Citrix App Protection 使用方法のご紹介

こんにちは。Citrix製品のサポートを担当している小路（こうじ）です。

以前「Citrix App Protection で情報漏洩対策と情報資産保護を強化」の記事でCitrix App Protectionを紹介させていただきました。
今回の記事は、Citrix App Protectionの使用方法として、既存のCitrix Virtual Apps and Desktops環境にCitrix App Protectionを追加する手順と動作確認方法を説明します。

（１）動作確認環境
（２）事前準備
　　　・製品バージョンの確認
　　　・Citrix App Protectionライセンスのインストール（Citrixライセンスサーバ）
　　　・Workspace appのアプリ保護機能の有効化（クライアント端末）
　　　・App Protection Policiesのダウンロード（デリバリーコントローラサーバ）
（３）設定方法
（４）動作確認
（５）まとめ

（１）動作確認環境

今回動作確認に使用する環境は下図となります。

動作確認にあたり、以下のツールを使用しています。
※使用しているツールについては、参考情報となります。ツールの利用におきましては、自己責任での利用をお願いします。

WinShot
http://www.woodybells.com/winshot.html
Spyrix Free Keylogger
http://www.spyrix.com/ja/spyrix-free-keylogger.php

（２）事前準備

製品バージョンの確認

Citrix App Protectionの利用には、下記製品バージョンが必要となります。

・サーバ側
　Citrix Virtual Apps and Desktops 1912以降
　※サポートされるOSは、こちらのバージョンでサポートされるWindows OSです。

・クライアント端末側
　Windows向けCitrix Workspace app 1912以降またはMac向けCitrix Workspace app 2001以降
　※サポートされるOSは、Windows 10、Windows 8.1、macOS High Sierra（10.13）以降です。

Citrix App Protectionライセンスのインストール（Citrixライセンスサーバ）

Citrix App Protectionを使用するためには、Citrix Virtual Apps and Desktops製品ライセンスの他にCitrix App Protectionのアドオンライセンスが必要となります。

　評価版ライセンスをご希望の場合は、弊社担当営業までご相談ください。

製品ライセンスと同様にCitrixライセンスサーバへライセンスをインストールします。

※参考画像
「Citrix App Protection」ライセンスをインストール後のライセンス管理コンソール画面

Workspace appのアプリ保護機能の有効化（クライアント端末）

Citrix App Protectionの機能を利用するためには、サーバ側での設定の他に、クライアント端末側のWorkspace appで「アプリ保護」を有効化する必要があります。

※「アプリ保護」は、Windows向けWorkspace app 1912以降またはMac向け Workspace app 2001以降で使用可能な機能です。

「アプリ保護」の有効化は、Workspace appインストール時のみ可能です。
有効化せずにインストールをしている場合は、再インストールが必要となる点にご注意ください。

Workspace appのインストールウィザード「アプリ保護」の画面にて、「アプリ保護を有効化する」にチェックを入れてインストールを完了します。

App Protection Policiesのダウンロード

ダウンロードサイトより、App Protection Policiesのxmlファイルをダウンロードし、デリバリーコントローラサーバに保存しておきます。
ダウンロードにはMyAccountのログインが必要です。

https://www.citrix.com/ja-jp/downloads/citrix-virtual-apps-and-desktops/

App Protection Policies 1912 LTSR, Cumulative Update1のリンク先より、Download Fileをクリックし、ダウンロードします。

（３）設定方法

ここからは、デリバリーコントローラサーバ、StoreFrontサーバでApp Protectionの機能を有効化するための設定を説明します。

デリバリーコントローラサーバの操作（１）

デリバリーコントローラサーバで事前にダウンロードしておいたApp Protection Policiesのファイル「FeatureTable.OnPrem.AppProtection.xml」をインポートします。
環境内に複数のデリバリーコントローラサーバが存在する場合は、何れかのデリバリーコントローラサーバで実行してください。

１．デリバリーコントローラサーバでPowerShellを管理者権限で起動します。

２．以下のコマンドでインポートを行います。以下は「C:\temp」に「FeatureTable.OnPrem.AppProtection.xml」を格納している場合の例となります。

Import-ConfigFeatureTable -Path C:\temp\FeatureTable.OnPrem.AppProtection.xml
※1行で記載してください

３．インポートが完了したことを確認するコマンドは以下となります。実行結果に「AppProtection」が表示されることを確認します。

Get-ConfigEnabledFeature | Select-String -Pattern 'AppProtection'

