App Protection機能
この記事では、Windows向けCitrix Workspaceアプリ、Linux向けCitrix Workspaceアプリ、Mac向けCitrix WorkspaceアプリによってサポートされるApp Protection機能について説明します。
キーロガー対策
Windows向け、Linux向け、Mac向けCitrix Workspaceアプリの場合
暗号化を使用すると、App Protectionのキーロガー対策機能により、ユーザーが物理キーボードとスクリーンキーボードの両方で入力しているテキストが暗号化されます。キーロガー対策機能は、キーロガーツールがテキストにアクセスする前に、カーネルまたはOSレベルでテキストを暗号化します。クライアントエンドポイントにインストールされたキーロガーは、OSまたはドライバーからデータを読み取り、ユーザーが入力しているキーストロークの代わりにハッシュ化されたテキストをキャプチャします。App Protectionポリシーは、公開アプリケーションとデスクトップだけでなく、Citrix Workspace認証ダイアログに対しても有効です。Citrix Workspaceは、ユーザーが最初の認証ダイアログを開いた瞬間から保護されます。App Protectionはキーストロークを暗号化し、解読できないテキストをキーロガーに返します。
管理者は、次の種類のリソースに対してキーロガー対策を有効にすることを選択できます:
- Virtual Apps and Desktops
- 社内WebアプリとSaaSアプリ
- 認証画面
- Self-Service Plug-in(SSP)画面
Android向けCitrix Workspaceアプリでキーロガー対策が有効なアプリを開いたときの動作
App Protectionのキーロガー対策機能は、Android向けCitrix Workspaceアプリではまだサポートされていません。キーロガー対策が有効になっているアプリを開こうとすると、アプリは開かず、次のエラーメッセージが表示されます:
「Launch of this resource is disabled by your administrator for security reasons(セキュリティ上の理由により、このリソースの起動は管理者によって無効にされています)」
画面キャプチャ対策
Windows向け、Linux向け、Mac向けCitrix Workspaceアプリの場合
画面キャプチャ対策は、アプリが仮想アプリまたはデスクトップセッション内で画面のスクリーンショットや録画を試みることを防ぎます。画面キャプチャソフトウェアは、キャプチャ領域内のコンテンツを検出できません。アプリによって選択された領域がグレー表示になります。または、アプリはコピーするはずの画面セクションの代わりに何もキャプチャしません。画面キャプチャ対策機能は、Windowsの 切り取り&スケッチ、Snipping Tool、Shift + Ctrl + Print Screenキーに適用されます。
画面キャプチャ対策のもう1つのユースケースは、GoToMeeting、Microsoft Teams、Zoomなどの仮想会議やWeb会議アプリケーションで機密データの共有を防止することです。App Protectionは、アプリが保護されている場合にWeb会議で空白の画面を返すことで、意図しない共有を防ぎます。この機能により、機密データが組織から誤って漏えいすることがなくなります。この機能は、データ侵害を開示する場合の意図を問わないため、規制された業界でのコンプライアンスに役立ちます。
管理者は、次の種類のリソースに対して画面キャプチャ対策を有効にすることを選択できます:
- Virtual Apps and Desktops
- 社内WebアプリとSaaSアプリ
- 認証画面
- Self-Service Plug-in(SSP)画面
注:
2つの仮想デスクトップを起動し、一方の仮想デスクトップでは画面キャプチャ対策機能が有効になっており、もう一方の仮想デスクトップでは画面キャプチャ対策機能が有効になっていない場合、画面キャプチャ対策機能は両方の仮想デスクトップに適用されます。どちらの仮想デスクトップでもスクリーンショットを撮ることはできません。
画面キャプチャ対策が有効になっている仮想デスクトップを最小化した場合でも、画面キャプチャ対策機能は画面キャプチャ対策機能のない仮想デスクトップに引き続き適用されます。
画面キャプチャの検出と通知
Windows向けCitrix Workspaceアプリでは、保護されたリソースで画面キャプチャが試行された可能性がある場合に、通知を表示できます。App Protectionによって保護されるリソースについては、「[App Protectionによって保護される内容]」を参照してください(/en-us/citrix-workspace-app/app-protection.html#what-does-app-protection-protect) Windows向けCitrix Workspaceアプリでは、保護されたリソースで画面キャプチャが試行された可能性がある場合に、通知を表示できます。App Protectionによって保護されるリソースについては、「[App Protectionによって保護される内容]」を参照してください(/en-us/citrix-workspace-app/app-protection.html#what-does-app-protection-protect)
