App Protectionの構成
App Protectionは、Citrix Workspaceアプリの使用時のセキュリティを強化します。 この機能により、キーロガーや画面キャプチャマルウェアによりクライアントが侵害される可能性が制限されます。 App Protectionでは、画面に表示されるユーザーの資格情報や個人情報などの機密情報の流出を防ぎます。 この機能を使うと、ユーザーおよび攻撃者がスクリーンショットを撮る、またはキーロガーを使用することにより機密情報を収集、悪用することを防ぐことができます。
この記事では、さまざまなプラットフォームのCitrix WorkspaceアプリでApp Protectionを構成する方法について説明します。
App Protectionは、次のプラットフォームのCitrix Workspaceアプリで利用できます:
- Windows向けCitrix Workspaceアプリ
- Mac向けCitrix Workspaceアプリ
- Linux向けCitrix Workspaceアプリ
- iOS向けCitrix Workspaceアプリ
- Android向けCitrix Workspaceアプリ
免責事項
App Protectionポリシーはオペレーティングシステムの必要な機能へのアクセスをフィルタリングします。 画面のキャプチャまたはキーボードの操作には、特定のAPI呼び出しが必要です。 App Protectionポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供します。 ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てくる場合があります。 引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。
Windows向けCitrix Workspaceアプリ
前提条件
- Citrix Virtual Apps and Desktopsバージョン1912 LTSR以降。
- StoreFrontバージョン1912 LTSRまたはWorkspace。
- Citrix Workspaceアプリバージョン2203.1 LTSR以降。
- 有効なApp Protectionライセンス
-
Citrix Workspaceアプリバージョン2212以降、Citrix Workspaceアプリのインストール中に、App Protectionコンポーネントがデフォルトでインストールされます。
インストール中に表示される [App Protectionを有効にする] チェックボックスは、インストール後に、[App Protectionを開始する] チェックボックスに置き換えられます。
-
2311より前のバージョンのCitrix Workspaceアプリの場合:
-
Citrix Workspaceアプリのバージョン2311以降:
このチェックボックスをオンにすると、インストール直後にApp Protectionが開始されます。
メモ:
このチェックボックスをオンにしない場合、App Protectionは、App Protectionの権限を持っている顧客の保護されたリソースまたはコンポーネントが最初に起動したときに自動的に開始されます。
-
構成
Windows向けCitrix Workspaceアプリの次のApp Protection機能を構成します:
-
キーロガー対策および画面キャプチャ対策:
- Virtual Apps and Desktopsの場合、「Virtual Apps and Desktopsのキーロガー対策および画面キャプチャ対策の構成」を参照してください。
- WebアプリおよびSaaSアプリの場合、「WebアプリまたはSaaSアプリのキーロガー対策と画面キャプチャ対策の構成」を参照してください。
- 認証およびSelf-service Plug-inの場合:
- Global App Configuration ServiceのUIを使用する場合は、「認証およびSelf-service Plug-inのキーロガー対策および画面キャプチャ対策の構成」の「Global App Configuration ServiceのUIの使用」を参照してください
- グループポリシーオブジェクトを使用する場合は、「認証およびSelf-service Plug-inのキーロガー対策および画面キャプチャ対策の構成」の「グループポリシーオブジェクトの使用」を参照してください
- APIを使用する場合は、「認証およびSelf-service Plug-inのキーロガー対策および画面キャプチャ対策の構成」の「Global App Configuration Service APIの使用」を参照してください
- DLLインジェクション対策機能を構成するには、「DLLインジェクション対策機能の構成」を参照してください。
- App Protectionポリシーの改ざんの検出の構成を行うには、「App Protectionのポリシー改ざんの検出の構成」を参照してください。
- App Protectionのセキュリティ態勢チェックを構成するには、「App Protectionのセキュリティ態勢チェックの構成」を参照してください。
