Secure Browserサービス
Citrix Secure Browserサービスは、Web閲覧アクティビティを分離することにより、ブラウザーベースの攻撃から企業のネットワークを保護します。ユーザーデバイスを構成する必要なく、インターネットでホストされたWebアプリケーションに一貫してセキュアにリモートアクセスすることができます。管理者は、セキュアなブラウザーをすばやく展開することで、即時に価値を提供します。IT管理者は、インターネット閲覧を分離することで、企業ネットワークのセキュリティを損なうことなく、エンドユーザーに安全なインターネットアクセスを提供します。
ユーザーは、Citrix Workspace(またはCitrix Receiver)を使用してログオンし、構成済みのWebブラウザーでWebアプリを開くことができます。Webサイトとユーザーデバイスとの間で閲覧データが直接転送されないため、ユーザー操作中のセキュリティが保護されます。
Secure Browserサービスを使って、次の用途に使用するセキュアなブラウザーを公開できます:
-
外部Webアプリで共有パスコードを使用。共有パスコード認証を使用したブラウザーを公開する場合、ユーザーはアプリを起動するためにパスコードを入力する必要があります。
-
認証済みの外部Webアプリ。認証済みの外部Webアプリを公開し、Citrix Workspaceを使用してこのアプリを起動する場合、少なくとも1つのCloud Connectorを含むリソースの場所が必要です(2つ以上を推奨)。詳しくは、「Citrix Cloud Connector」を参照してください。認証済みアプリの場合、Citrix Cloudのライブラリを使用してユーザーを追加する必要があります。
-
認証されていない外部Webアプリ。認証されていない外部Webアプリを公開し、Citrix Workspaceを使用してこのアプリを起動する場合、少なくとも1つのCloud Connectorを含むリソースの場所が必要です(2つ以上を推奨)。詳しくは、「Citrix Cloud Connector」を参照してください。
通常は推奨されませんが、認証されていない外部Webアプリを単純な概念実証に使用することがあります。
詳しくは、「セキュアなブラウザーの公開」を参照してください。
Secure Browserサービスはまた、次の機能を提供します:
- 公開アプリのCitrix Workspaceへの統合
- 公開アプリのオンプレミスStoreFrontへの統合
- セキュリティのためのシンプルなURL許可リスト機能
- 使用状況の監視
- クリップボードの使用、印刷、キオスクモード、リージョンフェールオーバー、クライアントドライブマッピングの管理
新機能
- 2019年12月:URLフィルタリングを構成して、リスクモデルに関連した事前定義のカテゴリに基づいてアクセス方法を制御できます。詳しくは、「公開済みのセキュアなブラウザーの管理」を参照してください。
- 2019年12月:ホスト名の追跡を構成して、ユーザーのセッション中訪問したホスト名を記録できます。詳しくは、「公開済みのセキュアなブラウザーの管理」を参照してください。
- 2019年11月:共有パスコード認証を使用した新しい種類のセキュアなブラウザーを公開できます。ブラウザーの公開後、パスコードを保存したことを確認し、他のユーザーと共有します。詳しくは、「セキュアなブラウザーの公開」を参照してください。
- 2019年10月:URLパラメーターポリシーを有効にして、疑わしいリンクを特定し、ユーザーが新しいセッションを開始した際にそれらをSecure Browserにリダイレクトできます。詳しくは、「ポリシー」セクションを参照してください。
- 2019年6月:現在のリージョンで問題が報告されている場合は、Secure Browserにより公開ブラウザーを自動的に別のリージョンに転送できるようになりました。これをオプトアウトするには、リージョンフェールオーバーポリシーを無効にする必要があります。詳しくは、「ポリシー」セクションを参照してください。
- 2019年3月:このリリースでは全体のパフォーマンスと安定性の向上に役立つ機能強化が行われています。
- 2018年11月:クライアントドライブマッピングポリシーを有効にして、リモートセッションとの間でファイルをアップロードおよびダウンロードできるようになりました。詳しくは、「ポリシー」セクションを参照してください。
