Secure Browserサービス

Citrix Secure Browserサービスは、Web閲覧アクティビティを分離することにより、ブラウザーベースの攻撃から企業のネットワークを保護します。ユーザーデバイスを構成する必要なく、インターネットでホストされたWebアプリケーションに一貫してセキュアにリモートアクセスすることができます。管理者は、セキュアなブラウザーをすばやく展開することで、即時に価値を提供します。IT管理者は、インターネット閲覧を分離することで、企業ネットワークのセキュリティを損なうことなく、エンドユーザーに安全なインターネットアクセスを提供します。

ユーザーは、Citrix Workspace(またはCitrix Receiver)を使用してログオンし、構成済みのWebブラウザーでWebアプリを開くことができます。Webサイトとユーザーデバイスとの間で閲覧データが直接転送されないため、ユーザー操作中のセキュリティが保護されます。

Secure Browserサービスを使って、次の用途に使用するセキュアなブラウザーを公開できます:

  • 認証されていない外部Webアプリ。通常は推奨されませんが、認証されていない外部Webアプリを単純な概念実証に使用することがあります。
  • 認証済みの外部Webアプリ。認証済みの外部Webアプリを公開するには、少なくとも1つのCloud Connectorを含むリソースの場所が必要です(2つ以上を推奨)。詳しくは、『Citrix Cloud Connector』を参照してください。

Secure Browserサービスはまた、次の機能を提供します:

新機能

  • 2019年6月:現在のリージョンで問題が報告されている場合は、Secure Browserにより公開ブラウザーを自動的に別のリージョンに転送できるようになりました。オプトアウトするには、リージョンフェールオーバーポリシーを無効にする必要があります。詳しくは、「ポリシー」セクションを参照してください。
  • 2019年3月:このリリースでは全体のパフォーマンスと安定性の向上に役立つ機能強化が行われています。
  • 2018年11月:クライアントドライブマッピングポリシーを有効にして、リモートセッションとの間でファイルをアップロードおよびダウンロードできるようになりました。詳しくは、「ポリシー」セクションを参照してください。
  • 2018年11月:地理位置情報に基づいて、最も近いリージョンに自動的に接続するようにセキュアWebブラウザーを構成できるようになりました。詳しくは、「セキュアなブラウザーの公開」を参照してください。
  • 2018年10月:Secure Browserは5つの言語で使用できます。グローバリゼーションの情報について詳しくは、CTX119253を参照してください。
  • 2018年10月:リージョンサポートの追加:Secure Browserはオーストラリア東部のリージョンをサポートしています。
  • 2018年9月:公開ブラウザー用にカスタムアイコンをダウンロードできるようになりました。詳しくは、「セキュアなブラウザーの公開」を参照してください。
  • 2018年8月:Citrix Secure Browserサービスは、Citrix Workspaceと統合されました。詳しくは、『Citrix Workspaceとの統合』を参照してください。
  • 2018年8月:リージョンサポートの追加:セキュアWebブラウザーを公開するときに、米国東部、米国西部、西ヨーロッパ、東南アジアの各リージョンから選択できます。

導入

以下のビデオでは、Secure Browserの使用開始について説明しています。

Secure Browserの使用開始に関するビデオ

  1. Citrix Cloudにサインインします。アカウントをお持ちでない場合は、「Citrix Cloudへの登録」を参照してください。Citrix Secure Browserサービスの30日間トライアルをリクエストできます。
  2. Secure Browserサービスのタイルで、[トライアルをリクエスト] をクリックします。

    Secure Browserの[トライアルのリクエスト]ボタン

  3. 数分後にメールが届きます。このメールは、Citrix Cloudアカウントに関連付けられています。メール内のサインインリンクをクリックします。
  4. Citrix Cloudに再度サインインした後、Secure Browserサービスのタイルで [管理] をクリックします。

    Secure Browserの[管理]ボタン

  5. [Secure Browserへようこそ] ページで、[使用を開始する] をクリックします。説明に従って、最初のセキュアなブラウザーを公開します。

    Secure Browserの画面

Citrix Secure Browserサービスの購入について詳しくは、Citrix Cloudホームページの [購入方法] をクリックしてください。

Citrix Workspaceとの統合

Secure BrowserはCitrix Workspaceに統合できます。サービスが統合されていることを確認するには:

  1. Citrix Cloudにサインインします。
  2. 左上のメニューで、[ワークスペース構成] を選択します。
  3. [サービス統合] タブを選択します。
  4. Secure Browserサービスエントリが有効になっていることを確認します。無効になっている場合は、省略記号メニューをクリックし、 [有効化] を選択します。

認証は、Active DirectoryまたはAzure Active Directoryを使用して実行できます。Azure Active Directoryを選択した場合、Active Directoryドメインコントローラーを含むオンプレミスのドメインには、少なくとも1つ(2つ以上を推奨)のCloud Connectorが含まれている必要があります。詳しくは、次のトピックを参照してください:

オンプレミスStoreFrontへの統合

オンプレミスStoreFrontを使用しているCitrix Virtual Apps and Desktopsの顧客は、Secure Browserサービスと簡単に統合することで次の利点が得られます:

  • 公開されたセキュアなブラウザーを既存のCitrix Virtual Apps and Desktopsアプリで集約して、統合ストア環境を実現します。
  • ネイティブのCitrix Receiverを使用して、エンドユーザーエクスペリエンスを強化できます。
  • StoreFrontに統合された既存の多要素認証ソリューションを使用して、Secure Browser起動時のセキュリティを強化できます。

詳しくは、CTX230272およびStoreFrontの構成に関するドキュメントを参照してください。

セキュアなブラウザーの公開

セキュアなブラウザーを1つも公開していない場合、手順3から始めてください。

  1. Citrix Cloudにサインインします(まだサインインしていない場合)。Secure Browserサービスのタイルで、[管理] をクリックします。
  2. [管理] タブで、[Secure Browserの公開] をクリックします。 [Secure Browserの公開]ページ
  3. 公開するセキュアなブラウザーの種類を、[外部認証されていない](デフォルト)または[外部認証済み]から選択します。次に、[続行] をクリックします。デフォルトでは、ユーザー割り当てなしですべてのWorkspaceサブスクライバー(ユーザー)が、認証されていないアプリを使用できます。認証済みアプリの場合、Citrix Cloudのライブラリを使用して明示的にユーザーを追加する必要があります。

    ブラウザーの種類の選択画面

  4. [名前]と[開始URL]に入力し、リージョンを選択します。デフォルトでは、セキュアなブラウザーを公開するときにGoogle Chromeの実行可能ファイルのアイコンを使用します。公開ブラウザーに、独自のアイコンを表示することもできます。
    • [アイコンの変更]>[アイコンの選択] の順にクリックし、アイコンを選択してアップロードするか、[デフォルトのアイコンを使用] を選択し、既存のGoogle Chromeのアイコンを使用します。

    カスタムアイコン画面

    • 米国西部、米国東部、東南アジア、オーストラリア東部、西ヨーロッパの中から選択してください。
    • [自動] を選択すると、Secure Browserは地理位置情報に基づいて、最も近い地域に接続します。

    自動地域ルーティング

    • 完了したら、[公開] をクリックします。公開が完了すると、[管理]タブには、公開したブラウザーの一覧が表示されます。
  5. Citrix Cloudのライブラリを使用して、作成した認証済みのセキュアWebブラウザーにユーザーを追加します。行末尾にある右矢印をクリックして、ライブラリへのリンクを含む詳細ペインを展開します。

    ライブラリへのリンク

  6. このリンクをクリックし、説明に従って、作成したセキュアなブラウザーを含むライブラリ画面を表示します。セキュアなブラウザーを含むタイル内の省略記号をクリックし、[利用者を管理] をクリックします。利用者の追加について詳しくは、「ライブラリを使用してサービスオファリングにユーザーとグループを割り当てる」を参照してください。

公開済みのセキュアなブラウザーの管理

[管理] タブに、公開済みのセキュアなブラウザーの一覧が表示されます。管理タスクを利用するには、項目の行末尾にある省略記号をクリックし、タスクを選択します。

Secure Browser管理タスクメニュー

メニュー項目を選択して変更せずに終了する場合は、ダイアログボックスの外側にある [X] をクリックして、選択をキャンセルします。

閉じるボタン

タイムアウト

[タイムアウト]コンソール

タイムアウト設定の種類は、次のとおりです:

  • アイドルタイムアウト:非アクティブのセッションを終了する前にアイドル状態を維持できる時間(分)。
  • アイドル警告の時間:警告メッセージがユーザーに送信されてからセッションが終了するまでの時間(分)。

たとえば、アイドルタイムアウトを「20」、アイドル警告の時間を「5」に設定した場合、セッションに15分間アクティビティがないと(20-5)、メッセージがユーザーに送信されます。ユーザーが対応しないと、セッションは5分後に終了します。

設定を完了したら、[OK] をクリックします。

ポリシー

[ポリシー]コンソール

ポリシーページの設定により、次の項目を管理できます:

  • クリップボード: クリップボードポリシーを有効にすると、リモートセッションとの間でコピーと貼り付けができるようになります。([クリップボード]ボタンがCitrix Workspaceアプリのツールバーから削除されます。)デフォルトでは、この設定は無効になっています。
  • 印刷: 印刷を有効にすると、リモートWebページがPDFとして保存され、ユーザーのデバイスに転送されます。ユーザーは、Ctrl+Pキーを押してCitrix PDFプリンターを選択できます。デフォルトでは、この設定は無効になっています。
  • 非キオスク: 非キオスクモードを有効にすると、インターフェイスがリモートブラウザーに復元されます。ユーザーは、ここでアドレスバーにアクセスして複数のタブとウィンドウを作成できます。(非キオスクモードを無効にすると、リモートブラウザーの各ナビゲーションコントロールとアドレスバーが削除されます。)デフォルトでは、この設定は有効です(非キオスクモードがオンになっている)。
  • リージョンフェールオーバー: 現在のリージョンで問題が報告されている場合は、地域フェールオーバーポリシーにより、公開ブラウザーが自動的に別の地域に転送されます。オプトアウトするには、リージョンフェールオーバーポリシーを無効にする必要があります。リージョンの選択を [自動] にしてWebブラウザーを公開すると、セキュアWebブラウザーはポリシーに登録されたままになります。デフォルトでは、有効になっています。
  • クライアントドライブマッピング: クライアントドライブマッピングポリシーを有効にすると、ユーザーは、リモートセッションとの間でファイルをアップロードおよびダウンロードできます。この機能は、Citrix Workspaceアプリで開始されたセッションでのみ使用できます。デフォルトでは、この設定は無効になっています。
    • ダウンロードしたファイルは、必ず Anonxxxディレクトリ内のctxmntディスクに保存する必要があります。これを行うには、 ユーザーはファイルを保存する場所を指定する必要があります。(例:[Anonxxx]>[ctxmnt]>[C]> [ユーザー]>「ユーザー名」>[ドキュメント]

