[情報処理安全確保支援士]シンクライアントとVDI[無料講座・例題付き]

2023年1月19日

情報処理安全確保支援士 シンクライアントとVDI

今回は情報処理安全確保支援士試験で問われるシンクライアントVDIについて学習します。

アカリ
アカリ
最近リモートワークでシンクライアントを使うみたいな話が飛び交っているけど、意味わかんない・・・
トモル
トモル
シンクライアントはウイルス感染の被害も防げるらしいけど、どんな技術何だろうね?

シンクライアントとVDI

シンクライアントPCの環境を作ることで、PC環境の一元管理PC紛失時の情報漏えい防止マルウェア感染による被害の最小化などが図れます。

近年はリモートワークの普及に伴い、シンクライアントを導入する企業も増えています。

シンクライアントの概要

シンクライアント(thin client)は、クライアント端末側で入力・出力などの最小限の処理のみを行い、ソフトウェアの管理・実行・データの加工編集など大半の処理をサーバ側で行う一連のシステムです。

キュー
キュー
クライアント側でさまざまな処理をするシステムを、シンクライアントと対比してファットクライアントやシッククライアントと呼ぶで

シンクライアント登場時は最小限の機能を搭載したデバイスばかりでした。現在ではVDI技術を活用し、本来はファットクライアントとして用いられるデバイスを応用してシンクライアントのように用いる手法が普及しています。

シンクライアントを実現する方式として、以下のものがあります。

シンクライアント実現方式 特徴
ネットワークブート方式 ・クライアント起動時にネットワーク経由でOSやアプリケーションをサーバからダウンロードする方式
・データはサーバ側で管理し、ディスクへのアクセスはネットワークを通じて行う
・端末上で各種処理が実行されるため、使用感はファットクライアントと同様
・端末起動時やディスクアクセス時にネットワークに負担がかかる
画面転送方式 ・OSやアプリケーションはすべてサーバ側で実行し、画面を端末に転送する方式
・画面イメージのみを転送するため、ネットワークへの負荷は低い
・PCに限らず、タブレットもクライアントとして使用可能
・サーバと接続が切れれば一切使用不可能

また、画面転送方式としては以下のようなものがあります。

画面転送方式 特徴
サーバベース型 ・サーバ上のOSやアプリケーションを複数のユーザで共同管理しつつ、ユーザごとにデスクトップを提供する方式
・OSやアプリケーションがマルチユーザに対応していなければいけない
・クライアント集約率が高く、必要なソフトウェアライセンスが少ないため、コストパフォーマンスが高い
・複数のユーザでシステムリソース・OS・アプリケーションを共有するため、他ユーザからの干渉を受けやすく自由度が低い
ブレードPC型 ・ユーザごとにブレードPCと呼ばれる専用の物理PCを用意する方式
・ユーザはCPU・メモリ・OS・アプリケーションなどを占有できるため、他のユーザから干渉を受けない
・ユーザ数分のハードウェア・ソフトウェアライセンスが必要なため、コストパフォーマンスが低い
VDI型 ・仮想化技術を活用し、ハイパーバイザ上にユーザごとの仮想デスクトップ環境を用意する方式
・ユーザごとの自由度を確保しつつ、ブレードPC型よりも高いコストパフォーマンスを実現可能
・仮想環境のため、新規作成・廃棄・初期化などを容易に実行可能
・ユーザにテスクトップ環境を提供するタイプだけでなく、マルウェア感染によるリスク低減を主な目的として、仮想ブラウザ・仮想メールクライアントなど、特定のアプリケーション環境を提供するタイプが普及している

VDIとは

複数の画面転送方式のなかでも、近年主流となっているのがVDI型です。VDIの利用イメージを確認してみましょう。

VDI

VDIではVDIサーバ上に仮想的なPC環境をクライアントPCの台数分用意し、各VPCには最新のセキュリティパッチやウイルス定義ファイルが適用されたOS・アプリケーションがインストールされたマスタイメージを複製します。

