https://csps.hitachi-solutions.co.jp/paloalto/ 日立ソリューションズ Palo Alto Networks社製品サポートサイト の更新情報を配信しています ja Hitachi Solutions, Ltd. 2021-2026. All rights reserved. 2026-03-06T00:00:00+09:00 pa-user@hitachi-solutions.com pa-user@hitachi-solutions.com 2021-07-21T00:00+09:00 1 dayly https://csps.hitachi-solutions.co.jp/paloalto/#N20260306 Threat and APP-IDを更新しました。]]> 2026-03-06T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/#N20260227 2026-02-27T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/#N20260220 ・Advanced DNS Security 機能を利用したサービス拒否(DoS)の脆弱性(CVE-2026-0229)についてのお知らせ（第2報）
Threat and APP-IDを更新しました。]]> 2026-02-20T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/news/information20260220.pdf ２０２６年２月２０日
お客様各位
株式会社日立ソリューションズ
Palo Alto Networks製品ユーザサポート

Advanced DNS Security機能を利用したサービス拒否(DoS)の脆弱性(CVE-2026-0229)
についてのお知らせ（第 2報）

平素は Palo Alto Networks製品ユーザサポートをご利用くださいまして誠にありがとう
ございます。この度、Palo Alto Networks社より Advanced DNS Security機能を利用した
サービス拒否(DoS)の脆弱性(CVE-2026-0229)についてのお知らせがアナウンスされまし
たので、以下の通りご連絡いたします。
※ 太字箇所は追記もしくは変更箇所となっております。

1. 概要
Advanced DNS Security 機能に存在するサービス拒否(DoS)の脆弱性により、攻撃者
が悪意のあるパケットを使用して PAN-OS ソフトウェアの再起動を実行できます。再
起動を繰り返し実行すると、ファイアウォールはメンテナンスモードに移行します。

2. 対象のお客様
下記の表で影響を受けるバージョンをご利用されているお客様。

表 1 対象 OSバージョン
OSバージョン 影響を受ける 影響を受けない
Cloud NGFW None All
PAN-OS 12.1 12.1.4未満 12.1.4以上
PAN-OS 11.2 11.2.10未満 11.2.10以上
PAN-OS 11.1 None All
PAN-OS 10.2 None All
Panorama None All
Prisma Access None All

3. 本脆弱性に該当する構成
本脆弱性の影響を受けるのは、以下の条件を満たす場合です。
・ ファイアウォールで Advanced DNS Securityが有効になっている
・ 「block」「sinkhole」「alert」のいずれかの値を実行するようにアクションが構成さ
れたスパイウェアプロファイルが設定されている

4. 脅威活動
Palo Alto Networks社は、本脆弱性を悪用した事例は認識しておりません。

5. 解決策
対象のお客様は、下記 OS バージョンへのアップグレードをご検討ください。

表 2 修正に対応している OSバージョン
OSバージョン 対象 OSバージョン 修正 OSバージョン
Cloud NGFW None All
PAN-OS 12.1 12.1.2～12.1.3 12.1.4以上
PAN-OS 11.2 11.2.0～11.2.9 11.2.10以上
PAN-OS 11.1 None All
PAN-OS 10.2 None All
Panorama None All
Prisma Access None All

6. その他特記事項
本トピックの詳細や最新情報については、下記の Palo Alto Networks 社ページも併
せてご参照ください。
https://security.paloaltonetworks.com/CVE-2026-0229
※ 参照には CSP アカウントを所有している必要があります。
なお、掲載されている以上の情報は開示されておりません。記載内容以上の情報につい
ては、弊社サポートではお答え致しかねますことを予めご了承ください。

以上
https://security.paloaltonetworks.com/CVE-2026-0229
]]> 2026-02-20T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/#N20260213 ・Advanced DNS Security 機能を利用したサービス拒否(DoS)の脆弱性(CVE-2026-0229)についてのお知らせ
・GlobalProtectを利用したサービス拒否(DoS)の脆弱性(CVE-2026-0227)についてのお知らせ（第2報）
アップグレードパスを更新しました。
Threat and APP-IDを更新しました。]]> 2026-02-13T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/news/information20260213_02.pdf ２０２６年２月１３日
お客様各位
株式会社日立ソリューションズ
Palo Alto Networks製品ユーザサポート

Advanced DNS Security機能を利用したサービス拒否(DoS)の脆弱性(CVE-2026-0229)
についてのお知らせ

平素は Palo Alto Networks製品ユーザサポートをご利用くださいまして誠にありがとう
ございます。この度、Palo Alto Networks社より Advanced DNS Security機能を利用した
サービス拒否(DoS)の脆弱性(CVE-2026-0229)についてのお知らせがアナウンスされまし
たので、以下の通りご連絡いたします。

1. 概要
Advanced DNS Security 機能に存在するサービス拒否(DoS)の脆弱性により、攻撃者
が悪意のあるパケットを使用して PAN-OS ソフトウェアの再起動を実行できます。再
起動を繰り返し実行すると、ファイアウォールはメンテナンスモードに移行します。

2. 対象のお客様
下記の表で影響を受けるバージョンをご利用されているお客様。

表 1 対象 OSバージョン
OSバージョン 影響を受ける 影響を受けない
Cloud NGFW None All
PAN-OS 12.1 12.1.4未満 12.1.4以上
PAN-OS 11.2 11.2.10未満 11.2.10以上
PAN-OS 11.1 None All
PAN-OS 10.2 None All
Prisma Access None All

3. 本脆弱性に該当する構成
本脆弱性の影響を受けるのは、以下の条件を満たす場合です。
・ ファイアウォールで Advanced DNS Securityが有効になっている
・ 「block」「sinkhole」「alert」のいずれかの値を実行するようにアクションが構成さ
れたスパイウェアプロファイルが設定されている


4. 脅威活動
Palo Alto Networks社は、本脆弱性を悪用した事例は認識しておりません。

5. 解決策
対象のお客様は、下記 OS バージョンへのアップグレードをご検討ください。

表 2 修正に対応している OSバージョン
OSバージョン 対象 OSバージョン 修正 OSバージョン
Cloud NGFW None All
PAN-OS 12.1 12.1.2～12.1.3 12.1.4以上
PAN-OS 11.2 11.2.0～11.2.9 11.2.10以上
PAN-OS 11.1 None All
PAN-OS 10.2 None All
Prisma Access None All

6. その他特記事項
本トピックの詳細や最新情報については、下記の Palo Alto Networks 社ページも併
せてご参照ください。
https://security.paloaltonetworks.com/CVE-2026-0229
※ 参照には CSP アカウントを所有している必要があります。
なお、掲載されている以上の情報は開示されておりません。記載内容以上の情報につい
ては、弊社サポートではお答え致しかねますことを予めご了承ください。

以上
https://security.paloaltonetworks.com/CVE-2026-0229
]]> 2026-02-13T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/news/information20260213_01.pdf ２０２６年２月１３日
お客様各位
株式会社日立ソリューションズ
Palo Alto Networks製品ユーザサポート

GlobalProtectを利用したサービス拒否(DoS)の脆弱性(CVE-2026-0227)について
のお知らせ（第 2報）

平素は Palo Alto Networks製品ユーザサポートをご利用くださいまして誠にありがとう
ございます。この度、Palo Alto Networks 社より GlobalProtect を利用したサービス拒否
(DoS)の脆弱性(CVE-2026-0227)についてのお知らせがアナウンスされましたので、以下の
通りご連絡いたします。
※ 太字箇所は追記もしくは変更箇所となっております。

1. 概要
PAN-OS ソフトウェアの脆弱性により、攻撃者がファイアウォールに対してサービス
拒否（DoS）攻撃を仕掛けることが可能です。この状態を繰り返し行うことで、PAN-
OSはメンテナンスモードに移行します。

