App Protection機能
この記事では、Windows向けCitrix Workspaceアプリ、Linux向けCitrix Workspaceアプリ、Mac向けCitrix WorkspaceアプリによってサポートされるApp Protection機能について説明します。
キーロガー対策
暗号化を使用すると、App Protectionのキーロガー対策機能により、ユーザーが物理キーボードとスクリーンキーボードの両方で入力しているテキストが暗号化されます。キーロガー対策機能は、キーロガーツールがテキストにアクセスする前に、カーネルまたはOSレベルでテキストを暗号化します。クライアントエンドポイントにインストールされたキーロガーは、OSまたはドライバーからデータを読み取り、ユーザーが入力しているキーストロークの代わりにハッシュ化されたテキストをキャプチャします。App Protectionポリシーは、公開アプリケーションとデスクトップだけでなく、Citrix Workspace認証ダイアログに対しても有効です。Citrix Workspaceは、ユーザーが最初の認証ダイアログを開いた瞬間から保護されます。App Protectionはキーストロークを暗号化し、解読できないテキストをキーロガーに返します。
管理者は、次の種類のリソースに対してキーロガー対策を有効にすることを選択できます:
- Virtual Apps and Desktops
- 社内WebアプリとSaaSアプリ
- 認証画面
- Self-Service Plug-in(SSP)画面
画面キャプチャ対策
画面キャプチャ対策は、アプリが仮想アプリまたはデスクトップセッション内で画面のスクリーンショットや録画を試みることを防ぎます。画面キャプチャソフトウェアは、キャプチャ領域内のコンテンツを検出できません。アプリによって選択された領域がグレー表示になります。または、アプリはコピーするはずの画面セクションの代わりに何もキャプチャしません。画面キャプチャ対策機能は、Windowsの 切り取り&スケッチ、Snipping Tool、Shift + Ctrl + Print Screenキーに適用されます。
画面キャプチャ対策のもう1つのユースケースは、GoToMeeting、Microsoft Teams、Zoomなどの仮想会議やWeb会議アプリケーションで機密データの共有を防止することです。App Protectionは、アプリが保護されている場合にWeb会議で空白の画面を返すことで、意図しない共有を防ぎます。この機能により、機密データが組織から誤って漏えいすることがなくなります。この機能は、データ侵害を開示する場合の意図を問わないため、規制された業界でのコンプライアンスに役立ちます。
管理者は、次の種類のリソースに対して画面キャプチャ対策を有効にすることを選択できます:
- Virtual Apps and Desktops
- 社内WebアプリとSaaSアプリ
- 認証画面
- Self-Service Plug-in(SSP)画面
注:
2つの仮想デスクトップを起動し、一方の仮想デスクトップでは画面キャプチャ対策機能が有効になっており、もう一方の仮想デスクトップでは画面キャプチャ対策機能が有効になっていない場合、画面キャプチャ対策機能は両方の仮想デスクトップに適用されます。どちらの仮想デスクトップでもスクリーンショットを撮ることはできません。
画面キャプチャ対策が有効になっている仮想デスクトップを最小化した場合でも、画面キャプチャ対策機能は画面キャプチャ対策機能のない仮想デスクトップに引き続き適用されます。
画面キャプチャの検出と通知
Windows向けCitrix Workspaceアプリでは、保護されたリソースで画面キャプチャが試行された可能性がある場合に、通知を表示できます。App Protectionによって保護されるリソースについては、「[App Protectionによって保護される内容]」を参照してください(/en-us/citrix-workspace-app/app-protection.html#what-does-app-protection-protect)
次の場合に通知が表示されます:
- 画面キャプチャツールを使用して、スクリーンショットを撮ったり、ビデオを録画したりしようとした。
- Print Screenキーを使用してスクリーンショットを撮ろうとした。
注:
- この通知は、スクリーンショットツールの実行中のインスタンスごとに1回だけ表示されます。ツールを再起動して画面をキャプチャしようとすると、通知が再度表示されます。
- Windows向けCitrix Workspaceアプリ2212以降では、サインインウィンドウとセルフサービス(ストア)ウィンドウはデフォルトで保護されていません。
DLLインジェクション対策
DLLインジェクション対策はセキュリティが強化され、Citrix Workspaceアプリを特定の不正なダイナミックリンクライブラリ(DLL)または信頼されていないモジュールから保護します。こうした信頼できないモジュールがインジェクトされた場合、Citrix Workspaceアプリはこれらの介入を検出し、そのモジュールの読み込みを停止します。また、セッションの起動前に信頼できないまたは悪意のあるDLLが検出された場合、App Protectionはセッションの起動をブロックし、エラーメッセージを表示します。エラーメッセージを閉じると、仮想アプリと仮想デスクトップのセッションが終了します。
この機能は、保護されたすべての仮想アプリとデスクトップ、およびCitrix Workspaceアプリの認証ウィンドウ(オンプレミス展開/StoreFront)に適用できます。
特定の信頼できない、または悪意のあるDLLが保護されたコンポーネントに存在する場合、すぐにセッションを終了します。
この機能強化では、信頼されていない、または悪意のあるDLLがブロックされたときに通知を表示します。メッセージを閉じると、仮想アプリと仮想デスクトップのセッションが終了します。