- 2018年11月:地理位置情報に基づいて、最も近いリージョンに自動的に接続するようにセキュアなブラウザーを構成できるようになりました。詳しくは、「セキュアなブラウザーの公開」を参照してください。
- 2018年10月:Secure Browserは5つの言語で使用できます。グローバリゼーションの情報について詳しくは、CTX119253を参照してください。
- 2018年10月:リージョンサポートの追加:Secure Browserはオーストラリア東部のリージョンをサポートしています。
- 2018年9月:公開ブラウザー用にカスタムアイコンをダウンロードできるようになりました。詳しくは、「セキュアなブラウザーの公開」を参照してください。
- 2018年8月:Citrix Secure Browserサービスは、Citrix Workspaceと統合されました。詳しくは、「Citrix Workspaceとの統合」を参照してください。
- 2018年8月:リージョンサポートの追加:セキュアなブラウザーを公開するときに、米国東部、米国西部、西ヨーロッパ、東南アジアの各リージョンから選択できます。
導入
以下のビデオでは、Secure Browserの使用開始について説明しています。
- Citrix Cloudにサインインします。アカウントをお持ちでない場合は、「Citrix Cloudへのサインアップ」を参照してください。Citrix Secure Browserサービスの30日間トライアルをリクエストできます。
-
Secure Browserサービスのタイルで、[トライアルをリクエスト] をクリックします。
- 数分後にメールが届きます。このメールは、Citrix Cloudアカウントに関連付けられています。メール内のサインインリンクをクリックします。
-
Citrix Cloudに再度サインインした後、Secure Browserサービスのタイルで [管理] をクリックします。
-
[Secure Browserへようこそ] ページで、[使用を開始する] をクリックします。説明に従って、最初のセキュアなブラウザーを公開します。
Citrix Secure Browserサービスの購入について詳しくは、Citrix Cloudホームページの [購入方法] をクリックしてください。
Citrix Workspaceとの統合
Secure BrowserはCitrix Workspaceに統合できます。サービスが統合されていることを確認するには:
- Citrix Cloudにサインインします。
- 左上のメニューで、[ワークスペース構成] を選択します。
- [サービス統合] タブを選択します。
- Secure Browserサービスのエントリが有効になっていることを確認します。無効になっている場合は、省略記号メニューをクリックし、[有効化] を選択します。
認証は、Active DirectoryまたはAzure Active Directoryを使用して実行できます。Azure Active Directoryを選択した場合、Active Directoryドメインコントローラーを含むオンプレミスのドメインには、少なくとも1つ(2つ以上を推奨)のCloud Connectorが含まれている必要があります。詳しくは、次のトピックを参照してください:
オンプレミスStoreFrontと統合する
オンプレミスStoreFrontを使用しているCitrix Virtual Apps and Desktopsの顧客は、Secure Browserサービスと簡単に統合することで次の利点が得られます:
- 公開されたセキュアなブラウザーを既存のCitrix Virtual Apps and Desktopsアプリで集約して、統合ストア環境を実現します。
- ネイティブのCitrix Receiverを使用して、エンドユーザーエクスペリエンスを強化できます。
- StoreFrontに統合された既存の多要素認証ソリューションを使用して、Secure Browser起動時のセキュリティを強化できます。
詳しくは、CTX230272およびStoreFrontの構成に関するドキュメントを参照してください。
セキュアなブラウザーの公開
- Citrix Cloudにサインインします(まだサインインしていない場合)。Secure Browserサービスのタイルで、[管理] をクリックします。