2. 対象のお客様
下記の表で影響を受けるバージョンをご利用されているお客様。

表 1 対象 OSバージョン
OSバージョン 影響を受ける 影響を受けない
Cloud NGFW None All
PAN-OS 12.1 12.1.3-h3未満、12.1.4未満 12.1.3-h3以上、12.1.4以上
PAN-OS 11.2 11.2.4-h15未満、11.2.7-h8未
満、11.2.10-h2未満
11.2.4-h15以上、11.2.7-h8以
上、11.2.10-h2以上
PAN-OS 11.1 11.1.4-h27 未満、11.1.6-h23
未満、11.1.10-h9未満、11.1.13
未満
11.1.4-h27 以上、11.1.6-h23
以上、11.1.10-h9以上、11.1.13
以上
PAN-OS 10.2 10.2.7-h32未満、10.2.10-h31
未満、 10.2.13-h18 未満、
10.2.16-h6 未満、10.2.18-h1
未満
10.2.7-h32以上、10.2.10-h31
以上、 10.2.13-h18 以上、
10.2.16-h6 以上、10.2.18-h1
以上
PAN-OS 10.1 10.1.14-h20未満 10.1.14-h20以上
Prisma Access 11.2 11.2.7-h8未満*1 11.2.7-h8以上*1

Prisma Access 10.2 10.2.4-h43 未満*1、10.2.10-
h29未満*1
10.2.4-h43 以上*1、10.2.10-
h29以上*1
*1 Palo Alto Networks 社より、Prisma Access のアップグレードが全てのお客様環境
において正常に完了した旨、アナウンスがありました。

3. 本脆弱性に該当する構成
GlobalProtect ゲートウェイまたはポータルが有効になっている PAN-OS または
Prisma Access が影響を受けます。

4. 解決策
対象のお客様は、下記 OS バージョンへのアップグレードをご検討ください。

表 2 修正に対応している OSバージョン
OSバージョン 対象 OSバージョン 修正 OSバージョン
Cloud NGFW All None All
PAN-OS 12.1 12.1.2～12.1.3 12.1.4以上
PAN-OS 11.2 11.2.8～11.2.10 11.2.10-h2以上
11.2.5～11.2.7 11.2.7-h8または、11.2.10-h2以上
11.2.0～11.2.4 11.2.4-h15または、11.2.10-h2以上
PAN-OS 11.1 11.1.11～11.1.12 11.1.13以上
11.1.7～11.1.10 11.1.10-h9または、11.1.13以上
11.1.5～11.1.6 11.1.6-h23または、11.1.13以上
11.1.0～11.1.4 11.1.4-h27または、11.1.13以上
PAN-OS 10.2 10.2.17～10.2.18 10.2.18-h1以上
10.2.14～10.2.16 10.2.16-h6または、10.2.18-h1以上
10.2.11～10.2.13 10.2.13-h18または、10.2.18-h1以上
10.2.8～10.2.10 10.2.10-h31または、10.2.18-h1以上
10.2.0～10.2.7 10.2.7-h32または、10.2.18-h1以上
PAN-OS 10.1 10.1.0～10.1.14 10.1.14-h20以上
End-of-Life を迎え
た OSバ－ジョン
All サポートされている修正 OS バージ
ョンにアップグレードしてくださ
い。
Prisma Access 11.2 11.2.7-h8未満 11.2.7-h8以上*1
Prisma Access 10.2 10.2.10-h29未満 10.2.10-h29以上*1
*1 Palo Alto Networks社より、「Prisma Access のアップグレードを全てのお客様に
おいて正常に完了しました」とアナウンスがありました。

5. その他特記事項
本トピックの詳細や最新情報については、下記の Palo Alto Networks 社ページも併
せてご参照ください。
https://security.paloaltonetworks.com/CVE-2026-0227
※ 参照には CSP アカウントを所有している必要があります。
なお、掲載されている以上の情報は開示されておりません。記載内容以上の情報につい
ては、弊社サポートではお答え致しかねますことを予めご了承ください。

以上
https://security.paloaltonetworks.com/CVE-2026-0227
]]> 2026-02-13T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/#N20260206 10.2.18-h1の制限事項一覧を追加しました。
Threat and APP-IDを更新しました。]]> 2026-02-06T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/news/information20260116.pdf ２０２６年１月１６日
お客様各位
株式会社日立ソリューションズ
Palo Alto Networks製品ユーザサポート

GlobalProtectを利用したサービス拒否(DoS)の脆弱性(CVE-2026-0227)について
のお知らせ

平素は Palo Alto Networks製品ユーザサポートをご利用くださいまして誠にありがとう
ございます。この度、Palo Alto Networks 社より GlobalProtect を利用したサービス拒否
(DoS)の脆弱性(CVE-2026-0227)についてのお知らせがアナウンスされましたので、以下の
通りご連絡いたします。

1. 概要
PAN-OS ソフトウェアの脆弱性により、攻撃者がファイアウォールに対してサービス
拒否（DoS）攻撃を仕掛けることが可能です。この状態を繰り返し行うことで、PAN-
OSはメンテナンスモードに移行します。

2. 対象のお客様
下記の表で影響を受けるバージョンをご利用されているお客様。

表 1 対象 OSバージョン
OSバージョン 影響を受ける 影響を受けない
Cloud NGFW None All
PAN-OS 12.1 12.1.3-h3未満、12.1.4未満 12.1.3-h3以上、12.1.4以上
PAN-OS 11.2 11.2.4-h15未満、11.2.7-h8未
満、11.2.10-h2未満
11.2.4-h15以上、11.2.7-h8以
上、11.2.10-h2以上
PAN-OS 11.1 11.1.4-h27 未満、11.1.6-h23
未満、11.1.10-h9未満、11.1.13
未満
11.1.4-h27 以上、11.1.6-h23
以上、11.1.10-h9以上、11.1.13
以上
PAN-OS 10.2 10.2.7-h32未満、10.2.10-h30
未満、 10.2.13-h18 未満、
10.2.16-h6 未満、10.2.18-h1
未満
10.2.7-h32以上、10.2.10-h30
以上、 10.2.13-h18 以上、
10.2.16-h6 以上、10.2.18-h1
以上
PAN-OS 10.1 10.1.14-h20未満 10.1.14-h20以上
Prisma Access 11.2 11.2.7-h8未満*1 11.2.7-h8以上*1
Prisma Access 10.2 10.2.10-h29未満*1 10.2.10-h29以上*1

*1 Palo Alto Networks 社より次の通り、連絡を受けております。
Prisma Access のアップグレードは、ほとんどのお客様において正常に完了しました。
ただし、アップグレードスケジュールの重複により現在進行中のお客様も一部ござい
ます。残りのお客様につきましては、標準のアップグレードプロセスに基づき、速やか
にアップグレードのスケジュールを調整しております。

3. 本脆弱性に該当する構成
GlobalProtect ゲートウェイまたはポータルが有効になっている PAN-OS または
Prisma Access が影響を受けます。

4. 解決策
対象のお客様は、下記 OS バージョンへのアップグレードをご検討ください。

表 2 修正に対応している OSバージョン
OSバージョン 対象 OSバージョン 修正 OSバージョン
Cloud NGFW All None All
PAN-OS 12.1 12.1.2～12.1.3 12.1.4以上
PAN-OS 11.2 11.2.8～11.2.10 11.2.10-h2以上
11.2.5～11.2.7 11.2.7-h8または、11.2.10-h2以上
11.2.0～11.2.4 11.2.4-h15または、11.2.10-h2以上
PAN-OS 11.1 11.1.11～11.1.12 11.1.13以上
11.1.7～11.1.10 11.1.10-h9または、11.1.13以上
11.1.5～11.1.6 11.1.6-h23または、11.1.13以上
11.1.0～11.1.4 11.1.4-h27または、11.1.13以上
PAN-OS 10.2 10.2.17～10.2.18 10.2.18-h1以上
10.2.14～10.2.16 10.2.16-h6または、10.2.18-h1以上
10.2.11～10.2.13 10.2.13-h18または、10.2.18-h1以上
10.2.8～10.2.10 10.2.10-h30または、10.2.18-h1以上
10.2.0～10.2.7 10.2.7-h32または、10.2.18-h1以上
End-of-Life を迎え
た OSバ－ジョン
All サポートされている修正 OS バージ
ョンにアップグレードしてくださ
い。
Prisma Access 11.2 11.2.7-h8未満 11.2.7-h8以上*1
Prisma Access 10.2 10.2.10-h29未満 10.2.10-h29以上*1