- ダブルホップ起動をブロックする設定を有効にするには、「ダブルホップ起動のブロック」を参照してください。
制限事項
- この機能は、Windows 11、Windows 10などのデスクトップオペレーティングシステムでのみサポートされます。
- バージョン2006.1以降、Citrix WorkspaceアプリはWindows 7ではサポートされていません。 そのため、App ProtectionはWindows 7では機能しません。 詳しくは、「廃止」を参照してください。
- この機能は、リモートデスクトッププロトコル(RDP)ではサポートされません。
コマンドラインインターフェイス
コマンドラインパラメーターの/startappprotectionを使用してApp Protectionコンポーネントを開始することができます。 ただし、以前の/includeappprotectionスイッチは廃止されました。
次の表に、展開に応じて保護される画面に関する情報を示します:
| App Protectionの展開 | 保護される画面 | 保護されない画面 |
|---|---|---|
| Citrix Workspaceアプリに含まれる | Self-service Plug-inとAuthentication Manager/[ユーザー資格情報]ダイアログボックス | コネクションセンター、デバイス、Citrix Workspaceアプリのエラーメッセージ、クライアントの自動再接続、アカウントの追加 |
| Controllerで構成 | ICAセッション画面(アプリとデスクトップの両方) | コネクションセンター、デバイス、Citrix Workspaceアプリのエラーメッセージ、クライアントの自動再接続、アカウントの追加 |
スクリーンショットを撮っているときは、保護されたウィンドウだけが黒く表示されます。 保護されたウィンドウの外側の領域のスクリーンショットは撮ることができます。 ただし、PrtScrキーを使用してWindows 10デバイスでスクリーンショットをキャプチャする場合は、保護されたウィンドウを最小化する必要があります。
以前は、Citrix認証画面とCitrix Workspaceアプリ画面では、画面キャプチャ対策機能とキーロギング防止機能がデフォルトで適用されていました。 しかし、2212以降、これらの機能はデフォルトで無効となり、現在はグループポリシーオブジェクトを使用して構成する必要があります。
メモ:
このGPOポリシーは、ICAおよびSaaSセッションには適用されません。 ICAおよびSaaSセッションは、引き続きDelivery ControllerおよびCitrix Secure Private Accessを使用して制御されます。
App Protectionの機能強化:
Windows向けCitrix Workspaceアプリ2305以降では、次の基準のいずれかが満たされる場合、認証画面とSelf-service Plug-in画面でキーロガー対策が有効になります:
- 次のいずれかを使用してApp Protectionを有効にしました:
- インストール中に [App Protectionを開始する] チェックボックスをオンにする。
- コマンドラインパラメーターの/startappprotectionを使用してApp Protectionコンポーネントを開始する。
- インストール中に [App Protectionを開始する] チェックボックスをオンにしていない場合、または/startappprotectionコマンドラインパラメーターを使用していない場合は、最初の保護されたリソースを起動した後にキーロガー対策保護が有効になります。
メモ:
Global App Configuration Serviceとグループポリシーオブジェクトの設定は、直前の動作を上書きします。 たとえば、これらの画面に対してGACSまたはGPOポリシーを無効にしている場合、認証画面とSSP画面ではキーロガー対策が有効になりません。
Linux向けCitrix Workspaceアプリ
バージョン2108以降、App Protection機能の全機能が使用可能になりました。 この機能はVirtual Apps and Desktopsをサポートし、デフォルトで有効になっています。 ただし、AuthManConfig.xmlファイルでApp Protection機能を構成して、Authentication ManagerとSelf-service Plug-inインターフェイスで有効にする必要があります。
前提条件
App Protectionは、Gnome Display Managerと併せて、次のオペレーティングシステムで最適に機能します:
- 64ビットUbuntu 22.04、Ubuntu 20.04、およびUbuntu 18.04
- 64ビットDebian 10およびDebian 9
- 64ビットCentOS 7
- 64ビットRHEL 7
- ARMHF 32ビットRaspberry Pi OS(Debian 10(buster)ベース)
- ARM64 Raspberry Pi OS(Debian 11(bullseye)ベース)
メモ:
バージョン2204より前のCitrix Workspaceアプリを使用している場合、App Protection機能は