免責事項: この機能はオペレーティングシステムの必須機能へのアクセス(DLLの読み 込みが必要な特定のAPI呼び出し)をフィルタリングすることで機能します。これにより、この機能は、目的別に構築された特定のカスタムのハッカーツールからも保護できます。ただし、オペレーティングシステムの進化とともに、DLLの読み込みにも新しい方法が出てきます。引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。
この機能は、Windows向けCitrix Workspaceアプリバージョン2206以降でサポートされています。
注:
以前は、Citrix認証画面とCitrix Workspaceアプリ画面では、スクリーンキャプチャ対策機能とキーロギング防止機能がデフォルトで適用されていました。しかし、2212以降、これらの機能はデフォルトで無効となり、現在はグループポリシーオブジェクトを使用して構成する必要があります。GPO構成について詳しくは、「App Protection構成の機能強化」を参照してください。
Microsoft TeamsのHDX最適化との互換性
最適化されたMicrosoft Teamsは、App Protectionが有効になっているCitrix WorkspaceアプリがDesktop Viewerモードの場合にのみ、画面共有をサポートします。Microsoft Teamsで[コンテンツを共有]をクリックすると、画面選択メニューに次のオプションが表示されます:
- 開いているアプリを共有する [ウィンドウ] オプション - このオプションは、VDAバージョンが2109以降の場合にのみ表示されます。
- VDAデスクトップ上のコンテンツを共有する [デスクトップ] オプション - このオプションは、Citrix Workspaceアプリの次のバージョンでのみ表示されます:
- Linux向けCitrix Workspaceアプリバージョン2311以降
- Mac向けCitrix Workspaceアプリバージョン2308以降
- Windows向けCitrix Workspaceアプリバージョン2309以降
注:
Linux向けCitrix Workspaceアプリの場合、デスクトップ共有オプションはデフォルトで無効になっています。これを有効にするには、次のようにconfig.jsonファイルに
UseGbufferScreenSharingパラメーターを追加します:mkdir -p /var/.config/citrix/hdx_rtc_engine vim /var/.config/citrix/hdx_rtc_engine/config.json { "UseGbufferScreenSharing":1 } <!--NeedCopy-->
App Protectionが有効になっている最適化されたMicrosoft Teamsは、仮想モニターを個別に共有できるCitrix仮想モニターレイアウトもサポートしています。
制限事項:
- App Protectionが有効になっている最適化されたMicrosoft Teamsは、ローカルアプリアクセス (LAA) が有効になっている公開デスクトップでの画面共有をサポートしていません。
- BCRを使用したブラウザーコンテンツなど、クライアントがレンダリングしたコンテンツはキャプチャまたは共有できません。画面をキャプチャしようとすると、黒い画面として表示されます。
注:
Linux向けCitrix Workspaceアプリの場合、この機能はTechnical Preview段階にあります。
ローカルのApp Protection(プレビュー)
App Protectionは、エンドポイントでキーロガー、偶発的および悪意のあるスクリーンキャプチャから顧客を守るために強化されたセキュリティを提供します。現在、App Protection機能はWorkspaceリソースに対してのみ提供されています。この機能により、App Protection機能はエンドポイント上のローカルアプリに拡張されます。Windows向けCitrix Workspaceアプリ2210以降、WindowsデバイスのローカルアプリにApp Protectionを適用できます。
Podioフォームを使用して、この機能のプレビューに登録してください。
ポリシーの改ざんの検出
ポリシー改ざん検出機能は、App Protectionの画面キャプチャ対策ポリシーとキーロガー対策ポリシーが改ざんされている場合、ユーザーが仮想アプリまたはデスクトップセッションにアクセスできないようにします。ポリシーの改ざんが検出された場合、仮想アプリまたはデスクトップセッションは終了します。
注:
ポリシー改ざん検出機能は、将来のバージョンではデフォルトで有効になる予定です。
ポリシー改ざんの検出を構成するには、「ポリシー改ざん検出の構成」を参照してください。
セキュリティ態勢チェック
ポリシー改ざん検出機能をサポートしていないバージョンのCitrix WorkspaceアプリからApp Protectionポリシーで有効になっている仮想アプリおよびデスクトップの起動を検出してブロックするには、App Protectionのセキュリティ態勢チェックを有効にします。
注:
セキュリティ態勢チェックが有効で、セキュリティ態勢チェックをサポートしていないバージョンのCitrix Workspaceアプリを使用している場合、App Protectionポリシーが有効になっているセッションは終了します。
セキュリティ態勢チェックを構成するには、「セキュリティ態勢チェックの構成」を参照してください。
制限事項:
Microsoft AzureでホストされているWindows Workstation VDAを使用している場合、セキュリティ態勢チェックが断続的に動作を停止します。
ダブルホップシナリオでのApp Protection