*1 Palo Alto Networks 社より次の通り、連絡を受けております。
Prisma Access のアップグレードは、ほとんどのお客様において正常に完了しました。
ただし、アップグレードスケジュールの重複により現在進行中のお客様も一部ござい
ます。残りのお客様につきましては、標準のアップグレードプロセスに基づき、速やか
にアップグレードのスケジュールを調整しております。

5. その他特記事項
本トピックの詳細や最新情報については、下記の Palo Alto Networks 社ページも併
せてご参照ください。
https://security.paloaltonetworks.com/CVE-2026-0227
※ 参照には CSP アカウントを所有している必要があります。
なお、掲載されている以上の情報は開示されておりません。記載内容以上の情報につい
ては、弊社サポートではお答え致しかねますことを予めご了承ください。

以上
https://security.paloaltonetworks.com/CVE-2026-0227
]]> 2026-01-16T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/news/information20251128_03.pdf ２０２５年１１月２８日
お客様各位
株式会社日立ソリューションズ
Palo Alto Networks製品ユーザサポート

Precision AI Network Security Subscription Bundleライセンス販売終了のお知らせ
（第 2報）

平素は Palo Alto Networks製品ユーザサポートをご利用くださいまして誠にありがとう
ございます。この度、Precision AI Network Security Subscription Bundleライセンスに
Device Securityライセンス機能を追加した高機能版である Precision AI Pro Bundleライ
センスがリリースされており、以降の案件では Precision AI Network Security
Subscription Bundleライセンスに代わり、Precision AI Pro Bundleライセンスにて提案
を進めるよう、Palo Alto Networks社より案内を受けております。これに伴い、弊社での
Precision AI Network Security Subscription Bundleライセンス販売終了のお知らせにつ
いて、以下の通りご連絡いたします。
※ 太字箇所は追記もしくは変更箇所となっております。

1. 対象製品
・Precision AI Network Security Subscription Bundleライセンス

2. 販売終了日
End-of-Sales：2026年 1月 31日
※ 受注期限は弊社発注処理を考慮し、2026年 1月 21日とさせていただきます。ま
た、現行型番における見積受付期限（2025年 12月 10日）があります。詳しくは、
Palo Alto Networks製品のご購入元にお問い合わせください。
※ ライセンスの新規ご利用もしくは更新時においては後継ライセンスをご購入いた
だく必要がございます。
※ Precision AI Pro Bundle ライセンスは Precision AI Network Security
Subscription Bundle ライセンスの全機能を包含するという見解を Palo Alto
Networks社より頂いておりますので、Precision AI Pro Bundleライセンスを購
入いただくことで、従来の Precision AI Network Security Subscription Bundle
ライセンス機能を利用することができます。

3. メーカサポート終了日
メーカにてサポート終了日は定義されておらず、Precision AI Network Security
Subscription Bundleライセンスをご利用のお客様へのサポートは継続されます。

4. 後継ライセンスについて
Precision AI Network Security Subscription Bundleライセンスの高機能版ライセン
スである Precision AI Pro Bundleライセンスは現在メーカリリース準備中です。

5. 備考
Precision AI Pro Bundleライセンスのご購入につきましては、Palo Alto Networks製
品のご購入元にお問い合わせください。

以上

]]> 2025-11-28T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/news/information20251128_02.pdf ２０２５年１１月２８日
お客様各位
株式会社日立ソリューションズ
Palo Alto Networks製品ユーザサポート

GlobalProtect Clientless VPNのインストールができない事象（PAN-OS 12.1）について
のお知らせ

平素は Palo Alto Networks製品ユーザサポートをご利用くださいまして誠にありがとう
ございます。この度、PAN-OS 12.1で稼働している機器において、GlobalProtect Clientless
VPN（以降 Clientless VPN）をインストールできない事象を検出したため、以下の通りご
連絡いたします。

1. 概要
PAN-OS 12.1において、DEVICEタブ > Dynamic Updatesにおいて、Clientless VPN
をインストール（アップグレード含む）できない事象となります。
※ 弊社検証機にて Clientless VPNをインストール（アップグレード含む）できない
ことを確認しております。
※ 喫緊で Clientless VPNをご利用になる場合は、PAN-OS 12.1へアップグレードす
ることはお控えいただくことをお勧めします。

2. 対象のお客様
PAN-OS 12.1において、Clientless VPNを利用中もしくは利用予定のお客様が対象と
なります。

3. 回避策
PAN-OS 11.2以下での Clientless VPNの利用を検討ください。

4. 恒久対策
Clientless VPNバージョン 99-285（リリース日未定）の利用を検討ください。


5. よくある質問（FAQ）
Q1）この事象は何が原因で発生するのでしょうか？
この事象は Clientless VPNのインストーラに、PAN-OS 12.1への対応に必要な IMA
マニフェスト署名が追加されていないことが原因で発生します。PAN-OS 12.1 には当
該署名をチェックする機能が追加されており、未署名のインストーラを用いた場合は
インストール（アップグレード含む）が失敗します。

Q2）事象が発生したときにエラーメッセージは出力されますか？
はい。GUI と CLI にエラーメッセージが出力されます。見本は下記を参照ください。
■GUI > DEVICE > Dynamic Updates > Details

■CLI > show jobs id [job-id] > Details









admin@PA-XXXX > request global-protect-clientless-vpn upgrade install file panup-all-gp-98-260
Content install job enqueued with jobid 5
↑インストールコマンド実行後、job-idが表示されます。この場合の job-idは 5です。
admin@PA-XXXX > show jobs id 5
～～途中省略～～
Details:Failed to update content with following message: Checking for IMA manifest signature file
ERROR: No IMA manifest signature file found!
exiting with 255
MATCHES
/usr/local/bin/paninstaller.sh: line 519: [: =: unary operator expected
/usr/local/bin/paninstaller.sh: line 519: [: =: unary operator expected

Q3）Clientless VPN のインストーラへ IMA マニフェスト署名の追加はいつ行われる
予定ですか？
Palo Alto Networks 社は、Clientless VPN バージョン 99-285（リリース日未定）でイ
ンストーラへ IMA マニフェスト署名を追加する予定を示しております。

Q4）バージョン 99-285 未満の Clientless VPN のインストーラへ IMA マニフェスト
署名が追加される予定はありますか？
いいえ。Palo Alto Networks社は、Clientless VPNバージョン 99-285未満のインス
トーラへ IMAマニフェスト署名を追加する予定を示しておりません。

Q5）PAN-OS 12.1で稼働中の機器において、Clientless VPNの利用開始（新規インス
トール）を検討していますが、どのように対応すべきですか？
喫緊で利用を開始する必要がある場合は、PAN-OS 11.2 以下へのダウングレード実施
を検討ください。
喫緊で利用を開始する必要がない場合は、バージョン 99-285 の利用を検討ください。
なお、PA-1400シリーズと PA-3400シリーズで、PAN-OS 12.1からダウングレードを
実施する場合は、下記のトピックも併せて参照ください。
⚫ PAN-OS 12.1でのダウングレード時に起動ループが発生する不具合についてのお
知らせ

