アプリ保護の構成

Citrix Workspaceアプリを使用する際に、アプリ保護は強化されたセキュリティを提供します。この機能は、クライアントがキーロギングや画面キャプチャマルウェアによって侵害される可能性を制限します。アプリ保護は、ユーザー資格情報や画面に表示される機密情報などの機密情報の漏洩を防ぎます。この機能により、ユーザーや攻撃者がスクリーンショットを撮ったり、キーロガーを使用して機密情報を収集・悪用したりすることを防ぎます。

この記事では、さまざまなプラットフォーム上のCitrix Workspaceアプリでアプリ保護を構成する方法について説明します。

アプリ保護は、以下のプラットフォーム向けのCitrix Workspaceアプリで利用できます。

• ウィンドウズ向けシトリックスワークスペースアプリ
• マック向けシトリックスワークスペースアプリ
• Linux向けシトリックス ワークスペース アプリ
• iOS向けシトリックス ワークスペース アプリ
• Android向けシトリックス ワークスペース アプリ

免責事項

アプリ保護ポリシーは、基盤となるオペレーティングシステムの必要な機能へのアクセスをフィルタリングします。画面またはキーボードの押下をキャプチャするには、特定のAPI呼び出しが必要です。アプリ保護ポリシーは、カスタムおよび専用に構築されたハッカーツールに対しても保護を提供します。しかし、オペレーティングシステムが進化するにつれて、画面をキャプチャしたりキーをログに記録したりする新しい方法が出現する可能性があります。弊社はそれらを特定し対処し続けますが、特定の構成や展開における完全な保護を保証することはできません。

Windows向けシトリックス ワークスペース アプリ

前提条件

• シトリックス バーチャル アプリケーションズ アンド デスクトップス™ バージョン 1912 LTSR 以降。
• StoreFront バージョン 1912 LTSR または ワークスペース。
• Citrix Workspace アプリケーションのバージョン 2203.1 LTSR 以降。
• 有効なApp Protectionのライセンス

• Citrix Workspace app バージョン 2212 以降、App ProtectionコンポーネントはCitrix Workspace appのインストール中にデフォルトでインストールされます。

  インストール中に表示される App Protectionを有効にする チェックボックスは、インストール後にApp Protectionを開始する に置き換えられます。

  • Citrix Workspaceアプリのバージョン2311以前の場合:

    

  • シトリックス ワークスペース アプリ バージョン 2311 以降:

    

  このチェックボックスを選択すると、インストール直後にApp Protectionが開始されます。

  注:

  このチェックボックスを有効にしない場合、App Protectionの資格を持つお客様に対しては、保護されたリソースまたはコンポーネントが最初に起動したときにApp Protectionが自動的に開始されます。

構成方法

Windows向けCitrix Workspaceアプリの以下のアプリ保護機能を構成します。

• キーロギング対策とスクリーンショット対策:
  • Virtual Apps and Desktopsについては、「Virtual Apps and Desktopsのキーロギング対策とスクリーンショット対策を構成する」を参照してください。
  • WebおよびSaaSアプリの場合、WebおよびSaaSアプリのキーロギング対策と画面キャプチャ対策の構成を参照してください。
  • 認証およびセルフサービスプラグインの場合：
    • Global App ConfigurationサービスUIを使用する場合、Global App ConfigurationサービスUIを使用した認証およびセルフサービスプラグインのキーロギング対策と画面キャプチャ対策の構成を参照してください。
    • グループポリシーオブジェクトを使用する場合、グループポリシーオブジェクトを使用した認証およびセルフサービスプラグインのキーロギング対策と画面キャプチャ対策の構成を参照してください。
    • APIを使用する場合、GACS APIを使用した認証およびセルフサービスプラグインのキーロギング対策と画面キャプチャ対策の構成を参照してください。
• Anti-DLLインジェクション機能を構成するには、Anti-DLLインジェクション機能の構成を参照してください。
• App Protectionポリシー改ざんを構成するには、App Protectionポリシー改ざんの構成を参照してください。
• App Protectionポスチャチェックを構成するには、App Protectionポスチャチェックの構成を参照してください。
• DoubleHop起動ブロック設定を有効にするには、DoubleHop起動のブロックを参照してください。