次の場合に通知が表示されます:
- 画面キャプチャツールを使用して、スクリーンショットを撮ったり、ビデオを録画したりしようとした。
- Print Screenキーを使用してスクリーンショットを撮ろうとした。
注:
- この通知は、スクリーンショットツールの実行中のインスタンスごとに1回だけ表示されます。ツールを再起動して画面をキャプチャしようとすると、通知が再度表示されます。
- Windows向けCitrix Workspaceアプリ2212以降では、サインインウィンドウとセルフサービス(ストア)ウィンドウはデフォルトで保護されていません。
Android向けCitrix Workspaceアプリの場合
この機能により、画面キャプチャマルウェアによってクライアントが侵害される可能性が制限されます。また、不正な画面キャプチャ、録画、ミラーリング、画面共有、アプリの切り替えも防止します。
画面キャプチャ対策機能は、認証プロセス、WebまたはSaaSアプリ、Citrix Virtual Apps and Desktopsで利用できます。Android向けCitrix Workspaceアプリではスクリーンショットを撮ることができません。画面をキャプチャしようとすると、スクリーンショットを撮ることは許可されていないというプロンプトが表示されます。
管理者は、次の項目に関して画面キャプチャ対策を有効にすることを選択できます:
- Virtual Apps and Desktops
- WebアプリおよびSaaSアプリ
- 認証画面
Android向けCitrix Workspaceアプリ24.7.0バージョン以降では、画面キャプチャ対策機能がデフォルトで使用可能になります。ただし、この機能を有効にするには、「構成」セクションで説明されている構成手順を実行してください。
制限事項:
-
App Protectionポリシーはストアごとにダウンロードされます。ストアにポリシーがダウンロードされていて、ポリシーがダウンロードされていない別のストアに移動する場合、新しいストアでは画面キャプチャ対策機能が保護されません。
-
ChromeCustomTabを使用する場合、認証画面では画面キャプチャ対策機能はサポートされません。ただし、この機能はネイティブ認証またはWebViewを使用する場合にサポートされます。ChromeCustomTabはクラウドストアではデフォルトで有効になっており、PowerShellモジュールを使用してAndroidWebViewTypeをwebviewに変更することで、WebViewに変更できます。詳しくは、「Set-WorkspaceCustomConfigurations」を参照してください。
DLLインジェクション対策
DLLインジェクション対策はセキュリティが強化され、Citrix Workspaceアプリを特定の不正なダイナミックリンクライブラリ(DLL)または信頼されていないモジュールから保護します。こうした信頼できないモジュールがインジェクトされた場合、Citrix Workspaceアプリはこれらの介入を検出し、そのモジュールの読み込みを停止します。また、セッションの起動前に信頼できないまたは悪意のあるDLLが検出された場合、App Protectionはセッションの起動をブロックし、エラーメッセージを表示します。エラーメッセージを閉じると、仮想アプリと仮想デスクトップのセッションが終了します。
この機能は、保護されたすべての仮想アプリとデスクトップ、およびCitrix Workspaceアプリの認証ウィンドウ(オンプレミス展開/StoreFront)に適用できます。
特定の信頼できない、または悪意のあるDLLが保護されたコンポーネントに存在する場合、すぐにセッションを終了します。
この機能強化では、信頼されていない、または悪意のあるDLLがブロックされたときに通知を表示します。メッセージを閉じると、仮想アプリと仮想デスクトップのセッションが終了します。
免責事項: この機能はオペレーティングシステムの必須機能へのアクセス(DLLの読み 込みが必要な特定のAPI呼び出し)をフィルタリングすることで機能します。これにより、この機能は、目的別に構築された特定のカスタムのハッカーツールからも保護できます。ただし、オペレーティングシステムの進化とともに、DLLの読み込みにも新しい方法が出てきます。引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。
この機能は、Windows向けCitrix Workspaceアプリバージョン2206以降でサポートされています。
注:
以前は、Citrix認証画面とCitrix Workspaceアプリ画面では、画面キャプチャ対策機能とキーロギング防止機能がデフォルトで適用されていました。しかし、2212以降、これらの機能はデフォルトで無効となり、現在はグループポリシーオブジェクトを使用して構成する必要があります。GPO構成について詳しくは、「App Protection構成の機能強化」を参照してください。
Microsoft TeamsのHDX最適化との互換性
最適化されたMicrosoft Teamsは、App Protectionが有効になっているCitrix WorkspaceアプリがDesktop Viewerモードの場合にのみ、画面共有をサポートします。Microsoft Teamsで[コンテンツを共有]をクリックすると、画面選択メニューに次のオプションが表示されます:
- 開いているアプリを共有する [ウィンドウ] オプション - このオプションは、VDAバージョンが2109以降の場合にのみ表示されます。
- VDAデスクトップ上のコンテンツを共有する [デスクトップ] オプション - このオプションは、Citrix Workspaceアプリの次のバージョンでのみ表示されます:
- Linux向けCitrix Workspaceアプリバージョン2311以降
- Mac向けCitrix Workspaceアプリバージョン2308以降
- Windows向けCitrix Workspaceアプリバージョン2309以降
注:
Linux向けCitrix Workspaceアプリの場合、デスクトップ共有オプションはデフォルトで無効になっています。これを有効にするには、次のようにconfig.jsonファイルに
UseGbufferScreenSharing
パラメーターを追加します:mkdir -p /var/.config/citrix/hdx_rtc_engine vim /var/.config/citrix/hdx_rtc_engine/config.json { "UseGbufferScreenSharing":1 } <!--NeedCopy-->
App Protectionが有効になっている最適化されたMicrosoft Teamsは、仮想モニターを個別に共有できるCitrix仮想モニターレイアウトもサポートしています。
制限事項:
- App Protectionが有効になっている最適化されたMicrosoft Teamsは、ローカルアプリアクセス (LAA) が有効になっている公開デスクトップでの画面共有をサポートしていません。
- BCRを使用したブラウザーコンテンツなど、クライアントがレンダリングしたコンテンツはキャプチャまたは共有できません。画面をキャプチャしようとすると、黒い画面として表示されます。
注:
Linux向けCitrix Workspaceアプリの場合、この機能はTechnical Preview段階にあります。
ローカルのApp Protection(プレビュー)
App Protectionは、エンドポイントでキーロガー、偶発的および悪意のあるスクリーンキャプチャから顧客を守るために強化されたセキュリティを提供します。現在、App Protection機能はWorkspaceリソースに対してのみ提供されています。この機能により、App Protection機能はエンドポイント上のローカルアプリに拡張されます。Windows向けCitrix Workspaceアプリ2210以降、WindowsデバイスのローカルアプリにApp Protectionを適用できます。
Podioフォームを使用して、この機能のプレビューに登録してください。
ポリシーの改ざんの検出
ポリシー改ざん検出機能は、App Protectionの画面キャプチャ対策ポリシーとキーロガー対策ポリシーが改ざんされている場合、ユーザーが仮想アプリまたはデスクトップセッションにアクセスできないようにします。ポリシーの改ざんが検出された場合、仮想アプリまたはデスクトップセッションは終了します。
注:
ポリシー改ざん検出機能は、将来のバージョンではデフォルトで有効になる予定です。
ポリシー改ざんの検出を構成するには、「ポリシー改ざん検出の構成」を参照してください。
セキュリティ態勢チェック
ポリシー改ざん検出機能をサポートしていないバージョンのCitrix WorkspaceアプリからApp Protectionポリシーで有効になっている仮想アプリおよびデスクトップの起動を検出してブロックするには、App Protectionのセキュリティ態勢チェックを有効にします。
注:
セキュリティ態勢チェックが有効で、セキュリティ態勢チェックをサポートしていないバージョンのCitrix Workspaceアプリを使用している場合、App Protectionポリシーが有効になっているセッションは終了します。
セキュリティ態勢チェックを構成するには、「セキュリティ態勢チェックの構成」を参照してください。
制限事項:
Microsoft AzureでホストされているWindows Workstation VDA(VDA 2308)を使用している場合、セキュリティ態勢チェックが断続的に動作を停止します。この制限は、VDAバージョン2311以降で解決されています。