Q6）PAN-OS 11.2以下で稼働中の機器において、Clientless VPN を利用しています。
PAN-OS 12.1へのアップグレードを検討中ですが、インストール済の Clientless VPN
は、アップグレード後も引き続き利用可能ですか？
はい。Palo Alto Networks 社より、利用可能である旨の見解を入手しております。
ただし、Q5）に記載の通り Clientless VPNのバージョン変更が必要となった場合、現
状では PAN-OS のダウングレードが必要となりますので、アップグレードを検討され
る場合は、この点を踏まえて検討ください。
また、対象機器が PA-1400シリーズと PA-3400シリーズの場合は、Q5）に記載のトピ
ックも併せて参照ください。

以上

]]> 2025-11-28T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/news/information20251128_01.pdf ２０２５年１１月２８日
お客様各位
株式会社日立ソリューションズ
Palo Alto Networks製品ユーザサポート

PAN-OS 12.1でのダウングレード時に起動ループが発生する不具合についてのお知らせ

平素は Palo Alto Networks製品ユーザサポートをご利用くださいまして誠にありがとう
ございます。この度、PAN-OS 12.1に対する弊社の品質評価テストにおいて、PAN-OS 12.1
から PAN-OS 11.2へダウングレードを行った際に、PAN-OSの起動ループが発生する不具
合が確認されましたので、以下の通りご連絡いたします。

1. 概要
PA-1400シリーズおよび PA-3400シリーズにおいて、OSバージョンを PAN-OS 12.1
から PAN-OS 11.2 へダウングレードした際に、機器が PAN-OS の再起動を繰り返す
事象が発生する場合があることが確認されました。
※ 弊社は PAN-OS 12.1.3を搭載した検証機での品質評価テストにおいて、当該事象
の発生を確認しております。
※ ダウングレードが正常に行えない場合がありますので、弊社としましては喫緊で
PAN-OS 12.1へアップグレード頂くことはお勧めいたしません。
※ 不具合が発生せず、PAN-OS 11.2へダウングレードができる場合もあります。
※ 本不具合（PAN-299678）は PAN-OS 12.1.5で修正予定と Palo Alto Networks社
より回答を得ております。

2. 対象のお客様
PA-1400シリーズおよび PA-3400シリーズをご利用中で、PAN-OS 12.1を搭載済み、
あるいは搭載予定のお客様。

3. 回避策
PAN-OS 11.2をご利用中のお客様：
そのまま PAN-OS 11.2でのご利用をご検討ください。
PAN-OS 12.1をご利用中のお客様：
そのまま PAN-OS 12.1でのご利用をご検討ください。
PAN-OS 11.2へのダウングレードの際に起動ループが発生した場合は、
ダウングレードを再試行ください。
※ 詳細な手順は、弊社サポートサイトに掲載の「OSダウングレード手順書」の付録
Dをご参照ください。

4. 恒久対策
PAN-OS 12.1.5以降へのアップグレードをご検討ください。
※ リリース日は現在未定です。

5. その他特記事項
本事象は PAN-OS 12.1の不具合により、ダウングレード時にファイルシステムテーブ
ル(fstab)*が作成されない場合があることが原因であり、fstab が作成されていない状
態で PAN-OS が起動すると、ファイルシステムのマウントに失敗して再起動を繰り返
す事象が発生すると、Palo Alto Networks社より回答を得ております。
※ fstab:ファイルシステムのマウント設定ファイル。

以上

]]> 2025-11-28T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/news/information20251031_02.pdf ２０２５年１０月３１日
お客様各位
株式会社日立ソリューションズ
Palo Alto Networks製品ユーザーサポート

PAN-OS内蔵証明書の追加となる有効期限切れと新たな証明書管理プロセスついて
(第 10報)

平素は Palo Alto Networks製品ユーザーサポートをご利用くださいまして誠にありがと
うございます。この度、Palo Alto Networks社より、PAN-OS内蔵証明書の追加となる有
効期限切れと新たな証明書管理プロセスについてアナウンスされましたので、以下の通り
ご連絡いたします。
※ 太字箇所は追記もしくは変更箇所となっております。

1. 概要
2026年 1月 1日および同 2月 11日までに必要な対策へと内容を更新しました。
更新前の情報につきましては、第 8報をご確認ください。

2. 対象のお客様
下記のいずれかをご利用されているお客様。
(1) PAシリーズ（VMシリーズ含む）
(2) PAシリーズを管理する Panorama（Mシリーズ含む）
(3) クラウド配信セキュリティサービス（CDSS）、WildFire/Advanced WildFire、DNS
セキュリティ、URL/Advanced URL フィルタリング、Mシリーズ上の URL
PAN-DBプライベートクラウド
(4) User-IDまたは Terminal Server Agents
(5) WF-500およびWF-500-B WildFireアプライアンス



3. 各証明書の有効期限と影響範囲
証明書の有効期限が切れた際の影響範囲については下記の表 1をご確認ください。

表１ 証明書の有効期限と影響
有効期限 証明書
影響を受ける製品
とサービス
更新後の
有効期限
2024年 9 月 2 日
URL PAN-DBプ
ライベートクラ
ウド
PAN-DB プライベートクラウド
として機能するNGFWとMシリ
ーズアプライアンス間の接続
2032 年 12 月 31
日 22:05:03 GMT
2026年 2 月 11 日
クラウド配信セ
キュリティサー
ビス (CDSS) の
デバイス証明書

デバイス証明書
の使用に関する
詳細は FAQ6を
参照。
PAシリーズ（VMシリーズ含む）、
Panorama、WF-500 / WF-500-B
から次のいずれかの CDSS への
接続
• WildFire/Advanced
WildFire Public Cloud
• URL/Advanced URL Fil-
tering (PAN-DB)
• DNS Security
• AutoFocus
影響を受ける製品
・PAシリーズ
PA-200/220/220R
PA-500
PA-800 シリーズ
PA-3000 シリーズ
PA-3200 シリーズ
PA-5000 シリーズ
PA-5200 シリーズ
PA-7000 シリーズ
VM シリーズおよび CN シ
リーズの詳細については
FAQ8 を参照
・Panorama（Mシリーズ含む）
・WF-500 / WF-500-B
デバイス証明書
は 90 日ごとに自
動的に更新され
ます。
https://docs.paloaltonetworks.com/advanced-url-filtering/administration/pan-db-private-cloud-overview
https://docs.paloaltonetworks.com/advanced-url-filtering/administration/pan-db-private-cloud-overview
https://docs.paloaltonetworks.com/advanced-url-filtering/administration/pan-db-private-cloud-overview
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-management/obtain-certificates/device-certificate

2024年 11 月 18 日
User-IDと
Terminal Server
(TS)Agentの自
己署名証明書
User-ID Agent と Terminal
Server (TS)Agent間のPAシリー
ズ （ VM シ リ ー ズ 含 む ）、
Panorama、およびログコレクタ
への接続
詳細については FAQ15 を参照。
User-ID Agent
2032年 1 月 1 日
04:00:00 GMT
Terminal Server
Agent
2032年 1 月 1 日
20:24:27 GMT
2026年 1 月 1 日
WF-500 /
WF-500-B用
WildFire CA証
明書
WF-500 / WF-500-BへのPAシリ
ーズ（VMシリーズ含む）接続は
影響を受けます。
詳細については FAQ15 を参照。
2032年 12月 31 日
06:53:22 GMT
※ 第 4報までに記載されているオプション 1を実施し、2024年 4月 7日の
Panorama管理証明書の有効期限を修正した場合は、追加のアクションが必
要になります。
※ 第 4報までに記載されているオプション 2を実施し、OSバージョンをアッ
プグレードした場合は、デバイス証明書のオンボーディングプロセスが完了
していることを確認する必要があります。（FAQ9）
※ 2025 年 8 月 5 日時点で、PA シリーズを管理する Panorama（M シリーズ
含む）と PAシリーズ（VMシリーズ含む）のデバイス証明書の適用期限が
2025年 11月 11日から 2026年 2月 11日に延期されました。