制限事項

• この機能は、Windows 11およびWindows 10などのデスクトップオペレーティングシステムでのみサポートされています。
• バージョン2006.1以降、Citrix WorkspaceアプリはWindows 7ではサポートされていません。そのため、App ProtectionはWindows 7では機能しません。詳しくは、廃止を参照してください。
• この機能は、リモートデスクトッププロトコル（RDP）ではサポートされていません。

コマンドラインインターフェイス

App Protectionコンポーネントは、/startappprotectionコマンドラインパラメーターを使用して起動できます。ただし、以前の/includeappprotectionスイッチは非推奨です。

展開に応じて保護される画面に関する情報が次の表に示されています。

スクリーンショットを撮る際、保護されたウィンドウのみが黒く表示されます。保護されたウィンドウの外側の領域のスクリーンショットを撮ることはできます。ただし、Windows 10デバイスでPrtScrキーを使用してスクリーンショットをキャプチャする場合は、保護されたウィンドウを最小化する必要があります。

注：

このGPOポリシーは、ICAおよびSaaSセッションには適用されません。ICAおよびSaaSセッションは、引き続きDelivery ControllerとCitrix Secure Private Accessを使用して制御されます。

アプリ保護の機能強化：

Citrix Workspaceアプリ for Windows 2305以降では、以下のいずれかの条件が満たされている場合、認証画面およびセルフサービスプラグイン画面でアンチキーロギングが有効になります。

• 以下のいずれかの方法でApp Protectionを有効にしました。
  • インストール中にStart App Protectionチェックボックスを選択します。
  • /startappprotectionコマンドラインパラメーターを使用して、App Protectionコンポーネントを起動します。
• インストール中にStart App Protectionチェックボックスを選択しなかった場合、または/startappprotectionコマンドラインパラメーターを使用しなかった場合、最初の保護されたリソースを起動した後にアンチキーロギング保護が有効になります。

注：

グローバルアプリ構成サービスとグループポリシーオブジェクトの設定は、上記の動作を上書きします。たとえば、これらの画面でGACSまたはGPOポリシーを無効にしている場合、認証画面とSSP画面ではアンチキーロギングは有効になりません。

Linux向けシトリックスワークスペースアプリ

バージョン2108以降、App Protection機能は完全に機能するようになりました。この機能はVirtual Apps and Desktopsをサポートし、デフォルトで有効になっています。ただし、認証マネージャーとセルフサービスプラグインインターフェイスで有効にするには、AuthManConfig.xmlファイルでApp Protection機能を構成する必要があります。

App Protectionコンポーネントのインストール

1. tarballパッケージを使用してCitrix Workspaceアプリをインストールすると、次のメッセージが表示されます。App Protectionコンポーネントをインストールしますか？警告：この機能は無効にできません。無効にするには、Citrix Workspaceアプリをアンインストールする必要があります。詳細については、システム管理者に問い合わせてください。[default $INSTALLER_N]：

2. App Protectionコンポーネントをインストールするには、Yを入力します。App Protectionはデフォルトではインストールされません。

3. 変更を反映するには、マシンを再起動してください。App Protectionは、マシンを再起動した後にのみ期待どおりに動作します。

RPMパッケージへのApp Protectionコンポーネントのインストール

バージョン2104以降、App ProtectionはCitrix WorkspaceアプリのRPMバージョンでサポートされています。

App Protectionをインストールするには、次の手順を実行します。

1. Citrix Workspaceアプリをインストールします。
2. Citrix WorkspaceアプリインストーラーからApp Protection ctxappprotection<version>.rpmパッケージをインストールします。
3. 変更を反映させるには、システムを再起動します。

DebianパッケージへのApp Protectionコンポーネントのインストール

バージョン2101以降、App ProtectionはCitrix WorkspaceアプリのDebianバージョンでサポートされています。

App Protectionコンポーネントをインストールするには、Citrix Workspaceアプリをインストールする前に、ターミナルから次のコマンドを実行します。

export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
* app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

バージョン2106以降、Citrix Workspaceアプリでは、認証マネージャーとセルフサービスプラグインインターフェイスの両方で、キーロギング対策機能と画面キャプチャ対策機能を個別に構成するオプションが導入されています。