-
[管理] タブで、[Secure Browserの公開] をクリックします。
-
公開するセキュアなブラウザーの種類を、[共有]、[パスコード]、[認証されている]、[認証されていない]から選択します。次に、[続行] をクリックします。
デフォルトでは、ユーザーはlaunch.cloud.comを使用して、共有パスコード認証でアプリケーションを起動する必要があります。Citrix WorkspaceおよびCitrix Cloudライブラリは共有パスコード使用のアプリをサポートしません。
Citrix Workspaceを使用するには、認証済みアプリを公開してCitrix Cloudライブラリで利用者(ユーザー)やグループを明示的に割り当てる必要があります。認証されていないアプリは、ユーザー割り当てなしですべてのWorkspace利用者が使用できます。
-
次の設定を構成します:
- 名前: 作成中のアプリの名前を入力します。
- 開始URL:ユーザーがアプリを起動したときに開くURLを指定します。
-
リージョン: サーバーの場所/リージョンを選択します。利用可能なリージョンは米国西部、米国東部、東南アジア、オーストラリア東部、西ヨーロッパです。
[自動] を選択すると、Secure Browserは地理位置情報に基づいて、最も近い地域に接続します。
-
パスコード: 共有パスコード認証のブラウザーを選択した場合は、アプリにアクセスするときのセキュリティを強化するために、パスコードを入力します。パスコードは、最低8文字の英数字にする必要があります。パスコードを保存したことを確認してから、ユーザーと共有します。launch.cloud.comを使用してアプリを起動したときに、ユーザーがパスコードを入力する必要があります。
-
アイコン: デフォルトでは、Secure Browserを公開するときに使用されるGoogle Chromeの実行可能ファイルのアイコンです。公開ブラウザーに、独自のアイコンを表示することもできるようになりました。
[アイコンの変更]>[アイコンの選択] の順にクリックし、アイコンを選択してアップロードするか、[デフォルトのアイコンを使用] を選択し、既存のGoogle Chromeのアイコンを使用します。
-
完了したら、[公開] をクリックします。公開が完了すると、[管理]タブには、公開したブラウザーの一覧が表示されます。
-
認証済みのセキュアWebブラウザーを公開した場合、Citrix Cloudのライブラリを使用してユーザーやグループを追加する必要があります。行末尾にある右矢印をクリックして、ライブラリへのリンクを含む詳細ペインを展開します。
提供されたリンクをクリックし、説明に従って、作成したセキュアなブラウザーを含むライブラリ画面を表示します。セキュアなブラウザーを含むタイル内の省略記号をクリックし、[利用者を管理] をクリックします。利用者の追加について詳しくは、「ライブラリを使用してサービスオファリングにユーザーとグループを割り当てる」を参照してください。
-
公開済みのセキュアなブラウザーの管理
[管理] タブに、公開済みのセキュアなブラウザーの一覧が表示されます。管理タスクを利用するには、項目の行末尾にある省略記号をクリックし、タスクを選択します。
メニュー項目を選択して変更せずに終了する場合は、ダイアログボックスの外側にある [X] をクリックして、選択をキャンセルします。
タイムアウト
タイムアウト設定の種類は、次のとおりです:
- アイドルタイムアウト:非アクティブのセッションを終了する前にアイドル状態を維持できる時間(分)。
- アイドル警告の時間:警告メッセージがユーザーに送信されてからセッションが終了するまでの時間(分)。
たとえば、アイドルタイムアウトを「20」、アイドル警告の時間を「5」に設定した場合、セッションに15分間アクティビティがないと(20-5)、メッセージが表示されます。ユーザーが対応しないと、セッションは5分後に終了します。
設定を完了したら、[OK] をクリックします。
ポリシー
ポリシーページの設定により、次の項目を管理できます:
- クリップボード: クリップボードポリシーを有効にすると、リモートセッションとの間でコピーと貼り付けができるようになります。([クリップボード]ボタンがCitrix Workspaceアプリのツールバーから削除されます。)デフォルトでは、この設定は無効になっています。