4. 恒久対策
(1) Mシリーズアプライアンス上の PAN-DBプライベートクラウド
PAN-DBプライベートクラウド URLフィルタリング用に構成されているMシ
リーズアプライアンスに、表 2のホットフィックスバージョンをインストール
してください。
※ 2024年 9月 2日までに対応する必要があります。

(2) 次の CDSSのいずれかを使用する Panoramaおよび PAシリーズ（VMシリー
ズ含む）：
WildFire/Advanced WildFire Public Cloud、URL/Advanced URL フィルタリ
ング（PAN-DB）、DNSセキュリティ、AutoFocus

該当する場合は下記手順を実施してください。

a) OSバージョンのアップグレード：
表 1に記載されているデバイスタイプの場合、影響を受けるすべての
NGFW、Panorama、およびMシリーズアプライアンスに、表 2に記載
されている対策バージョンがインストールされていることを確認します。
b) デバイス証明書のオンボーディングプロセスを完了：
各 PAシリーズ（VMシリーズ含む）のドキュメントに記載されている手
順、または 1つ以上 PAシリーズ（VMシリーズ含む）を管理している
Panoramaを使用する手順のいずれかを使用して、デバイス証明書のオ
ンボーディングプロセスを完了させます。
PAシリーズ（VMシリーズ含む）
（https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certific
ate-management/obtain-certificates/device-certificate）
Panorama
（https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin
/manage-firewalls/install-the-device-certificate-for-managed-firewalls ）
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-management/obtain-certificates/device-certificate
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-management/obtain-certificates/device-certificate
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls

c) デバイス証明書の使用状況を確認：
FAQ9に記載されている手順を実施してください。
※ 全てのデバイスは、2026年 2月 11日までに有効な証明書を取得する必
要があります。

(3) User-IDと Terminal Server (TS)Agentの自己署名証明書

a) Agentを更新する前に表 2に記載されているOSバージョンをPAシリー
ズ（VMシリーズ含む）および Panoramaにインストールします。詳細
については、FAQ12を参照してください。
b) 更新された User-IDおよび Terminal Server (TS)Agentを適用します。
※ User-ID Agentと Terminal Server (TS)Agentが Prisma Access に直接
接続する場合は、2024/9/15以降に Agentをアップグレードしてくださ
い。この日までに Prisma Access は対策バージョンに更新されます。
※ PAシリーズ（VMシリーズ含む）をUser-ID Agentとして使用している
場合は、PAシリーズ（VMシリーズ含む）を表 2に記載されている対策
バージョンにアップグレードしてください。
※ 2024年 11月 18日まで対応する必要があります。

(4) WF-500およびWF-500-B WildFireアプライアンス
WF-500 / WF-500-Bを表 2に記載されている対策バージョンにアップグレード
してください。
※ 2026年 1月 1日まで対応する必要があります。

証明書の有効期限の問題を軽減するには、現在の PAシリーズ（VMシリーズ含む）、
PanoramaおよびWF-500 / WF-500-Bに対策 OSバージョンのホットフィックスバー
ジョンを適用することをお勧めします。メジャーバージョンのアップグレードは、確
立されたアップグレード手順に従って個別に計画する必要があります。
表 2 対策バージョン
OSバージョン 対策バージョン
GlobalProtectが有効になってい
る対策バージョン（FAQ17参照）
8.1 8.1.21-h3、8.1.25-h3、8.1.26以
降
左記と同じ

9.0 9.0.16-h7、9.0.17-h5以降
左記と同じ
9.1* 9.1.11-h5、9.1.12-h7、9.1.13-h5、
9.1.14-h8、9.1.16-h5、9.1.17以
降
10.0 10.0.8-h11、10.0.11-h4、
10.0.12-h5以降
10.1 10.1.3-h3、10.1.4-h6、10.1.5-h4、
10.1.6-h8、10.1.7-h1、10.1.8-h7、
10.1.9-h8、10.1.10-h5、
10.1.11-h5、10.1.12以降
10.2 10.2.0-h2、10.2.1-h1、10.2.2-h4、
10.2.3-h12、10.2.4-h10、
10.2.5-h4、10.2.6-h1、10.2.7-h3、
10.2.8以降
10.2.0-h3、10.2.1-h2、10.2.2-h5、
10.2.3-h13、10.2.4-h16、
10.2.5-h6、10.2.6-h3、10.2.7-h8、
10.2.8-h3、10.2.9-h1以降
11.0 11.0.0-h2、11.0.1-h3、11.0.2-h3、
11.0.3-h3、11.0.4以降
11.0.0-h3、11.0.1-h4、11.0.2-h4、
11.0.3-h10、11.0.4-h1以降
11.1 11.1.0-h2、11.1.1以降 11.1.0-h3、11.1.1-h1、11.1.2-h3
以降
11.2 11.2.0以降 11.2.0以降
PAN-DB URL
フィルタリン
グ プライベー
トクラウド
8.1.26-h1、9.0.17-h5、
9.1.17 -h1、10.0.12-h5、10.1.12、
10.2.8、11.0.4、11.1.1以降
適用不可
User-ID Agent
／Terminal
Server
(TS)Agent
9.0.6、9.1.5、10.0.7、10.1.2、
10.2.2、11.0.1以降
WF-500/B 8.1.26-h1、9.0.17-h5、9.1.17-h1、
10.0.12-h5、10.1.12、10.2.8、
11.0.4、11.1.1以降
※ 9.1系は 2024年 6月 30日に End-of-Life(EoL)を迎えています。
詳細につきまして下記メーカサイトをご参照ください。
https://www.paloaltonetworks.jp/services/support/end-of-life-announcements



https://www.paloaltonetworks.jp/services/support/end-of-life-announcements

5. よくある質問（FAQ）
Q1) 弊社サポートサイトに掲載されている「PAN-OSに内蔵されているデフォルト証
明書の有効期限切れについて(第 1～4報)」（以降、「2023年 10～12月のトピック」）に
記載されている手順を実施しました。今回の事象は、PAシリーズ（VMシリーズ含む）、
Panorama、ログコレクタに引き続き適用されますか？
はい。当トピックの「4. 恒久対策」を実行する必要があります。2023年 10～12月の
トピックでは、特定の機能に使用されるデフォルト証明書とルート証明書がカバーさ
れています。当トピックは、さまざまな範囲の製品とサービスを対象としています。

2023年 10～12月のトピックに記載されている対策 OSバージョンを適用した場合で
も、より広範な証明書が対象となるため、影響を受ける製品およびサービスに表 2に
記載されている OSバージョンを適用する必要があります。2023年 10～12月のトピ
ックの対応を行っていない場合は、それをスキップして当アドバイザリの表 2に記載
されている OSバージョンを適用してください。
当トピックに記載されているアクションを実行しない場合、表 1に記載されているサ
ービスが影響を受けます。

Q2) 2023年 12月に期限切れになる証明書の問題がアナウンスされた際に、今回の証
明書の問題をアナウンスしなかったのはなぜですか？
Palo Alto Networks社は、2023年 11月にアナウンスした時点で、当トピックに記載
されている証明書の有効期限が近づいていることを認識していましたが、今回取り上
げられている新しい証明書を含む OSバージョンをお客様にリリースする準備が整っ
ていませんでした。

証明書によって重要な PAN-OS機能が有効になります。当トピックで影響を受けるサ
ービスには、この機能が動作するために必要な複数の証明書が含まれており、2023年
10～12月のトピックで取り上げられているサービスとは内容が異なります。

Q3) 2023年 10～12月のトピックの影響を受けず、何も措置を講じませんでした。今
回の問題に対処する前に、2023年 10～12月のトピックに記載されている対策 OSバ
ージョンを適用する必要がありますか？
2023年 10～12月のトピックに記載されている OSバージョンを適用していない場合
は、それをスキップして、当トピックの表 2に記載されている OSバージョンを適用し
てください。