※参考画像

StoreFrontサーバの操作

StoreFrontサーバでApp Protectionの機能を有効化します。
環境内に複数台StoreFrontサーバが存在する場合、何れかのStoreFrontサーバでコマンドを実行し、StoreFront管理コンソールより「変更の伝達」を実施してください。

１．StoreFrontサーバでPowerShellを管理者権限で起動します。

２．以下のコマンドを実行します。

Add-STFFeatureState -Name "citrix.storefront.appprotectionpolicy.control" -IsEnabled $True

３．有効化されたことを確認するコマンドは以下となります。実行結果に「True」が表示されることを確認します。

Get-STFFeatureState -Name "citrix.storefront.appprotectionpolicy.control"

※参考画像

デリバリーコントローラサーバの操作（２）

デリバリーグループに対して、App Protectionの機能を有効化します。

１．デリバリーコントローラサーバでPowerShellを管理者権限で起動します。

２．以下のコマンドを順に実行します。対象のデリバリーグループ名を「test」としています。

Set-BrokerDesktopGroup -Name test -AppProtectionKeyLoggingRequired $True -AppProtectionScreenCaptureRequired $True
※1行で記載してください

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

３．有効化されたことを確認するコマンドは以下となります。実行結果に2つ「True」が表示されることを確認します。

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionKeyLoggingRequired | Format-Table -AutoSize
※1行で記載してください

※参考画像

（４）動作確認

App Protectionを有効化した後の動作確認として、以下を確認していきます。

　１．Receiver for Webでアクセスした場合
　２．WorkSpace appのログインウィンドウが表示されている状態での画面キャプチャ取得
　３．公開アプリケーションが表示されている状態での画面キャプチャ取得
　４．公開アプリケーション使用中にキーロガーで取得される文字列の確認

１．Receiver for Webでアクセスした場合

App Protectionを有効化したデリバリーグループのリソースは表示されません。
App Protectionは、ストア接続の場合にのみ有効となりますので、Receiver for Webでリソースのアイコンが表示されないのは期待する動作となります。

２．WorkSpace appのログインウィンドウが表示されている状態での画面キャプチャ取得

Citrix App Protectionは、Storeへログオンをしていなくても、Workspace appが起動している時点で機能が有効となります。
そのため、ログインウィンドウ（ユーザ名/パスワード入力画面）が表示されている状態で、画面キャプチャを取得しようとしても、クリップボードに画面キャプチャが保存されません。

・実際の画面
別端末からvSphere Clientのコンソールで接続した画面を取得しています。

・クライアント端末で画面キャプチャを取得
Workspace appのウィンドウが表示されずにデスクトップ画面のみが取得されています。

３．公開アプリケーションが表示されている状態での画面キャプチャ取得

基本的な動作は、「２．WorkSpace appのログインウィンドウが表示されている状態での画面キャプチャ取得」と同じとなります。

・実際の画面
別端末からvSphere Clientのコンソールで接続した画面を取得しています。

・クライアント端末で画面キャプチャを取得
公開アプリケーションのウィンドウが表示されずにデスクトップ画面のみが取得されています。

４．公開アプリケーション使用中にキーロガーで取得される文字列の確認

クライアント端末でキーロガーを起動し、取得されている文字列を確認します。
以下は実際にキーロガーで取得した際の画面キャプチャです。

１）「日付時刻 16:30:34」までは、Workspace appを起動する前の状態です。「値」に入力した文字が表示されており、キーロガーが動作していることを確認できます。

２）「日付時刻 16:31:24」からWorkspace appのログイン、公開アプリケーションの起動を行っています。

「ソース AuthManSvr.exe」はWorkspace appのログインウィンドウのプロセスです。ここではログインウィンドウでユーザ名、パスワードの入力操作を行っています。「値」の文字がランダムな文字列となっていることが確認できます。

３）「ソース wfica32.exe」は、Workspace appで公開アプリケーションを実行するためのプロセスです。ここでは、公開アプリケーションで起動したメモ帳内で「App Protection Test Key」と入力しています。「値」の文字がランダムな文字列となっていることが確認できます。

（５）まとめ

いかがでしたでしょうか。Citrix App Protectionを有効化するまでの一連の操作をご確認いただけたかと思います。一部コマンドの実行などはありますが、難しい操作は必要ありません。弊社検証環境でインストールを実施した際の所要時間は30分程度でした。

手軽にセキュリティのリスクを低減できるCitrix App Protectionを是非ご検討ください！