- 印刷: 印刷を有効にすると、リモートWebページがPDFとして保存され、ユーザーのデバイスに転送されます。ユーザーは、Ctrl+Pキーを押してCitrix PDFプリンターを選択できます。デフォルトでは、この設定は無効になっています。
- 非キオスク: 非キオスクモードを有効にすると、インターフェイスがリモートブラウザーに復元されます。ユーザーは、ここでアドレスバーにアクセスして複数のタブとウィンドウを作成できます。(非キオスクモードを無効にすると、リモートブラウザーの各ナビゲーションコントロールとアドレスバーが削除されます。)デフォルトでは、この設定は有効です(非キオスクモードがオンになっている)。
- リージョンフェールオーバー: 現在のリージョンで問題が報告されている場合は、地域フェールオーバーポリシーにより、公開ブラウザーが自動的に別の地域に転送されます。オプトアウトするには、リージョンファイルオーバーポリシーを無効にします。リージョンの選択を [自動] にしてWebブラウザーを公開すると、セキュアなブラウザーはポリシーに登録されたままになります。デフォルトでは、有効になっています。
-
クライアントドライブマッピング: クライアントドライブマッピングポリシーを有効にすると、ユーザーは、リモートセッションとの間でファイルをアップロードおよびダウンロードできます。この機能は、Citrix Workspaceアプリで開始されたセッションでのみ使用できます。デフォルトでは、この設定は無効になっています。
-
ダウンロードしたファイルは、必ず
Anonxxx
ディレクトリ内のctxmnt
ディスクに保存する必要があります。これを行うには、ユーザーはファイルを保存する場所を指定する必要があります。(例:[Anonxxx]>[ctxmnt]>[C]> [ユーザー]>「ユーザー名」>[ドキュメント]) -
ダイアログボックスで、
ctxmnt
フォルダへのすべてのアクセスを許可するか、読み取り/書き込みアクセスをどのように許可するかを指定します。
-
- URLパラメーター: URLパラメーターを有効にすると、ユーザーがアプリを起動した際に新しいセッションの開始URLを変更できます。このポリシーを有効にするには、疑わしいWebサイトを特定し、それらをSecure Browserにリダイレクトするようローカルプロキシサーバーを構成します。デフォルトでは、この設定は無効になっています。詳しくは、「概念実証ガイド:AzureにおけるCitrix ADCを使用したSecure BrowserへのURLリダイレクト」を参照してください。
- ホスト名の追跡: ホスト名の追跡を使用して、ユーザーのセッション中にSecure Browserでホスト名をログに記録する機能を有効にします。このポリシーは、デフォルトでは無効になっています。この情報は、Citrix Analyticsと共有されています。詳しくは、「Citrix Analytics」を参照してください。
設定を完了したら、[OK] をクリックします。
許可リスト
許可リストタスクでは、公開されたセキュアなブラウザーとのセッション内で、ユーザーが許可リストに登録されたURLのみにアクセスできるように制限することができます。この機能は、外部認証済みのWebアプリで使用できます。
許可リストのエントリは「hostname:port number
」の形式で入力します。1行に1つずつ入力します。アスタリスクをワイルドカードとして使用できます。ブラウザーの要求は、許可リストの少なくとも1つのエントリと一致する必要があります。
たとえば、許可されたURLとしてhttps://example.com
を設定するには:
-
example.com:*
と入力すると、任意のポートからこのURLに接続できます。 -
example.com:80
と入力すると、ポート80からのみこのURLへの接続を許可します。 -
*:*
と入力すると、このURLへの任意のポートからのアクセスと、ほかのURLやポートへの任意のリンクからのアクセスを許可します。「*.*
」の形式で入力すると、公開アプリからすべての外部Webアプリへのアクセスが許可されます。この形式は、Webアプリの外部の許可リストに指定するデフォルト設定です。
設定を完了したら、[OK] をクリックします。
アクセス制御サービスと統合すると、高度なWebフィルター機能が利用できます。詳しくは、「ユースケース:アプリへのアクセスを選択的に許可するアクセスポリシーを設定する」を参照してください。
