この問題では、Web 要求に対して実行されているポリシー ヘッダー（単なる識別コード）のみがログに表示され、どのポリシーが呼び出されているかは明示的に示されていません。使用されていたポリシーを特定できる唯一の方法は、ポリシー ヘッダーを取得し、[ネットワーク (Network)] タブを開いてポリシー ヘッダーをポリシー名にマッピングすることでした。

Microsoft O365 SharePoint または Microsoft Word へのアップロードおよびダウンロードをブロックする CASB ルールがあり、ユーザーが SharePoint との間で Word ファイルをアップロードまたはダウンロードしようとすると、アップロードとダウンロードのアクションがブロックされません。

VMware Cloud Web Security 機能の Web プロキシは、VMware SD-WAN や VMware Secure Access を必要とせずに Cloud Web Security サービスをスタンドアローンで使用できるように設計されています。手動による、またはプロキシ自動設定 (PAC) ファイルを介して自動で行われるネットワーク プロキシ設定をサポートできる最新のブラウザを使用しているデバイスでは、その Web トラフィックをセキュリティ検査のために Cloud Web Security サービスへリダイレクトできます。

リリース 1.6.1 では、バックアップとして保存できるセキュリティ ポリシーのクローンを作成する機能が導入されています。

この機能には、セキュリティ ポリシー内のさまざまなルール タイプのクローンを作成する機能も含まれています。例：SSL インスペクション、CASB、DLP、および Web セキュリティ。

Cloud Web Security ルールの作成時に、「その他のダウンロード」および「その他のドキュメント」というファイル カテゴリが表示されますが、影響する内容を明確に示していません。この問題は、「その他のダウンロード」を「その他のファイルとドキュメント」に変更し、「その他のドキュメント」を「さまざまなドキュメント」に変更してあいまいさを減らすことで解決されました。

ユーザーがアプリケーション「Mega」の CASB ルールを作成してアップロードとダウンロードの両方をブロックし、mega.io にログインしてファイルのアップロードまたはダウンロードを試みると、ファイルのアップロードは正しくブロックされますが、ダウンロードはブロックされません。

Gmail 添付ファイルのダウンロードをブロックするように CASB ルールが設定されているかどうかに関係なく、ユーザーが単に添付ファイルのダウンロード アイコンをクリックして Gmail 添付ファイルをダウンロードしようとすると、ダウンロードはブロックされ、ログは記録されません。この問題は、ユーザーが新しいタブで添付ファイルをダウンロードしようとした場合には発生しません。

マルウェア ファイルのアップロードとダウンロードをブロックするコンテンツ フィルタリング ルールがある場合、一部のファイルはブロックされ、一部のファイルはブロックされません。

ディクショナリに一致するテキスト入力をブロックする DLP ルールがあり、ディクショナリに一致するメッセージが Linkedin に送信された場合、そのメッセージはブロックされません。

YouTube のダウンロードをブロックする CASB ルールを作成しても、YouTube でビデオをダウンロードしようとすると、ダウンロードがブロックされません。

検索などのアクションをブロックする CASB ルールがある場合、アプリケーションの検索機能がブロックされます。ブラウザの URL に検索パラメータがあり、ページが更新された場合、検索結果はブロックされません。

「すべてのファイル」（すべての画像形式を含む）のダウンロードをブロックするコンテンツ フィルタリング ルールが JPEG のダウンロードをブロックしません。この修正を適用しない場合の回避策は、カスタムのファイル タイプ オプションを使用し、ブロックする必要があるファイル拡張子（JPEG など）を追加することです。

ファイル コンテンツが DLP ルールに一致しても、拡張子が .doc、.docx、.ppt、.pptx のファイルが G-Drive でブロックされません。

ユーザーは、URL フィルタリング ルールを使用してすべての脅威カテゴリをブロックするようにルールを設定することができますが、悪意があるサイトとして分類されるべき一部のサイトがブロックされません。