Q4) Panoramaで管理された Prisma Accessを使用しています。これは Prisma Access
のみを管理し、他の PAシリーズ（VMシリーズ含む）やデバイスは管理しません。こ
の Panoramaを修正する必要がありますか？
Panoramaが Prisma Accessや他の PAシリーズ（VMシリーズ含む）、Panorama、
またはログコレクタではなく、Prisma Access のみを管理している場合は、2024年 4
月 7日の有効期限の影響を受けませんが、上記で推奨されているように、2024年 11
月 18日までに OSバージョンを更新する必要があります。

Q5) CDSSのデバイス証明書に関するセクションに自分の PAシリーズ（VMシリーズ
含む）が表示されません。
この問題は、関連するデバイス証明書と、オンボーディングおよび更新のための安全
な自動プロセスを含む、次の PAシリーズには影響しません。
PA-400シリーズ、PA-1400シリーズ、PA-3400シリーズ、PA-5400シリーズ、PA-5450、
PA-7500

次のものも影響を受けません。
Prisma Access、AWS上のクラウド NGFW、Azure上のクラウドNGFW、GCP Cloud
IDSとファイアウォールプラス、Oracleネットワークファイアウォール

影響を受けるモデルは次のとおりです。
PA-200/220/220R、PA-500、PA-800シリーズ、PA-3000シリーズ、PA-3200シリー
ズ、PA-5000シリーズ、PA-5200シリーズ、PA-7000シリーズ、VMシリーズおよび
CNシリーズ

Q6) CDSSのデバイス証明書に移行するのは何故ですか？
特定の CDSS サブスクリプションのデバイス証明書は、PAシリーズ（VMシリーズ含
む）が表 1に記載されている CDSSにアクセスできるように、90日ごとに証明書を自
動的に更新します。この仕組みは数年前から導入されており、表 2に記載されている
対策バージョンにより、証明書の更新が失敗した場合のエラー処理が大幅に改善され
ています。

2026年 2月 11日以降、デバイス証明書は、PAシリーズ（VMシリーズ含む）と
Panoramaが表 1の CDSSサブスクリプションにアクセスするために使用する唯一の
仕組みになります。この日付までに、「4. 恒久対策」に記載されている手順を実施して
ください。対策バージョンを適用せず、CDSSのデバイス証明書のオンボーディング
を完了しなかった場合、DNSセキュリティ、URLフィルタリング、WildFireなどの

セキュリティサービスに関連付けられたセキュリティルールが正しく機能しなくなり、
クラウドセキュリティサービスが検出や判定を提供出来なくなります。

Q7) 必要な手順を完了した後の新しい有効期限はいつですか？
表 3 対策 OSバージョン適用後の証明書の有効期限
証明書 新しい有効期限
Panorama管理 2033年 11月 19日 23:27:22 GMT
URL PAN-DB プライベートクラウド 2032年 12月 31日 22:05:03 GMT
User-IDと Terminal Server (TS) Agent
の自己署名証明書
User-ID Agent
2032年 1月 1日 04:00:00 GMT

Terminal Server Agent
2032年 1月 1日 20:24:27 GMT

クラウド配信セキュリティサービス
（CDSS）のデバイス証明書
デバイス証明書の有効期間は 90日間で
す。PAシリーズ（VMシリーズ含む）は、
証明書の有効期限が切れる 15日前にデ
バイス証明書を再インストールします。
WF CA証明書 2032年 12月 31日 06:53:22 GMT

Q8) VMシリーズおよび CNシリーズで CDSSのデバイス証明書を有効にするには何
が必要ですか？
CDSSのデバイス証明書を有効にするには、次の OSバージョンを使用します。VMシ
リーズの展開に使用されるライセンスタイプに基づいて、以下の手順に従ってくださ
い。
表 4 VMシリーズで更新される OSバージョン
VMシリーズの OSバージョン
10.1.12以降、10.2.9-h1以降、11.0.4-h1
以降、11.1.2-h3以降、11.1.3 以降、11.2.0
以降

BYOL、ELA、およびフレックスライセンス
Bring Your Own License (BYOL)、ELA、または Flex（ソフトウェアクレジット）な
どのアクティブ化するライセンスを使用してデプロイされた VM-Series NGFW イン
スタンスは、次の手順に従う必要があります。これは、プライベートクラウド（VMware
ESXiおよびNSX、Hyper-V、OpenStack）およびパブリッククラウド上の VMシリ
ーズに適用されます。
https://docs.paloaltonetworks.com/advanced-url-filtering/administration/pan-db-private-cloud-overview
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-management/obtain-certificates/device-certificate

(1) VMシリーズをカスタマーサポートポータル（CSP）に登録します。
(2) VM-Seriesインスタンスを、上記の表 2に記載されている OSバージョンに更新
します。
(3) メーカドキュメントの手順に従って、PINまたは OTPをファイアウォールに追加
し、デバイス証明書を取得します。

従量課金制（PAYG）ライセンス
パブリッククラウドマーケットプレイス（AWS、Azure、GCP）から従量課金制（PAYG）
としてデプロイされた VMシリーズインスタンスをオンボードするには 2つの方法が
あります。
オプション 1：
既存の VM-Series PAYG インスタンスをオンボードする
(1) VM-Seriesファイアウォールをカスタマーサポートポータル（CSP）に登
録します。
(2) VM-Seriesインスタンスを、表 2に記載されている OSバージョンに更新
します。
(3) メーカドキュメントの手順に従って、PINまたは OTPをファイアウォール
に追加し、デバイス証明書を取得します。
（https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployme
nt/license-the-vm-series-firewall/vm-series-models/install-a-device-certif
icate-on-the-vm-series-firewall ）

オプション 2：
表 4に記載されている OSバージョンのいずれかを使用して VM-Seriesインスタ
ンスを再デプロイします。更新した OSバージョンでは、デバイス証明書を取得す
るために追加の手順（ファイアウォールに PINまたは OTPを追加する）は必要
ありません。
※ オプション 2は、WildFire、URLフィルタリング、および DNS（非アドバ
ンストバージョン）のサブスクリプションを使用している顧客のみが可能で
す。

CNシリーズ：
CNシリーズにデバイス証明書をインストールする手順については、メーカドキュメン
トの手順を参照してください。
（https://docs.paloaltonetworks.com/cn-series/getting-started/cn-series-deployment
-prereq/install-a-device-certificate-on-the-cn-series-firewall-updated）
https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/license-the-vm-series-firewall/vm-series-models/install-a-device-certificate-on-the-vm-series-firewall
https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/license-the-vm-series-firewall/vm-series-models/install-a-device-certificate-on-the-vm-series-firewall
https://docs.paloaltonetworks.com/vm-series/10-1/vm-series-deployment/license-the-vm-series-firewall/vm-series-models/install-a-device-certificate-on-the-vm-series-firewall
https://docs.paloaltonetworks.com/cn-series/getting-started/cn-series-deployment-prereq/install-a-device-certificate-on-the-cn-series-firewall-updated
https://docs.paloaltonetworks.com/cn-series/getting-started/cn-series-deployment-prereq/install-a-device-certificate-on-the-cn-series-firewall-updated


Q9) 必要なアクションを完了した後、証明書の有効期限を確認するにはどうすればよ
いですか？
CDSSのデバイス証明書
CDSSのデバイス証明書の有効期間は 90日間で、有効期限が切れる 15日前に自動的
に再インストールされます。これは、ホットフィックスを適用し、オンボーディング
を完了した後で、次の手順を使用して確認できます。
（https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-manage
ment/obtain-certificates/device-certificate ）

