技術概要:アプリ保護
近年、すべての業界で事前持続的脅威 (APT) 攻撃が増加しています。攻撃者の目標は、一般的な選択および実行攻撃 (ランサムウェアなど) ではなく、ネットワーク内に留まり、長期間検出されないままにすることです。FireEyeの調査によると、南北アメリカの2018年の平均滞留時間は71日、EMEAは177日、アジア太平洋地域は204日です。2019年のデータ侵害調査レポートは、ほとんどのセキュリティ侵害が発見されるまでに数か月以上かかったと結論付けています。これにより、攻撃者は、攻撃を続行し、機密データを伝播、収集し、検出する前に(またはまったくも)そのデータを漏洩する時間を大幅に与えます。
エンドユーザーは、組織の攻撃面で最も弱い部分であると広く考えられています。攻撃者は、高度な方法を使用してユーザーをだましてエンドポイントにマルウェアをインストールすることが一般的になっています。マルウェアをインストールすると、ユーザーの資格情報、機密情報、会社の知的財産、機密データなどの機密データをサイレントに収集し、漏洩することができます。BYOデバイスの増加と管理対象外のエンドポイントからの企業リソースへのアクセスにより、エンドポイントはさらに脅威にさらされる領域になります。多くのユーザーが自宅から作業していると、エンドポイントデバイスの信頼性のないため、組織へのリスクが高まります。
仮想アプリとデスクトップを使用すると、エンドポイントの攻撃対象領域が大幅に削減されました。データはデータセンターに一元的に格納され、攻撃者がデータを盗むのははるかに困難になります。仮想セッションはエンドポイントで実行されておらず、ユーザーは通常、仮想セッション内にアプリをインストールする権限がありません。セッション内のデータは、データセンターまたはクラウドリソースの場所で安全です。ただし、侵害されたエンドポイントは、セッションキーストロークとエンドポイントに表示される情報をキャプチャできます。Citrixは、アプリ保護と呼ばれるアドオン機能を使用して、これらの攻撃ベクトルを防止する機能を管理者に提供します。この機能により、Citrix Virtual Apps and Desktops(CVAD)管理者は、1つ以上のデリバリーグループにポリシーを適用できます。ユーザーがこれらのデリバリーグループからセッションに接続すると、ユーザーのエンドポイントには、アンチスクリーンキャプチャまたはキーログ対策のいずれか、またはその両方がエンドポイントに適用されます。
アンチキーロギング
キーロガーは、顕著な損傷をすることなく、感染したマシンに残ることができるため、攻撃者がデータ漏洩の好まれるツールの1つです。ユーザー名/パスワードの組み合わせ、クレジットカード番号、機密データなど、ユーザーが入力したすべてのキーストロークが収集されます。収集されたデータは、後でサイレントにエクスポートされます。スパイウェア/キーロガーは攻撃者によって一般的に使用されています-それはセキュリティ侵害に存在するトップ3のマルウェアの種類の一つです。
暗号化により、アプリ保護のキーロギング防止により、ユーザーが物理キーボードとスクリーンキーボードの両方で入力しているテキストが文字化けされます。キーログ対策機能は、任意のキーログツールが Kernel/OS レベルからテキストにアクセスする前に、テキストを暗号化します。クライアントエンドポイントにインストールされたキーロガーは、OS/ドライバからデータを読み込んで、ユーザーが入力しているキーストロークの代わりにギブなキャプチャを行います。
アプリケーション保護ポリシーは、公開アプリケーションとデスクトップだけでなく、Citrix Workspace認証ダイアログでもアクティブになります。Citrix Workspaceは、ユーザーが最初の認証ダイアログを開いた瞬間から保護されます。
アンチスクリーンキャプチャ
アンチスクリーンキャプチャは、アプリが仮想アプリまたはデスクトップセッション内で画面のスクリーンショットや録画を試行することを防ぎます。スクリーンキャプチャソフトウェアは、キャプチャ領域内のコンテンツを検出できません。アプリによって選択された領域がグレー表示されるか、アプリはコピーする画面セクションではなく、何もキャプチャされません。アンチスクリーンキャプチャ機能は、切り取り領域とスケッチ、スニップツール、Shift+Ctrl+印刷画面に適用されます。
この保護は、Citrix Workspaceアプリ内からアクセスされるCitrix FilesまたはGoogle Drive やMicrosoft OneDriveなどの他のコネクタからのファイルにも適用されます。アプリはスクリーンスクレイパーから保護されており、Workspace内からのすべてのマイクロアプリとその通知も保護されています。
アンチスクリーンキャプチャの別の使用例は、仮想会議/Web会議アプリケーション(GoToMeeting、Microsoft Teams、Zoomなど)での機密データの共有を防止することです。誤配信(間違った受信者とデータを共有したり、意図しない対象者にデータを公開したりする)は、多くの業界を悩ませる一般的な脅威アクションです。2019年、医療業界では、誤配達がセキュリティインシデントの主な原因となっています。データとアプリケーションは、外部の脅威だけでなく、従業員からも保護されます。2019年のセキュリティインシデントの 34% に内部関係者が関与していますが、この数は一部の業界では高くなっています (教育部門が 45%、ヘルスケア分野では 59%)。
どのように動作するのですか?
アプリ保護ポリシーは、Windows および macOS オペレーティングシステムを実行しているクライアントエンドポイントを保護します。アプリ保護ポリシーは、画面やキーボードの押下をキャプチャするために必要な、基盤となるOSの特定の API 呼び出しへのアクセスを制御することによって機能します。したがって、アプリ保護ポリシーは、カスタムおよび専用のハッカーツールに対しても保護を提供できます。しかし、OSが進化するにつれて、画面とロギングキーをキャプチャする新しい方法が出現する可能性があります。Citrixは引き続き識別して対処しますが、特定の構成および展開における完全な保護を保証することはできません。
ユーザーがStoreFront にログインすると、エンドポイントのセキュリティ機能が評価され、利用可能なリソースと照合されます。アプリ保護ポリシーで保護されているアプリケーションとデスクトップは、エンドポイントがセキュリティ要件を満たしている場合にのみ表示されます。このような要件の 1 つは、App Protection コンポーネントがインストールされているかどうかを確認することです。
セキュリティを向上させるためには、ユーザーエクスペリエンスを犠牲にしなければならないことがよくあります。アプリ保護ポリシーは、エンドユーザーにシームレスに実装されます。
- クライアントがアプリ保護ポリシーをサポートしていないためにユーザーがアクセスできない場合、保護されたリソースはユーザーに表示されません。
- アンチスクリーンキャプチャは、保護されたウィンドウが画面上にある場合にのみ有効になります (ユーザーは保護されていないウィンドウのスクリーンショットを撮る必要がある場合は、最小化できます)
- アンチキーロギング保護は、保護されたウィンドウにフォーカスがある場合にのみ有効になります
概要
アプリ保護ポリシーは、エンドポイントにキーロガーまたはスクリーンキャプチャツールのいずれか、またはその両方をインストールした攻撃者からアプリケーションデータを保護するのに役立ちます。アプリ保護ポリシーにより、企業はBYODを採用し、リモートワーカー、請負業者、ギグエコノミーワーカーにリソースを拡張できます。アプリ保護ポリシーの設定、特定の要件、互換性の詳細については、アプリ保護製品のドキュメントをご覧ください。