VPC利用者は、専用のシンクライアント端末やファットクライアントによるVDI端末からVPC接続ソフトを用いてVDI接続サーバ上に接続します。VDI接続サーバは利用者を認証し、VDIサーバ上のVPCと端末を接続します。

外出先からはタブレット端末・ノートPC・スマートフォンなどから、VDIゲートウェイサーバやVPN装置を介してVPCに接続します。VDIの導入によるメリットは以下の通りです。

POINT
  • 端末の紛失・盗難による情報漏洩などの防止
  • インターネット利用環境と組織内の就業システム環境を分離し、マルウェア感染による情報流失・データ損壊などの被害を抑える
  • クライアントPC環境の一元管理によるセキュリティレベルの統一化
  • 利用者は外出時などで利用する端末が変わっても、同じVPC環境を利用できる

RBIとは

最近ではマルウェア感染による情報流失のリスク低減を目的として、インターネット上のWebサーバとの通信経路上にRBI(Remote Browser Isolation)を設置し、ブラウザの実行環境をPCから分離する技術も普及しています。

PBIはWeb分離・ブラウザ分離とも呼ばれていて、PCに代わってWebブラウザ機能を実行し、その結果をPCに画面転送します。PC上ではRBIの専用仮想ブラウザを実行することで、通常のブラウザ同様の操作感でアクセス可能です。

この方式を用いれば、Webアクセスによってマルウェアに感染してもその被害はRBIに閉じ込められるため、PCに被害が及びません。

RBIではPCごとに独立した仮想OS環境が提供されるため、あるPCのWebアクセスでマルウェアが侵入しても他のPCには影響がありません。また、RBI環境は利用のたびに初期化されるため、都度マルウェアも消去されます。

RBIの利用イメージも確認しておきましょう。

RBI

ユーザは1台のファットクライアントを操作しつつ、個人情報や機密情報を扱う内部システムと、インターネット利用環境とを分離することができ、インターネットから侵入・感染したマルウェアによって内部システムにまで被害が及ぶことを防げます。

しかし、RBIを使用してもWebやメールで外部から入手したファイルをファットクライアントのローカル環境で使用する際には、該当ファイルをコピーする前に十分なマルウェア検索をしなければいけません。

具体的な対策方法としては、PBIとクライアント間でのファイル授受に使用するファイルサーバに、サンドボックス型のマルウェア対策製品を導入することが考えられます。

キュー
キュー
図ではRBIはローカルネットワーク上にあるけど、実際はクラウドサービスとして提供されることもあるで

Webアイソレーション

VDIによるインターネット利用環境の分離同様に、近年ではコンテンツ無害化によるWebアイソレーション方式があります。

Webアイソレーション方式は、インターネット上のWebサイトと内部のクライアント端末との間に、コンテンツを無害化するサーバを置きます。

多くの場合、コンテンツ無害化サーバはクラウド上において、SaaS型のサービスとして提供されます。

WEBアイソレーション

WebサイトからのHTML・スクリプト・動画・文書などの各種コンテンツは、いったんコンテンツ無害化サーバの仮想コンテナに読み込まれてから実行されます。実行後はレンダリング処理によって安全な描画情報に書き換えられ、クライアント端末に送られます。

Webサイトのコンテンツに不正なプログラムや悪質なファイルが含まれていても、すべて描画情報に置き換えられているためクライアント端末は安全です。

また、RBIではクライアント端末においてRBI専用ブラウザを使用する必要がありますが、コンテンツ無害化によるWebアイソレーション方式においては氷人的なブラウザをそのまま利用できます。

スポンサーリンク

シンクライアントとVDI・例題

実際に例題を解いて問題に慣れていきましょう。

問1

内部ネットワークのPCからインターネット上のWebサイトを参照するときにDMZ上に用意したVDI(Virtual Desktop Infrastructure)サーバ上のWebブラウザを利用すると,未知のマルウェアがPCにダウンロードされて,PCが感染することを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。(H.30/春)