(1) 管理対象デバイス用の Panoramaから Panoramaにログインし、[Panorama] >
[管理対象デバイス] > [概要] > [デバイス証明書（列）] に移動します。
(2) 登録後の証明書のステータスを示すメーカドキュメントのステップ 8を参照して
ください。
（https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-
fire-
walls/install-the-device-certificate-for-managed-firewalls/install-the-device-cer
tificate-for-a-managed-firewall）

PAシリーズ（VMシリーズ含む）
次の CLIコマンドを実行して確認します。

残りの証明書、User-IDおよびTerminal Server (TS) Agentの自己署名証明書、WF-500
/ WF-500-B、および URL PAN-DBプライベートクラウド（Mシリーズ）
これらの証明書については、有効期限を直接確認する方法はありません。必要な手順
が完了すると、影響を受ける製品とサービスは新しい証明書を自動的に使用して安全
な通信を確立します。

> show device-certificate status
Device Certificate information:
Current device certificate status: Valid
Not valid before: 2023/11/23 05:22:46 PST
Not valid after: 2024/02/21 05:22:45 PST
Last fetched timestamp: 2023/11/23 05:32:46 PST
Last fetched status: success
Last fetched info: Successfully fetched Device Certificate
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-management/obtain-certificates/device-certificate
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-management/obtain-certificates/device-certificate
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed-firewall
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed-firewall
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed-firewall
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed-firewall

Q10) 当ドキュメントに記載されている恒久対策を実施したあと他に考慮する必要が
ある手順などはありますか？
これらの手順を完了すると、2026年 12月 31日以降まで証明書の更新は必要なくなり
ます。

中期的には、2025年 3月 1日以降にリリースされる PAN-OSおよび Panoramaのす
べてのメジャーリリース、マイナーリリース、およびメンテナンスリリースには、最
低 5年間の延長が含まれた埋め込み証明書がついています。埋め込み証明書は、対策
OSバージョンの予定されたサポート終了日を過ぎても有効です。このアプローチによ
り、ネットワークの中断が防止され、今後手動で証明書を更新する必要がなくなりま
す。

長期的には新しい包括的な証明書管理プロセスが実装される予定です。このプロセス
により、証明書はコンテンツ更新および通常の OSアップデートの一部として継続的に
更新されます。

Q11) 脅威防御または高度な脅威防御が CDSSのデバイス証明書の影響を受けないの
はなぜですか？
Threat Prevention と Advanced Threat Prevention の接続は個別に確立されており、
他の CDSSで使用されるデバイス証明書には依存しません。

Q12) PAシリーズ（VMシリーズ含む）に対策バージョンを適用した後、User-IDおよ
び Terminal Server (TS) Agentを更新する必要があるのはなぜですか？
PAシリーズ（VMシリーズ含む）に対策 OSバージョンを適用すると、User-ID Agent
および Terminal Server (TS) Agentの両方のバージョン（有効期限が 2024年 11月 18
日の古い証明書と、有効期限の長い新しい証明書) から接続が受け入れられるようにな
ります。これにより、User-IDベースのポリシー機能への影響を最小限に抑えて Agent
を更新できるようになります。

最初に Agentを更新すると、Agentは有効期限の長い新しい証明書の使用を開始しま
すが、この証明書は PAシリーズ（VMシリーズ含む）には認識されないため、PAシ
リーズ（VMシリーズ含む）は User-IDの更新を受信しなくなります。したがって、
PAシリーズ（VMシリーズ含む）へ対策 OSバージョンを適用するまでは、User-ID
ベースのセキュリティポリシーが中断されてしまいます。



Q13) 今回参照したメーカドキュメントは他言語で利用できますか？
複数の言語に翻訳されたメーカドキュメントは、下記の場所から入手できます。
（https://docs.paloaltonetworks.com/translated）

Q14) 私のデバイス（PAシリーズ（VMシリーズ含む）、Panorama、Mシリーズ）は
サポート対象外ですが、どのような選択肢がありますか？
PAシリーズ（VMシリーズ含む）、Panorama、またはMシリーズがサポート対象外
で、WebUIから対策バージョンをダウンロードできない場合は、カスタマーサポート
ポータル（CSP） > Updates > Urgent Updates for Unsupported Devicesから対策バ
ージョンと User-IDおよび Terminal Server (TS) Agentをダウンロードできます。ロ
グインしてダウンロードするには、CSPアカウントを持っている必要があります。

Q15) 「PAN-OSに内蔵されているデフォルト証明書の有効期限切れについて」に記載
されている User-IDおよび WF-500 / WF-500-B証明書の問題は解決されましたか？
「PAN-OSに内蔵されているデフォルト証明書の有効期限切れについて」には、PAシ
リーズ（VM シリーズ含む）または Panoramaにおけるデータの再配信（User-ID、
IP タグ、User-tag、GlobalProtect HIP、隔離リスト）に使用されるデフォルト証明
書とルート証明書の有効期限切れの恒久対策について記載されています。

このトピックは User-IDおよび Terminal Server (TS) Agentと PAシリーズ（VM シ
リーズ含む）間の安全な通信に関するもので、カスタム証明書を使用しても今回の問
題は軽減できません。カスタム証明書は、PAシリーズ（VM シリーズ含む）間の通信
や Panoramaとの通信を行うためのオプションとして引き続き使用できます。

WF-500 / WF-500-Bは、PAシリーズ（VM シリーズ含む）とWildFireアプライアン
スの CDSSパブリッククラウドへの安全な接続に関連していました。恒久対策への対
応が完了している場合は、2026年 1月 1日以降も利用できます。

Q16) CDSS のデバイス証明書の代わりにカスタム証明書を使用できますか？
カスタム証明書は、組み込みのデバイス証明書および関連する更新メカニズムを置き
換えるために使用することはできません。




https://docs.paloaltonetworks.com/translated

Q17) GlobalProtect が有効になっている PAシリーズ（VMシリーズ含む）の対策バ
ージョンが異なるのはなぜですか？
GlobalProtectが有効になっている PAシリーズ（VMシリーズ含む）では、表 2に記
載されている対策バージョンより高いバージョンを使用する必要があります。これは
CVE-2024-3400から機器を保護するためです。

CVE-2024-3400 PAN-OS: Arbitrary File Creation Leads to OS Command Injection
Vulnerability in GlobalProtect
（https://security.paloaltonetworks.com/CVE-2024-3400）

Q18) 対策バージョンで提供される証明書を使用する代わりに、User-IDおよび
Terminal Server (TS) Agentと PAシリーズ（VM シリーズ含む）間でカスタム証明書
を使用できますか？
はい、User-IDおよび Terminal Server (TS) Agentと PAシリーズ（VM シリーズ含
む）間の安全な通信のためにカスタム証明書を使用できます。
注意点として、PAシリーズ（VM シリーズ含む）に User-IP マッピングを提供する
ためにWindowsベースの User-ID Agentと Terminal Server (TS) Agentの両方を展
開している場合、設計上の制限によりカスタム証明書が機能しません。そのため、PA
シリーズ（VM シリーズ含む）を表 2に示されている対策 OSバージョンにアップグ
レードすることをおすすめします。

Q19) User-IDおよびTerminal Server (TS) Agentの自己署名証明書のステータスを表
示できる自動化ツールはありますか？
オープンソースのUser-IDチェックツールが GitHubで利用可能です。これを使用す
ることで、全てのデバイスとUser-IDおよび Terminal Server (TS) Agentで実行され
ている OSバージョンと Agentバージョンを判別できます。
このツールは、2024年 11月 18日に有効期限を迎える証明書の影響を受けない OSバ
ージョンと Agentバージョンで、お客様のデバイスを確実に動作させることを目的と
しています。このツールは「現状のまま」リリースされ、保証やサポートはありませ
ん。
User-IDチェックツール
https://github.com/PaloAltoNetworks/userid-check



https://security.paloaltonetworks.com/CVE-2024-3400
https://github.com/PaloAltoNetworks/userid-check