glibc2.34以降を使用するオペレーティングシステムをサポートしません。
glibc2.34以降を使用するOSにApp Protection機能を有効にしたCitrix Workspaceアプリをインストールした場合、システムの再起動時にOSの起動に失敗することがあります。 OSの起動エラーから回復するには、次のいずれかを実行します:
- OSを再インストールします。
- OSのリカバリモードに移動し、ターミナルを使用してCitrix Workspaceアプリをアンインストールします。
- ライブOSから起動し、既存のOSから
rm -rf /etc/ld.so.preloadファイルを削除します。
App Protectionコンポーネントのアンインストール
-
tarballパッケージを使用してCitrix Workspaceアプリをインストールすると、次のメッセージが表示されます:App Protectionコンポーネントをインストールしますか? 警告:この機能を無効にすることはできません。 無効にするには、Citrix Workspaceアプリをアンインストールする必要があります。 詳しくは、システム管理者にお問い合わせください。 [デフォルトは$INSTALLER_N]:
-
Yを入力して、App Protectionコンポーネントをインストールします。 App Protectionはデフォルトではインストールされません。
-
変更を反映するためにマシンを再起動します。 App Protectionは、マシンを再起動した後にのみ正常に機能します。
RPMパッケージへのApp Protectionコンポーネントのインストール
バージョン2104以降、Citrix WorkspaceアプリのRPMバージョンでApp Protectionがサポートされています。
App Protectionをインストールするには、次の手順を実行します:
- Citrix Workspaceアプリをインストールします。
- Citrix WorkspaceアプリインストーラーからApp Protection
ctxappprotection<version>.rpmパッケージをインストールします。 - 変更を反映するにはシステムを再起動します。
DebianパッケージへのApp Protectionコンポーネントのインストール
バージョン2101以降、Citrix WorkspaceアプリのDebianバージョンでApp Protectionがサポートされています。
App Protectionコンポーネントをインストールするには、Citrix Workspaceアプリをインストールする前に、ターミナルから次のコマンドを実行します:
export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"
sudo debconf-show icaclient
* app_protection/install_app_protection: yes
sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->
Citrix Workspaceアプリではバージョン2106以降、Authentication ManagerインターフェイスとSelf-service Plug-inインターフェイスの両方で、キーロガー対策および画面キャプチャ対策機能を個別に構成できるオプションが導入されます。
構成
Linux向けCitrix Workspaceアプリの次のApp Protection機能を構成します:
- 認証画面のキーロガー対策と画面キャプチャ対策を構成するには、「Authentication ManagerでのAuthManConfig.xmlを使用した構成」を参照してください。
- Self-service Plug-in画面のキーロガー対策と画面キャプチャ対策を構成するには、「Self-Service Plug-inインターフェイスでのAuthManConfig.xmlを使用した構成」を参照してください。
- Virtual Apps and Desktopsのキーロガー対策と画面キャプチャ対策を構成するには、「Virtual Apps and Desktopsのキーロガー対策および画面キャプチャ対策の構成」を参照してください。
- App Protectionポリシーの改ざんの検出の構成を行うには、「App Protectionのポリシー改ざんの検出の構成」を参照してください。
- App Protectionのセキュリティ態勢チェックを構成するには、「App Protectionのセキュリティ態勢チェックの構成」を参照してください。
Mac向けCitrix Workspaceアプリ
Mac向けCitrix Workspaceアプリの次のApp Protection機能を構成します:
- Global App Configuration ServiceのUIを使用した認証とSelf-service Plug-inのキーロガー対策と画面キャプチャ対策の構成については、「Global App Configuration ServiceのUIを使用した認証およびSelf-service Plug-inのキーロガー対策および画面キャプチャ対策の構成」を参照してください。