ダブルホップシナリオでのApp Protectionのサポート
Windows向けCitrix Workspaceアプリ2405バージョン以降では、App ProtectionをシングルセッションVDAのワークステーションVDA(Windows 10やWindows 11など)にインストールした場合、ダブルホップシナリオでサポートされます。
ダブルホップとは、Citrix Virtual Desktopセッション内で実行されるCitrix Virtual AppまたはVirtual Desktopsセッションのシナリオを意味します。詳しくは、「Citrix Virtual Apps and Desktopsでのダブルホップ」を参照してください。
次の図はダブルホップのシナリオを示しています:
ダブルホップによるApp Protectionとは、最初のホップから開かれる仮想アプリとデスクトップでApp Protectionポリシーが有効になることを意味します。
App Protection機能が有効になっていて、保護された仮想アプリまたはデスクトップを開く場合、最初のホップをマルチセッションOS VDAまたはシングルセッションOS VDAにすることができます。
マルチセッションOS VDAおよびシングルセッションOS VDAでのダブルホップによるApp Protectionで予想される動作は次のとおりです:
マルチセッションOS VDAでのApp Protection
App Protectionは、マルチセッション OS VDA(Windows Server 2019やWindows Server 2022など)ではサポートされていません。したがって、そのようなマシンにはApp Protectionはインストールされていません。
マルチセッションOSでは、App ProtectionなしでCitrix Workspaceアプリをインストールできます。ただし、App Protectionポリシーが有効になっているリソースは列挙されず、マルチセッションOS VDAでは開くことはできません。
シングルセッションOS VDAでのApp Protection
Windows向けCitrix Workspaceアプリ2405バージョンでは、App Protection機能をワークステーションVDA(Windows 10やWindows 11など)にインストールした場合、ダブルホップシナリオでサポートされます。
現在、次の機能がサポートされています:
どのようなシナリオがサポートされていますか?
画面キャプチャ対策およびキーロガー対策が有効になっている2番目のホップの仮想アプリまたはデスクトップが、最初のホップの仮想デスクトップセッション内で開かれると、最初のホップの仮想デスクトップセッション内で実行されている画面キャプチャツールおよびキーロガーツールから保護されます。
どのようなシナリオがサポートされていないのですか?
-
最初のホップの仮想デスクトップでApp Protectionポリシーが有効になっていない場合、2番目のホップでApp Protectionポリシーが有効になっている場合でも、クライアントエンドポイントにインストールされている画面キャプチャツールとキーロガーツールによって、画面やキーストロークがキャプチャされる可能性があります。
-
エンドユーザーがRDPセッションを使用して最初のホップのマシンにアクセスしている場合、2番目のホップのApp Protectionはサポートされません。
この機能はデフォルトで有効になっているため、別途構成する必要はありません。管理者は、リソースのApp Protectionポリシーを構成する必要があります。
エンドツーエンドの保護に関する推奨事項
エンドツーエンドの保護を実現するには、各ホップ(最初のホップと2番目のホップの両方)でApp Protectionポリシーを有効にすることをお勧めします。この方法では、クライアントまたは最初のホップで実行されているキーロガーツールおよび画面キャプチャツールは、2番目のホップセッションの機密コンテンツをキャプチャできなくなります。
ダブルホップ起動のブロック
2405より前のバージョンのWindows向けCitrix Workspaceアプリを使用する場合、ダブルホップシナリオではApp Protection機能はサポートされません。ダブルホップシナリオでは、App Protection機能が有効になっている仮想アプリ、デスクトップ、Webアプリ、またはSaaSアプリを起動できます。ただし、App Protection機能は適用されません。
ダブルホップ シナリオでは、App Protection機能が有効になっている仮想アプリ、デスクトップ、Webアプリ、またはSaaSアプリの起動をブロックできます。
[ダブルホップ起動をブロックする] 設定を有効にする方法について詳しくは、「ダブルホップ起動をブロックする設定を有効にする」を参照してください。