URLフィルタリング
リスクモデルに関連した事前定義のカテゴリごとにアクセス方法を制御するようURLフィルタリングを構成できます。以下は、URLフィルタリングオプションです:
-
なし - すべてのカテゴリを許可します。
-
低 - 不正または悪意のあるWebサイトによるリスクを管理しながら、Webサイトに最大限アクセスできるようにします。次のカテゴリが含まれます:
- 成人: 猟奇描写、性教育、ポルノ、ヌード、性的サービス、アダルト検索/リンク、水着と下着、アダルト雑誌とニュース、性的表現(テキスト)、フェチ、出会い系。
- コンピューティングとインターネット: リモートプロキシ、プライベートIPアドレス、ピアツーピアのファイル共有、トレント。
- ギャンブル: 懸賞、賞品、宝くじ、ギャンブル全般。
- 違法で有害: テロリズム、過激派、誹謗、中傷、武器、暴力、自殺、違法薬物、薬物、違法行為、マリファナ、主義主張全般。
- マルウェアとスパム: ハッキング、マルウェア、スパム、スパイウェア、ボットネット、感染サイト、フィッシングサイト、キーロガー、モバイルマルウェア、電話ボット、悪意および危険があるWebサイト。
-
中 - リスクを最小限に抑えながら、セキュリティ保護されていないWebサイトや悪意のあるWebサイトへの露出の可能性が低いカテゴリを許可します。次のカテゴリが含まれます:
- 成人: 猟奇描写、性教育、ポルノ、ヌード、性的サービス、アダルト検索/リンク、水着と下着、アダルト雑誌とニュース、性的表現(テキスト)、フェチ、出会い系。
- ビジネスと産業: オークション。
- コンピューティングとインターネット: 広告、バナー、リモートプロキシ、プライベートIPアドレス、ピアツーピアファイル共有、トレント。
- ダウンロード: モバイルアプリストア、ストレージサービス、ダウンロード、プログラムのダウンロード。
- メール: Webベースのメールおよびメールサブスクリプション。
- 金融: 暗号通貨。
- ギャンブル: 懸賞、賞品、宝くじ、ギャンブル全般。
- マルウェアとスパム: ハッキング、マルウェア、スパム、スパイウェア、ボットネット、感染サイト、フィッシングサイト、キーロガー、モバイルマルウェア、電話ボット、悪意および危険があるWebサイト。
- メッセージング、チャット、電話: インスタントメッセージおよびWebベースのチャット。
- ニュース、娯楽、社会: Wordpress(投稿とアップロード)、サポートされていないURL、オカルト、コンテンツなし、その他、ホロスコープ、占星術、運勢判断、飲酒、宗教、個人のWebページ、ブログ、オンラインゲーム。
- ソーシャルネットワーク: 写真の検索および共有サイト、IT掲示板、掲示板。
-
高 - セキュリティ保護されていないWebサイトや悪意のあるWebサイトにアクセスするリスクを最小限に抑えます。エンドユーザーは、引き続きリスクの低いWebサイトにアクセスできます。次のカテゴリが含まれます:
- 成人: 猟奇描写、性教育、ポルノ、ヌード、性的サービス、アダルト検索/リンク、水着と下着、アダルト雑誌とニュース、性的表現(テキスト)、フェチ、出会い系。
- ビジネスと産業: オークション。
- コンピューティングとインターネット: 広告、バナー、動的DNS、モバイルアプリ、パブリッシャー、パークドメイン、リモートプロキシ、プライベートIPアドレス、ピアツーピアファイル共有、トレント。
- ダウンロード: モバイルアプリストア、ストレージサービス、ダウンロード、プログラムのダウンロード。
- メール: Webベースのメールおよびメールサブスクリプション。
- 金融: 暗号通貨と金融商品。
- ギャンブル: 懸賞、賞品、宝くじ、ギャンブル全般。
- 違法で有害: テロリズム、過激派、誹謗、中傷、武器、暴力、自殺、違法薬物、薬物、違法行為、マリファナ、主義主張全般。
- 求人と履歴書: 雇用、キャリアアップ、LinkedIn(更新、メール、接続、ジョブ)。
- マルウェアとスパム: ハッキング、マルウェア、スパム、スパイウェア、ボットネット、感染サイト、フィッシングサイト、キーロガー、モバイルマルウェア、電話ボット、悪意および危険があるWebサイト。
- メッセージング、チャット、電話: インスタントメッセージおよびWebベースのチャット。