- APIを使用した認証とSelf-service Plug-inのキーロガー対策と画面キャプチャ対策の構成については、「GACS APIを使用した認証およびSelf-service Plug-inのキーロガー対策および画面キャプチャ対策の構成」を参照してください。
- Virtual Apps and Desktopsのキーロガー対策と画面キャプチャ対策を構成するには、「Virtual Apps and Desktopsのキーロガー対策および画面キャプチャ対策の構成」を参照してください。
- WebアプリとSaaSアプリのキーロガー対策と画面キャプチャ対策を構成するには、「WebアプリとSaaSアプリのキーロガー対策および画面キャプチャ対策の構成」を参照してください。
- App Protectionポリシーの改ざんの検出の構成を行うには、「App Protectionのポリシー改ざんの検出の構成」を参照してください。
- App Protectionのセキュリティ態勢チェックを構成するには、「App Protectionのセキュリティ態勢チェックの構成」を参照してください。
iOS向けCitrix Workspaceアプリ
バージョン24.9.0以降、App Protection機能の全機能が使用可能になりました。 この機能は以下をサポートし、デフォルトで有効になっています。
- Virtual Apps and Desktops
- 社内WebアプリとSaaSアプリ
- 認証画面
キーロガー対策
前提条件
- Citrix Virtual Apps and Desktopsバージョン1912 LTSR以降。
- StoreFrontバージョン1912 LTSRまたはWorkspace。
- iOS向けCitrix Workspaceアプリバージョン24.7.0以降。
- 有効なApp Protectionライセンス
免責事項:
App Protectionポリシーはオペレーティングシステムの必要な機能へのアクセスをフィルタリングすることで有効になります(画面のキャプチャまたはキーボードの操作が必要な特定のAPI呼び出し)。 つまり、このApp Protectionポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供できます。 ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てきます。 引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。
構成
iOS向けCitrix Workspaceアプリの次の項目に関して、キーロガー対策および画面キャプチャ対策機能を構成できます:
-
Citrix Virtual Apps and Desktops - Citrix Virtual Apps and Desktopsのキーロガー対策および画面キャプチャ対策機能は、DDCで構成できます。 App Protectionポリシーは、DDCのデリバリーグループに適用されます。 詳しくは、「Virtual Apps and Desktopsのキーロガー対策と画面キャプチャ対策の構成」を参照してください。
-
WebアプリおよびSaaSアプリ - WebおよびSaaSアプリのキーロガー対策および画面キャプチャ対策機能は、Secure Private Accessポリシーを通じて構成できます。 詳しくは、「WebアプリまたはSaaSアプリのキーロガー対策と画面キャプチャ対策の構成」を参照してください。
-
認証画面 - 認証画面のキーロガー対策および画面キャプチャ対策機能は、Global App Configuration Serviceおよび統合エンドポイント管理ソリューションを使用して構成できます。
Global App Configuration Serviceの使用
認証画面の画面キャプチャ対策機能は、以下を使用して構成できます:
- UIの使用
- APIの使用
UIの使用:
iOS向けCitrix Workspaceアプリ24.7.0バージョン以降では、Global App Configuration Service(GACS)を使用して認証画面のApp Protectionを構成できます。
GACSを使用して画面キャプチャ対策を有効にすると、この機能を認証画面に適用できます。
管理者は、ワークスペース構成UIを使用してApp Protectionを構成できます:
-
Citrix Cloudアカウントにサインインし、[ワークスペースの構成] を選択します。
-
[アプリ構成]>[セキュリティと認証]>[App Protection]を選択します。
-
[キーロガー対策] をクリックし、iOSオペレーティングシステムを選択します。
-
[画面キャプチャ対策] をクリックし、iOSオペレーティングシステムを選択します。
-
[有効] トグルボタンをクリックし、[下書きの公開] をクリックします。
-
[設定の公開] ダイアログボックスで、[はい] をクリックします。
APIの使用:
管理者は、APIを使用して、App Protection機能を構成できます。 iOS向けCitrix Workspaceアプリの設定は次のとおりです:
画面キャプチャ対策機能を有効または無効にする設定:
“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->