指定したグループのユーザーにのみ適用する必要があるセキュリティ ルールがある場合、そのルールが適用されません。その結果、グループ内のユーザーに適用されるべきすべてのルールが適用されません。

Microsoft Teams Web アプリケーションを閲覧することを許可するが、他のすべてのアクションをブロックする CASB 制御ポリシーは、ユーザーがコンテンツを投稿するのを阻止しません。

• 「すべてのドキュメント」をブロックするルールを適用すると、ドキュメントのアップロードがブロックされるだけでなく、ファイルおよびアーカイブのアップロードもブロックされます。

• 「すべてのファイル」をブロックするルールを適用すると、ファイルのアップロードがブロックされるだけでなく、ドキュメントおよびアーカイブのアップロードもブロックされます。

Orchestrator ユーザー インターフェイスには、リソース ログのオンとオフを切り替えて、関連するログをより適切に識別できるようにするオプションがありませんでした。

タブの無効化と非表示の方法が原因で、タブ コンポーネントが不正な状態になりました。

Orchestrator バックエンドに問題があるため、ユーザー インターフェイスで DLP 事前定義されたディクショナリを取得できません。この問題は、カスタマー定義のディクショナリには影響せず、適切にロードされます。

この CASB 機能が表示されない問題は、以下に影響します。

• [設定 (Configure)] > [CASB] メニュー項目とビュー。 

• [監視 (Monitor)] > [CASB 分析 (CASB Analysis)] メニュー項目とビュー。

• これらの特定のコンポーネントが使用する API。

Cloud Web Security サービスでユーザーがシングル サインオンを設定するときに発生する可能性のある問題は次のとおりです。

• [証明書 (Certificate)] ページではなくメインの [認証 (Authentication)] ページに証明書エラーが表示される。

• 無効な証明書を保存できる場合がある。

• 証明書を変更すると、認証フォームの他の値がリセットされることがある。

• 個々のフィールドに、検証メッセージがインラインで表示されない。

• [認証 (Authentication)] ページを保存すると、Orchestrator ユーザー インターフェイスに進行状況のスピナーが表示されない。

• [詳細デバッグ (Verbose Debugging)] ツールチップに、実際の時刻ではなく「t+2hrs」と表示される。•一部の言語で、[シングル サインオン (Single Sign-On)] トグル ラベルが複数の行にラップされる。

• [変更の保存 (Save Changes)] フッター レイアウトが短い画面で正しく表示されない。

上記のすべての問題は、#91054 の修正によって解決されました。

設定ウィザードと API は、SSL インスペクション ルールの送信元で CIDR IP アドレスを受け入れません。修正によりこの問題は解決されました。

この問題は、Cloud Web Security バックエンド サーバがウィザードの使用中に入力した設定値を拒否し、その結果、この検証エラーを受信すると [終了/更新 (Finish/Update)] ボタンが応答を停止するために発生します。

コンテンツ フィルタリング ルールは、ユーザーが [カテゴリ (Categories)] で [すべて (ALL)] も選択している場合、設定済みのドメインを上書きします。または、ユーザーが [カテゴリ (Categories)] に [なし (NONE)] を選択した場合、ウィザードはデフォルトでこの選択を「すべてのカテゴリ」と解釈するので、ここでもドメインは同様に考慮されませんでした。これは、コンテンツ フィルタリング ウィザードと API の問題が原因で発生します。ユーザーが 1 つ以上のカテゴリを設定すると、ドメインが考慮されます。

この修正が適用されていない Orchestrator では、ユーザーはドメインと一緒に特定のカテゴリを設定する必要があり、その後、Orchestrator はコンテンツ フィルタリングでドメインを考慮します。

CASB の可視性では、Orchestrator ユーザー インターフェイスで証明書がまだ有効のときに「期限切れ」として、実際に期限切れになったときに「更新済み」としてリストされる場合があります。もう 1 つの問題は、アプリケーションの起源が明らかに最近の場合でも、多くのアプリケーションで、[アプリケーションの詳細 (Application Details)] に「1970 年設立 (Founded in 1970)」と表示される点です。