App Protection機能は、ダブルホップシナリオではサポートされません。ダブルホップとは、Citrix Virtual Desktopsセッション内で実行されるCitrix Virtual AppsまたはVirtual Desktopsセッションを意味します。ダブルホップシナリオでは、App Protectionポリシーが有効になっている仮想アプリとデスクトップを起動できましたが、App Protection機能は適用されませんでした。
Windows向けCitrix Workspaceバージョン2309以降では、Windowsグループポリシーが導入され、ダブルホップシナリオでApp Protectionポリシーが有効になっている仮想アプリおよびデスクトップの起動をブロックできるようになりました。[ダブルホップ起動をブロックする] 設定を有効にする方法について詳しくは、「ダブルホップ起動をブロックする設定を有効にする」を参照してください。
App ProtectionのためのCitrix Analyticsサービス
Citrix Virtual Apps and Desktopsを使用すると、アクティビティやアクションに対応するユーザーイベントが生成されます。Citrix Analytics for Securityには、これらのユーザーイベントを記録し、それらに関する詳細情報を提供するセルフサービス検索という機能があります。セルフサービス検索を使用すると、これらのユーザーイベントを検索し、フィルタリングし、調査できるため、どのようなユーザーイベントが実行されたかを理解し、イベントの重大度に応じてアクションを実行できます。セルフサービス検索について詳しくは、「セルフサービス検索」を参照してください。
アプリとデスクトップのセルフサービス検索には、AppProtection.ScreenCaptureというイベントの種類があり、これを使用して、App Protectionポリシーが有効になっている仮想アプリまたはデスクトップのスクリーンショットを取ろうとしたかどうかを判断できます。ユーザー イベントを検索する方法について詳しくは、「イベントをフィルタリングするための検索クエリを指定する」を参照してください。
このサービスは次の情報を提供します:
- デバイスID
- 保護されたアプリのタイトル
- OSの追加情報
- 画面キャプチャのツール名
- 画面キャプチャのツールパス
スクリーンショットの許可リスト
Citrix Workspaceアプリ、仮想アプリとデスクトップ、またはSaaSアプリで、App Protectionのスクリーンキャプチャ対策ポリシーが有効になっている場合は、スクリーンショットツールを使用して画面をキャプチャすることはできません。
ただし、Windows向けCitrix Workspaceアプリ2402リリース以降では、スクリーンショットの許可リスト機能を使用して、アプリをスクリーンショットの許可リストに追加できるようになりました。この機能を使用すると、許可リストに登録されたアプリを使用して、App Protectionのスクリーンキャプチャ対策ポリシーが有効になっているリソースの画面をキャプチャできます。アプリをスクリーンショット許可リストに追加するには、「スクリーンショット許可リストの構成」を参照してください。
重要:
セキュリティ態勢が低下するため、許可リストに登録されたアプリをデバイス上で長期間実行することはお勧めしません。許可リストに登録されたアプリをトラブルシューティングなどのシナリオで使用して、一時的に画面を共有できます。以下の条件に従うことをお勧めします:
- App Protectionの画面キャプチャ対策機能が有効になっているリソースとともに、許可リストに登録されているアプリを短時間実行します。
- 必要なタスクが完了したら、許可リストに登録されたアプリを直ちに終了します。
- セキュリティを強化するために、App Protectionの画面キャプチャ対策機能が有効になっているリソースを使用して画面を共有するときに、ウォーターマークを追加します。
プロセスの除外リスト
デバイス上でプロセスまたはアプリケーションを起動すると、App Protectionが有効になっている場合は、各プロセスにApp Protection DLLが挿入されます。場合によっては、DLLとの互換性の問題により、プロセスまたはアプリケーションが動作しなくなることがあります。
Windows向けCitrix Workspaceアプリ2402リリース以降では、プロセスの除外リストに任意のプロセスを追加して、特定のプロセスへのApp Protection DLLの挿入を回避し、App Protection DLLの存在によって発生する互換性の問題から回復することができます。プロセス除外リストを構成するには、「プロセス除外リストの構成」を参照してください。
重要:
セキュリティ態勢が低下するため、プロセスを除外することはお勧めしません。これは、アプリケーションの使用を一時的にブロック解除して、詳しく調査をするためにサポートチケットを発行する場合に使用できます。
USBフィルタードライバー除外リスト
場合によっては、Citrix Workspaceアプリでゲーミングキーボードなどの特殊な外付けキーボードを使用すると、App Protection USBフィルタードライバーによって互換性の問題が発生し、キーボードの使用がブロックされることがあります。
Windows向けCitrix Workspaceアプリ2402リリース以降では、USBフィルタードライバーの除外リスト機能により、デバイスのベンダーIDと製品IDを使用して、Citrix Workspaceアプリとの互換性の問題があるUSBデバイスを除外できます。USBフィルタードライバー除外リストにデバイスを追加するには、「USBフィルタードライバー除外リストの構成」を参照してください。
注:
デバイスを永続的に除外することはお勧めしません。この機能は、ユーザーによるデバイスの使用を一時的にブロック解除し、サポート チケットを発行して互換性の問題をさらに調査するために使用します。