キーロガー対策機能を有効または無効にする設定:
“name”: “enable anti key-logging for auth ” “value”: “true” or “false”
<!--NeedCopy-->
例:
GACSでCitrix Workspaceアプリの画面キャプチャ防止機能とキーロガー対策機能を有効にするためのJSONファイルの例を次に示します:
{
"category": "App Protection",
"userOverride": false,
"assignedTo": [
"AllUsersNoAuthentication"
],
"settings": [{
"name": "Enable Anti Screen Capture For Auth",
"value": "true"
},
{
"name": "Enable Anti Key Logging For Auth",
"value": "true"
}]
}
<!--NeedCopy-->
統合エンドポイント管理ソリューションの使用
iOS向けCitrix Workspaceアプリのバージョン24.7.0以降では、管理者は認証画面でApp Protection機能を有効にできます。 管理者は、AppConfigベースのキーと値のペアを使用してこの機能を構成できます。
- 画面キャプチャ対策を有効にする場合:
- キー:
enableAntiScreenCaptureForAuth - 値の種類: ブール値
- 値:
- trueに設定すると、画面キャプチャ対策機能が有効になります。
- falseに設定すると、画面キャプチャ対策機能が有効になります。
- キー:
- キーロガー対策を有効にする場合:
- キー:
enableAntiKeyLoggingForAuth - 値の種類: ブール値
- 値:
- trueに設定すると、キーロガー対策機能が有効になります。
- falseに設定すると、キーロガー対策機能が有効になります。
- キー:
カスタムキーボードを無効にする手順
キーロガー対策機能が有効になっていて、[カスタムキーボードを使用する] トグルスイッチがオンになっている場合、仮想アプリ、仮想デスクトップ、Webアプリ、またはSaaSアプリを開くことができず、次のアラートメッセージが表示されます:
カスタムキーボードを無効にするには、次の手順を実行します:
-
前のアラートダイアログボックスで [キーボードオプション] をクリックします。
-
ストア設定で [カスタムキーボードを使用する] をオフにします。 [カスタムキーボードを無効にする] ダイアログボックスが開きます。
-
[カスタムキーボードを無効にする] ダイアログボックスで [終了] をクリックします。 [終了] ダイアログボックスが開きます。
-
「 OK」をクリックします。 Citrix Workspaceアプリは終了し、変更を反映するために自動的に再起動します。
制限事項
-
キーロギングの防止:
キーロギングの防止はソフトキーボードを通じてのみ有効になります。 ハードウェアキーボードはキーロガー対策機能で保護されません。
-
認証画面のキーロガー対策:
複数のストアが追加された場合、またはストアが削除された場合、認証画面でキーロガー対策はサポートされていません。
-
システムブラウザー:
システムブラウザーを使用する場合、認証画面でキーロガー対策機能はサポートされていません。
-
Web Interface認証画面:
画面キャプチャ対策機能とキーロガー対策機能は、Web Interface認証画面ではサポートされていません。
画面キャプチャ対策
iOS向けCitrix Workspaceアプリ24.7.0バージョン以降、次の機能が有効になっています:
-
画面キャプチャ対策 - この機能は、不正な画面キャプチャ、録画、QuickTime画面のミラーリング、画面共有、アプリの切り替えを防止します。 画面キャプチャ対策機能は、認証画面、WebまたはSaaSアプリ、Citrix Virtual Apps and Desktopsで利用できます。 画面をキャプチャすると、画面に表示される実際のコンテンツの代わりに、「Screen Capture is disabled by your administrator for security reasons(セキュリティ上の理由により、画面キャプチャは管理者によって無効にされています)」というカスタムメッセージがキャプチャしたメディアに表示されます。 画面キャプチャ対策は、次のようなさまざまな形式の不正な画面アクセスから保護します:
- スクリーンショット: スクリーンショットが撮られないようにします。
- 画面録画: 画面録画ソフトウェアをブロックします。
- 画面のミラーリング: 他のデバイスへの画面のミラーリングを無効にします。
- 画面共有: 画面共有機能を制限します。
- アプリスイッチャー: アプリスイッチャーのプレビューに機密情報が表示されないようにします。
画面キャプチャ対策のマルチモニターサポート
この機能により、App Protectionは接続されているすべての画面に保護機能を拡張し、外部のマルチモニターで確実に画面を保護します。 iPadと外部モニターの両方のコンテンツが保護されています。
外部ディスプレイは、次の3つのモードすべてで保護されています:
- ミラーリング:iPadに接続された外部モニターのディスプレイをミラーリングできます。 画面キャプチャ対策では、両方の画面が保護され、承認されていない画面キャプチャからコンテンツを守ります。
- プレゼンテーション:iPadの画面をタッチパッドとして使用しながら、デスクトップを外部モニターに表示できます。 画面キャプチャ対策により、プレゼンテーション中の外部モニターのコンテンツとiPadのディスプレイの両方が確実に保護されます。
- 拡張:各ディスプレイに異なるビューや画面を表示できます。 画面キャプチャ対策はiPadと外部モニターの両方に適用され、スクリーンショットを確実に保護します。
Android向けCitrix Workspaceアプリ
前提条件
- Citrix Virtual Apps and Desktopsバージョン1912 LTSR以降。
- StoreFrontバージョン1912 LTSRまたはWorkspace。
- Android向けCitrix Workspaceアプリバージョン24.7.0以降。
- 有効なApp Protectionライセンス
構成
以下に関して、画面キャプチャ対策機能を構成できます:
-
Citrix Virtual Apps and Desktops - Citrix Virtual Apps and Desktopsの画面キャプチャ対策機能は、DDCで構成できます。 App Protectionポリシーは、DDCのデリバリーグループに適用されます。 詳しくは、「Virtual Apps and Desktopsのキーロガー対策と画面キャプチャ対策の構成」を参照してください。
-
WebアプリおよびSaaSアプリ - WebおよびSaaSアプリの画面キャプチャ対策機能は、Secure Private Accessポリシーを通じて構成できます。 詳しくは、「WebおよびSaaSアプリの画面キャプチャ対策の構成」を参照してください。
-
認証画面 - 認証画面の画面キャプチャ対策機能は、Global App Configuration Serviceおよび統合エンドポイント管理ソリューションを使用して構成できます。
Global App Configuration Serviceの使用
認証画面の画面キャプチャ対策機能は、以下を使用して構成できます:
- UIの使用
- APIの使用
UIの使用:
Citrix Workspaceアプリでは、Global App Configuration Service(GACS)を使用して認証画面のApp Protectionを構成できます。
GACSを使用して画面キャプチャ対策を有効にすると、この機能を認証画面に適用できます。
管理者は、ワークスペース構成UIを使用してApp Protectionを構成できます:
-
Citrix Cloudアカウントにサインインし、[ワークスペースの構成] を選択します。
-
[アプリ構成]>[セキュリティと認証]>[App Protection]を選択します。
-
[画面キャプチャ対策] をクリックし、Androidオペレーティングシステムを選択します。
-
[有効] トグルボタンをクリックし、[下書きの公開] をクリックします。
-
[設定の公開] ダイアログボックスで、[はい] をクリックします。
APIの使用:
管理者は、APIを使用して、App Protection機能を構成できます。 Android向けCitrix Workspaceアプリの画面キャプチャ対策を有効または無効にする設定:
“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->
例:GACSでCitrix Workspaceアプリの画面キャプチャ対策機能を有効にするためのJSONファイルの例を次に示します:
{
"category": "App Protection",
"userOverride": false,
"assignedTo": [
"AllUsersNoAuthentication"
],
"settings": [{
"name": "Enable Anti Screen Capture For Auth",
"value": "true"
},
]
}
<!--NeedCopy-->
統合エンドポイント管理ソリューションの使用
Android向けCitrix Workspaceアプリのバージョン24.7.0以降では、管理者は認証画面でApp Protection機能を有効にできます。 管理者は、AppConfigベースのキーと値のペアを使用してこの機能を構成できます。
-
画面キャプチャ対策を有効にする場合:
- キー:
enableAntiScreenCaptureForAuth - 値の種類: ブール値
- 値:
- trueに設定すると、画面キャプチャ対策機能が有効になります。
- falseに設定すると、画面キャプチャ対策機能が無効になります。
- キー:
推奨
App Protectionポリシーは、主にエンドポイントのセキュリティと保護を強化することに重点を置いています。 環境に関するその他のセキュリティ推奨事項とポリシーをすべて確認します。 セキュリティと制御のポリシーテンプレートは、許容率が低い環境での推奨構成に使用できます。 詳しくは、「ポリシーテンプレート」を参照してください。