Q20) HA構成を組んでいる PAシリーズ（VMシリーズ含む）のデバイス証明書更新
に関して
■対象のお客様
⚫ Active-Passiveを備えたHA構成
⚫ Passive機にサービスルートが設定されておらず、MGTポートを介してインター
ネット接続する場合
※ 下記 PAシリーズは影響を受けません。
PA-400シリーズ、PA-1400シリーズ、PA-3400シリーズ、PA-5400シリーズ、
PA-5450、PA-7500

■概要
サービスルートがデータポートを使用するようにHA構成を組んでいる場合、Passive
機のデータポートはシャットダウンしているため、インターネットに接続されていま
せん。そのため、デバイス証明書の自動更新が Passive機では行なわれません。この
状況でフェイルオーバーが発生すると、Passive機 は Activeに切り替わりますが、有
効なデバイス証明書を持たない状態となります。この状態から回復するには、デバイ
ス証明書を手動で再登録する必要があります。

なお、サービスルートが設定されていない場合は、Passive機はMGTポートを介して
インターネットに接続するため、デバイス証明書の更新プロセスには影響しません。
※ 本問題は、Active-Passiveを備えたHA 構成のみ影響します。Active- Activeを備
えた HA構成は、サービスルートを設定しているか否かに関わらず影響を受けま
せん。
※ デバイスが本問題の影響を受けるか否かを確認するには、「Palo Alto Networks」
サービスおよび「DNS」サービスのサービスルート構成を検証してください。

残りのすべての PAシリーズ（VMシリーズ）は影響を受けます。そのため、後述の回
避策または恒久対策が必要です。

■回避策
以下の手順でデバイス証明書を再登録します。
(1) 手動フェイルオーバーを実行して、サービスルートを持つ影響を受ける Passive
機（デバイス証明書の有効期限が切れている）が Active状態であることを確認し
ます。

手動フェイルオーバー
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/high-availability/
set-up-activepassive-ha/verify-failover

(2) PAシリーズ（VMシリーズ含む）または、Panoramaを使用してデバイス証明書
の登録が行われていないデバイスの再登録を行います。
※ WildFireクラウドサービスへの接続は、表 2 対策バージョンを適用すること
で行えます。
PAシリーズ（VMシリーズ含む）
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-manag
ement/obtain-certificates/device-certificate

Panorama
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-fir
ewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-ce
rtificate-for-a-managed-firewall

■恒久対策
本問題の対策 OSバージョンは以下の通りです。

表 5 対策 OSバージョンのリリース日
対策 OSバージョン リリース日
12.1.3 2025年 9月 25日※2
11.2.10 2025年 10月 31日※1
11.1.12 2025年 10月 9日※2
10.2.17 2025年 10月 3日※2
10.1.14-hf 2025年 10月 31日※1
※1 メーカリリース予定日
※2 メーカリリース確認済み
※3 10.1.xの標準サポートは終了しており、現在限定サポートのみとなっております。

https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/high-availability/set-up-activepassive-ha/verify-failover
https://docs.paloaltonetworks.com/pan-os/10-2/pan-os-admin/high-availability/set-up-activepassive-ha/verify-failover
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-management/obtain-certificates/device-certificate
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/certificate-management/obtain-certificates/device-certificate
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed-firewall
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed-firewall
https://docs.paloaltonetworks.com/panorama/11-1/panorama-admin/manage-firewalls/install-the-device-certificate-for-managed-firewalls/install-the-device-certificate-for-a-managed-firewall

Q21) 他の PAシリーズ（VMシリーズ含む）からのトラフィックを保護する PAシリ
ーズ（VMシリーズ含む）がある場合、デバイス証明書の更新を正常に行うには何が必
要ですか？
本脆弱性の影響を受ける CDSSサブスクリプションを使用している PAシリーズ（VM
シリーズ含む）からの管理トラフィックをパススルートラフィックとして検査してい
る PAシリーズ（VMシリーズ含む）の証明書を更新する方法につきましては、下記を
ご参照ください。
※ 参照するには CSPアカウントを所有している必要があります。
Device Certificate Renewal for NGFW Devices secured via perimeter firewall
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA1Ki000000X
ZKWKA4

Q22) CDSS のデバイス証明書の有効期限が延長されたのはなぜですか？
お客様に対策手順を実行していただくために、デバイス証明書の有効期限を 2024年 11
月 11日から 2026年 2月 11日まで延長されました。

Q23) Palo Alto Networks社が、デバイス証明書の有効期限を延長し続けることはでき
ないのですか？
他の証明書関連の問題とは異なり、今回の脆弱性対策は単なる証明書の更新という訳
ではありません。対策手順を実施することにより、将来起こりうる問題の発生確率を
低減することを目的としています。

Q24) WF-500 / WF-500-Bをアップグレードしないとどうなりますか？
PAシリーズ（VMシリーズ含む）とWF-500 / WF-500-B間の通信に失敗し、PAシリ
ーズ（VMシリーズ含む）によって検査されたファイルの判定を取得できなくなります。
さらに、WF-500 / WF-500-Bは Panoramaによる管理ができなくなります。

Q25) WF-500 / WF-500-Bのデバイス証明書のステータスを確認するにはどうすれば
よいですか？
デバイス証明書のステータスを直接確認する方法はありません。
WF-500 / WF-500-Bに対策 OSを適用することで、新しいデバイス証明書がインスト
ールされます。

以上
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA1Ki000000XZKWKA4
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA1Ki000000XZKWKA4
]]> 2025-10-31T00:00:00+09:00 https://csps.hitachi-solutions.co.jp/paloalto/news/information20251031_01.pdf ２０２５年１０月３１日
お客様各位
株式会社日立ソリューションズ
Palo Alto Networks製品ユーザサポート

Precision AI Network Security Subscription Bundleライセンス販売終了のお知らせ

平素は Palo Alto Networks製品ユーザサポートをご利用くださいまして誠にありがとう
ございます。この度、Precision AI Network Security Subscription Bundleライセンスに
Device Securityライセンス機能を追加した高機能版である Precision AI Pro Bundleライ
センスがリリースされており、以降の案件では Precision AI Network Security
Subscription Bundleライセンスに代わり、Precision AI Pro Bundleライセンスにて提案
を進めるよう、Palo Alto Networks社より案内を受けております。これに伴い、弊社での
Precision AI Network Security Subscription Bundleライセンス販売終了のお知らせにつ
いて、以下の通りご連絡いたします。

1. 対象製品
・Precision AI Network Security Subscription Bundleライセンス

2. 販売終了日
End-of-Sales：2025年 12月 31日
※ 受注期限は弊社発注処理を考慮し、2025年 12月 16日とさせていただきます。ま
た、現行型番における見積受付期限（2025年 11月 7日）があります。詳しくは、
Palo Alto Networks製品のご購入元にお問い合わせください。
※ ライセンスの新規ご利用もしくは更新時においては後継ライセンスをご購入いた
だく必要がございます。
※ Precision AI Pro Bundle ライセンスは Precision AI Network Security
Subscription Bundle ライセンスの全機能を包含するという見解を Palo Alto
Networks社より頂いておりますので、Precision AI Pro Bundleライセンスを購
入いただくことで、従来の Precision AI Network Security Subscription Bundle
ライセンス機能を利用することができます。

3. メーカサポート終了日
メーカにてサポート終了日は定義されておらず、Precision AI Network Security
Subscription Bundleライセンスをご利用のお客様へのサポートは継続されます。



4. 後継ライセンスについて
Precision AI Network Security Subscription Bundleライセンスの高機能版ライセン
スである Precision AI Pro Bundleライセンスは現在メーカリリース準備中です。

5. 備考
Precision AI Pro Bundleライセンスのご購入につきましては、Palo Alto Networks製
品のご購入元にお問い合わせください。

以上

]]> 2025-10-31T00:00:00+09:00