- ニュース、娯楽、社会: Wordpress(投稿とアップロード)、宿泊施設、旅行と観光、サポートされていないURL、政治、ファッションと美容、芸術と文化的イベント、リファレンス、レジャーと趣味、地域社会、その他、飲酒、人気のトピック、特別なイベント、ニュース、社会と文化、オンライン雑誌、オンラインゲーム、ライフイベント、オカルト、コンテンツなし、星占い、占星術、運勢判断、有名人、ストリーミングメディア、娯楽、施設、アクティビティ、個人のWebページとブログ、宗教。
- ソーシャルネットワーク: ソーシャルネットワーク全般、YikYak(投稿)、Twitter(投稿、メール、フォロー)、Vine(アップロード、コメント、メッセージ)、Google+(写真とビデオのアップロード、投稿、ビデオチャット、コメント)、Instagram (アップロードとコメント)、YouTube(共有とコメント)、Facebook(グループ、ゲーム、質問、ビデオのアップロード、写真のアップロード、イベント、チャット、アプリ、投稿、コメント、友達)、Tumblr(投稿、コメント、写真、ビデオのアップロード)、Pinterest(ピンとコメント)、IT掲示板、掲示板。
設定を完了したら、[OK] をクリックします。
編集
編集タスクでは、公開されたブラウザーの名前、開始URL、リージョン、またはパスコードを変更することができます。完了したら、[公開] をクリックします。
削除
削除タスクでは、公開されたセキュアなブラウザーを削除することができます。このタスクを選択すると、削除確認メッセージが表示されます。
使用状況の監視
[使用状況] タブには以下の内容が表示されます:
- 開始セッション数
- 使用期間(時間)
使用状況の詳細を含むスプレッドシートを作成するには、[CSVにエクスポート] をクリックして、確認する期間を選択します。
セキュリティの技術概要
Secure Browserサービスは、シトリックスによって管理および運用されるSaaS製品です。このサービスを使用すると、クラウドでホストされているWebブラウザーを介してWebアプリケーションにアクセスできます。
クラウドサービス
Citrix Secure Browserサービスは、Virtual Delivery Agents(VDA)上で実行されるWebブラウザーと、ユーザー管理とこれらのVDAへのユーザー接続を行う管理コンソールで構成されています。Citrix Cloudは、オペレーティングシステム、Webブラウザー、およびCitrixコンポーネントのセキュリティおよびパッチ適用など、これらのコンポーネントの運用を管理します。
Secure Browserサービスを使用している間、ホストされているWebブラウザーはユーザーの閲覧履歴を追跡し、HTTP要求のキャッシュを実行します。固定プロファイルが使用されているため、閲覧セッションが終了するとこのデータは確実に削除されます。
Secure Browserサービスには、HTML5対応のWebブラウザーでアクセスします。このサービスでは、ダウンロード可能なクライアントは使用しません。使用するブラウザーとクラウドサービスの間のすべてのトラフィックは、業界標準のTLSで暗号化されています。Secure Browserは、TLS 1.2のみをサポートしています。
Secure Browserの出力トラフィックは、指定のIPアドレスを使用して内部ネットワークを保護します。受け入れるIPアドレスのリストについては、Knowledge Centerの記事「CTX286379」を参照してください。
Webアプリケーション
Citrix Secure Browserサービスは、顧客またはサードパーティのWebアプリケーションを配信するために使用されます。Webアプリケーションの所有者にはセキュリティを管理する責任があり、Webサーバーとアプリケーションの脆弱性に対するパッチ適用などを行います。
Secure BrowserとWebアプリケーション間のトラフィックのセキュリティは、Webサーバーの暗号化設定によって異なります。インターネット上でこのトラフィックを保護するため、管理者はHTTPSのURLを公開します。
詳細情報
セキュリティ情報について詳しくは、次のリソースを参照してください:
- シトリックスセキュリティサイト:https://www.citrix.com/security
- Citrix Cloudドキュメント:セキュリティで保護されたCitrix Cloudプラットフォームの展開ガイド