構成方法

Citrix Workspaceアプリ for Linuxの以下のアプリ保護機能を構成します。

• 認証画面のキーロギング対策と画面キャプチャ対策を構成するには、「認証マネージャーのAuthManConfig.xmlを使用した構成」を参照してください。
• セルフサービスプラグイン画面のキーロギング対策と画面キャプチャ対策を構成するには、「セルフサービスプラグインインターフェイスのAuthManConfig.xmlを使用した構成」を参照してください。
• Virtual Apps and Desktopsのキーロギング対策と画面キャプチャ対策を構成するには、「Virtual Apps and Desktopsのキーロギング対策と画面キャプチャ対策の構成」を参照してください。
• App Protectionポリシーの改ざんを構成するには、「App Protectionポリシーの改ざんの構成」を参照してください。
• App Protectionポスチャチェックを構成するには、「App Protectionポスチャチェックの構成」を参照してください。

アップグレード

注記:

App Protectionサービスは現在、アップグレードをサポートしていません。Citrix Workspaceアプリと並行してインストールされている場合、Citrix Workspaceアプリをアップグレードすると、App Protectionサービスが破損し、次のエラーメッセージが表示される可能性があります。 App Protectionコンポーネントがインストールされている間は、アップグレード操作はサポートされていません。アップグレードするには、Linux版Citrix Workspaceアプリをアンインストールし、マシンを再起動してから、新しいバージョンをインストールしてください。

アップグレード中の問題を回避するため、新しいバージョンをインストールする前に、Linux版Citrix Workspaceアプリの古いバージョンをアンインストールし、マシンを再起動することをお勧めします。詳細については、「インストール、アンインストール、および更新」を参照してください。

マック向け シトリックス ワークスペース アプリ

Mac向け Citrix Workspaceアプリの以下のアプリ保護機能を構成します。

• Global App ConfigurationサービスUIを使用して、認証およびセルフサービスプラグインのキーロギング対策と画面キャプチャ対策を構成するには、「Global App ConfigurationサービスUIを使用した認証およびセルフサービスプラグインのキーロギング対策と画面キャプチャ対策の構成」を参照してください。
• APIを使用して、認証およびセルフサービスプラグインのキーロギング対策と画面キャプチャ対策を構成するには、「GACS APIを使用した認証およびセルフサービスプラグインのキーロギング対策と画面キャプチャ対策の構成」を参照してください。
• Virtual Apps and Desktopsのキーロギング対策と画面キャプチャ対策を構成するには、「Virtual Apps and Desktopsのキーロギング対策と画面キャプチャ対策の構成」を参照してください。
• WebおよびSaaSアプリのキーロギング対策と画面キャプチャ対策を構成するには、「WebおよびSaaSアプリのキーロギング対策と画面キャプチャ対策の構成」を参照してください。
• App Protectionポリシーの改ざんを構成するには、「App Protectionポリシーの改ざんの構成」を参照してください。
• App Protectionポスチャチェックを構成するには、「App Protectionポスチャチェックの構成」を参照してください。

iOS向けシトリックス ワークスペース アプリ

キーロギング対策

前提条件

• シトリックス バーチャル アプリケーションズ アンド デスクトップス バージョン1912 LTSR以降。
• ストアフロント™ バージョン1912 LTSRまたはワークスペース。
• iOS版 シトリックス ワークスペース アプリ バージョン 24.9.0 以降。
• 有効なアップ プロテクション ライセンス。

免責事項:

App Protection ポリシーは、基盤となるオペレーティングシステムの必須機能（画面キャプチャやキーボード入力に必要な特定のAPI呼び出し）へのアクセスをフィルタリングすることで機能します。これにより、App Protection ポリシーは、カスタムの目的で構築されたハッカーツールに対しても保護を提供します。ただし、オペレーティングシステムが進化するにつれて、画面キャプチャやキーロギングの新しい方法が出現します。当社はそれらを特定し対処し続けていますが、特定の構成や展開において完全な保護を保証することはできません。

設定について

iOS 版 Citrix Workspace™ アプリでは、以下の項目に対してキーロギング対策および画面キャプチャ対策機能を構成できます。

• Citrix Virtual Apps and Desktops - Citrix Virtual Apps and Desktops のキーロギング対策および画面キャプチャ対策機能は、DDC で構成できます。App Protection ポリシーは、DDC のデリバリーグループに適用されます。詳細については、「Virtual Apps and Desktops のキーロギング対策と画面キャプチャ対策の構成」を参照してください。

• Web および SaaS アプリ - Web および SaaS アプリのキーロギング対策および画面キャプチャ対策機能は、Secure Private Access ポリシーを通じて構成できます。詳細については、「Web および SaaS アプリのキーロギング対策と画面キャプチャ対策の構成」を参照してください。