      Anonxxxディレクトリ

    • ダイアログボックスで、ctxmntフォルダへのすべてのアクセスを許可するか、読み取り/書き込みアクセスをどのように許可するかを指定します。

      ctxmntへのアクセス許可

設定を完了したら、[OK] をクリックします。

ホワイトリスト

[ホワイトリスト]コンソール

ホワイトリストタスクでは、公開されたセキュアなブラウザーとのセッション内で、ユーザーがホワイトリストに登録されたURLのみにアクセスできるように制限することができます。この機能は、外部認証済みのWebアプリで使用できます。

ホワイトリストのエントリは「hostname:port number」の形式で入力します。1行に1つずつ入力します。アスタリスクをワイルドカードとして使用できます。ブラウザーの要求は、ホワイトリストの少なくとも1つのエントリと一致する必要があります。

たとえば、ホワイトリストに登録されたURLとしてhttps://example.comを指定するには:

  • example.com:*と入力すると、任意のポートからこのURLに接続できます。
  • example.com:80と入力すると、ポート80からのみこのURLへの接続を許可します。
  • *:*と入力すると、このURLへの任意のポートからのアクセスと、ほかのURLやポートへの任意のリンクからのアクセスを許可します。「*.*」の形式で入力すると、公開アプリからすべての外部Webアプリへのアクセスが許可されます。この形式は、外部WebアプリのURLをホワイトリストに指定するデフォルト設定です。

設定を完了したら、[OK] をクリックします。

アクセス制御サービスと統合すると、高度なWebフィルター機能が利用できます。詳しくは、「ユースケース:アプリへのアクセスを選択的に許可するアクセスポリシーを設定する」を参照してください。

編集

編集タスクでは、公開されたブラウザーの名前、開始URL、またはリージョンを変更することができます。完了したら、[公開] をクリックします。

削除

削除タスクでは、公開されたセキュアなブラウザーを削除することができます。このタスクを選択すると、削除確認メッセージが表示されます。

使用状況の監視

[使用状況]コンソール

[使用状況] タブには以下の内容が表示されます:

  • 開始セッション数
  • 使用期間(時間)

使用状況の詳細を含むスプレッドシートを作成するには、[CSVにエクスポート] をクリックして、確認する期間を選択します。

セキュリティの技術概要

Secure Browserサービスは、シトリックスによって管理および運用されるSaaS製品です。このサービスを使用すると、クラウドでホストされているWebブラウザーを介してWebアプリケーションにアクセスできます。

クラウドサービス

Citrix Secure Browserサービスは、Virtual Delivery Agents(VDA)上で実行されるWebブラウザーと、ユーザー管理とこれらのVDAへのユーザー接続を行う管理コンソールで構成されています。Citrix Cloudは、オペレーティングシステム、Webブラウザー、およびCitrixコンポーネントのセキュリティおよびパッチ適用など、これらのコンポーネントの運用を管理します。

Secure Browserサービスを使用している間、ホストされているWebブラウザーはユーザーの閲覧履歴を追跡し、HTTP要求のキャッシュを実行することがあります。固定プロファイルが使用されているため、閲覧セッションが終了するとこのデータは確実に削除されます。

Secure Browserサービスには、HTML5対応のWebブラウザーでアクセスします。このサービスでは、ダウンロード可能なクライアントは使用しません。使用するブラウザーとクラウドサービスの間のすべてのトラフィックは、業界標準のTLSで暗号化されています。Secure Browserは、TLS 1.2のみをサポートしています。

Webアプリケーション

Citrix Secure Browserサービスは、顧客またはサードパーティのWebアプリケーションを配信するために使用されます。Webアプリケーションの所有者にはセキュリティを管理する責任があり、Webサーバーとアプリケーションの脆弱性に対するパッチ適用などを行います。

Secure BrowserとWebアプリケーション間のトラフィックのセキュリティは、Webサーバーの暗号化設定によって異なります。インターネット上でこのトラフィックを保護するため、管理者はHTTPSのURLを公開する必要があります。

詳細情報の表示

セキュリティ情報について詳しくは、次のリソースを参照してください:

そのほかの情報の入手先

開発者向け:Secure Browser ServiceのAPI(Tech Preview)