App ProtectionのためのCitrix Analyticsサービス
Citrix Virtual Apps and Desktopsを使用すると、アクティビティやアクションに対応するユーザーイベントが生成されます。Citrix Analytics for Securityには、これらのユーザーイベントを記録し、それらに関する詳細情報を提供するセルフサービス検索という機能があります。セルフサービス検索を使用すると、これらのユーザーイベントを検索し、フィルタリングし、調査できるため、どのようなユーザーイベントが実行されたかを理解し、イベントの重大度に応じてアクションを実行できます。セルフサービス検索について詳しくは、「セルフサービス検索」を参照してください。
アプリとデスクトップのセルフサービス検索には、AppProtection.ScreenCapture
というイベントの種類があり、これを使用して、App Protectionポリシーが有効になっている仮想アプリまたはデスクトップのスクリーンショットを取ろうとしたかどうかを判断できます。ユーザー イベントを検索する方法について詳しくは、「イベントをフィルタリングするための検索クエリを指定する」を参照してください。
このサービスは次の情報を提供します:
- デバイスID
- 保護されたアプリのタイトル
- OSの追加情報
- 画面キャプチャのツール名
- 画面キャプチャのツールパス
スクリーンショットの許可リスト
Citrix Workspaceアプリ、仮想アプリとデスクトップ、またはSaaSアプリで、App Protectionのスクリーンキャプチャ対策ポリシーが有効になっている場合は、スクリーンショットツールを使用して画面をキャプチャすることはできません。
ただし、Windows向けCitrix Workspaceアプリ2402リリース以降では、スクリーンショットの許可リスト機能を使用して、アプリをスクリーンショットの許可リストに追加できるようになりました。この機能を使用すると、許可リストに登録されたアプリを使用して、App Protectionのスクリーンキャプチャ対策ポリシーが有効になっているリソースの画面をキャプチャできます。アプリをスクリーンショット許可リストに追加するには、「スクリーンショット許可リストの構成」を参照してください。
重要:
セキュリティ態勢が低下するため、許可リストに登録されたアプリをデバイス上で長期間実行することはお勧めしません。許可リストに登録されたアプリをトラブルシューティングなどのシナリオで使用して、一時的に画面を共有できます。以下の条件に従うことをお勧めします:
- App Protectionの画面キャプチャ対策機能が有効になっているリソースとともに、許可リストに登録されているアプリを短時間実行します。
- 必要なタスクが完了したら、許可リストに登録されたアプリを直ちに終了します。
- セキュリティを強化するために、App Protectionの画面キャプチャ対策機能が有効になっているリソースを使用して画面を共有するときに、ウォーターマークを追加します。
プロセスの除外リスト
デバイス上でプロセスまたはアプリケーションを起動すると、App Protectionが有効になっている場合は、各プロセスにApp Protection DLLが挿入されます。場合によっては、DLLとの互換性の問題により、プロセスまたはアプリケーションが動作しなくなることがあります。
Windows向けCitrix Workspaceアプリ2402リリース以降では、プロセスの除外リストに任意のプロセスを追加して、特定のプロセスへのApp Protection DLLの挿入を回避し、App Protection DLLの存在によって発生する互換性の問題から回復することができます。プロセス除外リストを構成するには、「プロセス除外リストの構成」を参照してください。
重要:
セキュリティ態勢が低下するため、プロセスを除外することはお勧めしません。これは、アプリケーションの使用を一時的にブロック解除して、詳しく調査をするためにサポートチケットを発行する場合に使用できます。
USBフィルタードライバー除外リスト
場合によっては、Citrix Workspaceアプリでゲーミングキーボードなどの特殊な外付けキーボードを使用すると、App Protection USBフィルタードライバーによって互換性の問題が発生し、キーボードの使用がブロックされることがあります。
Windows向けCitrix Workspaceアプリ2402リリース以降では、USBフィルタードライバーの除外リスト機能により、デバイスのベンダーIDと製品IDを使用して、Citrix Workspaceアプリとの互換性の問題があるUSBデバイスを除外できます。USBフィルタードライバー除外リストにデバイスを追加するには、「USBフィルタードライバー除外リストの構成」を参照してください。
注:
デバイスを永続的に除外することはお勧めしません。この機能は、ユーザーによるデバイスの使用を一時的にブロック解除し、サポート チケットを発行して互換性の問題をさらに調査するために使用します。