• 認証画面 - 認証画面のキーロギング対策および画面キャプチャ対策機能は、Global App Configuration service および Unified Endpoint Management ソリューション を使用して構成できます。

グローバルアプリ構成サービスの使用

認証画面の画面キャプチャ対策機能は、以下を使用して構成できます。

• UI の使用
• API の使用

UI の使用:

iOS向けシトリックス ワークスペース アプリ 24.9.0バージョン以降、シトリックス ワークスペース アプリは、Global App Configuration service (GACS) を使用して、認証画面のApp Protectionを設定できます。

GACSを使用して画面キャプチャ防止機能を有効にすると、認証画面に適用されます。

管理者は、Workspace Configuration UI を使用してアプリ保護を設定できます。

1. Citrix Cloud™アカウントにサインインし、ワークスペース構成を選択します。

   

2. アプリ構成 > セキュリティと認証 > アプリ保護を選択します。

   

3. Anti Key Loggingをクリックし、iOSオペレーティングシステムを選択します。

4. Anti Screen Captureをクリックし、iOSオペレーティングシステムを選択します。

5. Enabledトグルボタンをクリックし、Publish Draftsをクリックします。

6. Publish Settingsダイアログボックスで、Yesをクリックします。

   

APIの使用:

管理者はAPIを使用してApp Protection機能を構成できます。Citrix Workspaceアプリ for iOSの設定は次のとおりです。

画面キャプチャ防止を有効または無効にする設定:

“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

アンチキーロギングを有効または無効にする設定:

“name”: “enable anti key-logging for auth ” “value”: “true” or “false”
<!--NeedCopy-->

例:

以下は、GACS で Citrix Workspace アプリのアンチスクリーンキャプチャ機能とアンチキーロギング機能を有効にするための JSON ファイルのサンプルです。

{
          "category": "App Protection",
          "userOverride": false,
          "assignedTo": [
            "AllUsersNoAuthentication"
          ],
          "settings": [{
            "name": "Enable Anti Screen Capture For Auth",
            "value": "true"
          },
          {
            "name": "Enable Anti Key Logging For Auth",
            "value": "true"
          }]
        }

<!--NeedCopy-->

統合エンドポイント管理ソリューションの使用

Citrix Workspace アプリ for iOS のバージョン 24.9.0 以降、管理者は認証画面で App Protection 機能を有効にできます。管理者は、AppConfig ベースのキーと値のペアを使用してこの機能を構成できます。

• アンチスクリーンキャプチャを有効にするには:
  • キー: enableAntiScreenCaptureForAuth
  • 値の型: ブール値
  • 値:
    • true に設定すると、アンチスクリーンキャプチャ機能が有効になります。
    • false に設定すると、アンチスクリーンキャプチャ機能が有効になります。
• アンチキーロギングを有効にするには:
  • キー: enableAntiKeyLoggingForAuth
  • 値の型: ブール値
  • 値:
    • 「true」に設定されている場合、アンチキーロギング機能が有効になります。
    • 「false」に設定されている場合、アンチキーロギング機能が有効になります。

カスタムキーボードを無効にする手順

アンチキーロギング機能が有効になっており、「Use Custom keyboards」トグルスイッチがオンになっている場合、仮想アプリ、仮想デスクトップ、Webアプリ、またはSaaSアプリを開くことができず、次の警告メッセージが表示されます。

アンチキーロギングが有効です(/ja-jp/citrix-workspace-app/media/anti-keylogging-enabled-options.png)

カスタムキーボードを無効にするには、次の手順を実行します。

1. 前述の警告ダイアログボックスで「Keyboard Options」をクリックします。

2. ストア設定から「Use Custom keyboards」のチェックを外します。「Disable Custom Keyboards」ダイアログボックスが表示されます。

3. 「Disable Custom Keyboards」ダイアログボックスで「Exit」をクリックします。「Exiting」ダイアログボックスが表示されます。

4. 「OK」をクリックします。Citrix Workspaceアプリが終了し、変更を反映するために自動的に再起動します。

制限事項

• キーロギング防止:

  キーロギング防止は、ソフトキーボードでのみ有効です。ハードウェアキーボードは、アンチキーロギング機能によって保護されません。

• 認証画面のアンチキーロギング:

  複数のストアが関与する場合、ポリシーの違いにより競合が発生する可能性があります。

• システムブラウザ:

  システムブラウザを使用している場合、認証画面のアンチキーロギング機能はサポートされません。

• Webインターフェイス認証画面:

  Webインターフェイス認証画面では、アンチスクリーンキャプチャ機能とアンチキーロギング機能はサポートされていません。

アンチスクリーンキャプチャ

Citrix Workspaceアプリ for iOS バージョン24.9.0以降では、以下の機能が有効になります。

Android版 Citrixワークスペースアプリ

前提条件

• Citrixバーチャルアプリとデスクトップ バージョン1912 LTSR以降。
• StoreFront バージョン1912 LTSRまたはワークスペース。
• Android版 Citrixワークスペースアプリ バージョン24.7.0以降。
• 有効なアプリ保護ライセンス

構成方法

アンチスクリーンキャプチャ機能は、以下に対して構成できます。

• Citrix Virtual Apps and Desktops - Citrix Virtual Apps and Desktopsのアンチスクリーンキャプチャ機能はDDCで構成できます。App ProtectionポリシーはDDCのデリバリーグループに適用されます。詳細については、「Virtual Apps and Desktopsのアンチキーロギングとアンチスクリーンキャプチャを構成する」を参照してください。

• WebおよびSaaSアプリ - WebおよびSaaSアプリのアンチスクリーンキャプチャ機能は、Secure Private Accessポリシーを通じて構成できます。詳細については、「WebおよびSaaSアプリのアンチスクリーンキャプチャを構成する」を参照してください。

• 認証画面 - 認証画面のアンチスクリーンキャプチャ機能は、Global App Configuration serviceおよびUnified Endpoint Managementソリューションを使用して構成できます。

グローバルアプリ構成サービスの使用

認証画面のアンチスクリーンキャプチャ機能は、以下を使用して構成できます。

• UIの使用
• APIの使用

UIの使用:

Citrix Workspaceアプリでは、グローバルアプリ構成サービス (GACS) を使用して、認証画面のアプリ保護を構成できます。

GACSを使用してアンチスクリーンキャプチャ機能を有効にすると、それらは認証画面に適用されます。

管理者は、ワークスペース構成UIを使用してアプリ保護を構成できます。

1. Citrix Cloudアカウントにサインインし、ワークスペース構成を選択します。

   

2. アプリ構成 > セキュリティと認証 > アプリ保護を選択します。

   

3. Anti Screen Captureをクリックし、Androidオペレーティングシステムを選択します。

4. Enabledトグルボタンをクリックし、次にPublish Draftsをクリックします。

5. Publish Settingsダイアログボックスで、Yesをクリックします。

   公開設定(/ja-jp/citrix-workspace-app/media/publish-settings.png)

APIの使用:

管理者はAPIを使用してApp Protection機能を構成できます。Citrix Workspaceアプリ for Androidの画面キャプチャ防止を有効または無効にする設定は次のとおりです。

“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

例: 以下は、GACSでCitrix Workspaceアプリの画面キャプチャ防止機能を有効にするためのJSONファイルのサンプルです。

{
          "category": "App Protection",
          "userOverride": false,
          "assignedTo": [
            "AllUsersNoAuthentication"
          ],
          "settings": [{
            "name": "Enable Anti Screen Capture For Auth",
            "value": "true"
          },
         ]
        }

<!--NeedCopy-->

統合エンドポイント管理ソリューションの使用

Citrix Workspaceアプリ for Androidのバージョン24.7.0以降、管理者は認証画面のApp Protection機能を有効にできます。管理者は、AppConfigベースのキーと値のペアを使用してこの機能を構成できます。

• 画面キャプチャ防止を有効にするには:

  • キー: enableAntiScreenCaptureForAuth
  • 値の型: ブール値
  • 値:
    • trueに設定すると、画面キャプチャ防止機能が有効になります。
    • falseに設定すると、画面キャプチャ防止機能が無効になります。

推奨事項

アプリ保護ポリシーは、主にエンドポイントのセキュリティと保護を強化することに重点を置いています。環境内の他のすべてのセキュリティ推奨事項とポリシーを確認してください。リスク許容度が低い環境では、推奨される構成のためにセキュリティと制御ポリシーテンプレートを使用できます。詳細については、「ポリシーテンプレート」(/ja-jp/citrix-virtual-apps-desktops/policies/policies-templates.html)を参照してください。