ア Webサイトからの受信データのうち,実行ファイルを削除し,その他のデータをPCに送信する。
イ Webサイトからの受信データのうち,不正なコード列が検知されない通信だけをPCに送信する。
ウ Webサイトからの受信データを処理してVDIサーバで生成したデスクトップ画面の画像データだけをPCに送信する。
エ Webサイトからの受信データを全てIPsecでカプセル化し,PCに送信する。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示

問1の解説を表示
VDI(Virtual Desktop Infrastructure)は、サーバ内にクライアントごとの仮想マシンを用意し、仮想デスクトップ環境を構築する技術です。ユーザは各端末からネットワークを通じてVDIサーバ上の仮想デスクトップに接続し、クライアントPCにはVDIサーバから転送される画像が表示されます。

この仕組みによって、クライアントがWEBと直接通信を行わなくてよいため、クライアントPCをインターネットから分離可能です。利用者の操作によりマルウェアなどをダウンロードしても、該当ファイルはVDIサーバ上の仮想環境でとどまるため、クライアントPCへの感染は及びません。汚染された仮想環境を削除すればマルウェアも含めて削除できます。

したがってVDIサーバからPCに送信されるのは「VDIサーバで生成したデスクトップ画面の画像データだけ」となりウが正解です。

問2

内部ネットワーク上のPCからインターネット上のWebサイトを参照するときは,DMZ上のVDI(Virtual Desktop Infrastructure)サーバにログインし,VDIサーバ上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワーク上のPCへのマルウェアの侵入,及びインターネット上のWebサイトへのPC内のファイルの流出を防止する効果を得るために必要な条件はどれか。(H.31/春)

ア PCとVDIサーバ間は,VDIの画面転送プロトコル及びファイル転送を利用する。
イ PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。
ウ VDIサーバが,プロキシサーバとしてHTTP通信を中継する。
エ VDIサーバが,プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示

問2の解説を表示
各選択肢を確認しましょう。

ア PCとVDIサーバ間は,VDIの画面転送プロトコル及びファイル転送を利用する。
→ファイル転送を許可した場合、PC上のファイルがHTTP通信によりインターネットに流出するリスクがあります。また、マルウェアがVDIサーバ上の仮想PCに侵入した場合、逆にファイルがPCに侵入する可能性もあります。したがって誤りです。

イ PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。
→画面転送のみを許可すれば、PC上のファイルがHTTP通信によってインターネットに流出するリスクを避けられます。マルウェアがVDIサーバ上の仮想PC環境に侵入した場合も、PCへのマルウェア侵入は防げます。したがって正解です。

ウ VDIサーバが,プロキシサーバとしてHTTP通信を中継する。
→HTTP通信の中継だけでは、マルウェアがPCに侵入したり流失したりすることを防げません。したがって誤りです。

エ VDIサーバが,プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。
→VDIサーバとインターネット上のWebサイト間の通信はHTTP通信によって行われます。したがって、プロキシサーバとして画面転送プロトコルだけを中継してもファイル流出効果はありません。したがって誤りです。

これよりイが正解です。

シンクライアントとVDI・まとめ

シンクライアントはセキュリティの観点からも利便性の観点からも、今後普及していくと思われます。

普及に伴って試験で問われる可能性も上がるため、しっかりと学習しておきましょう。

トモル
トモル
画面転送方式のVDIは過去に何回か出てるみたいだね
アカリ
アカリ
覚える内容は多いけど、優先順位をつけて段階的に覚えていきたいね!

次回はリモートワークについて学習します。


本気で支援士を狙うなら・・・
支援士ゼミがおすすめです!
  • ベテラン講師による手厚いサポート
  • モチベーションを保てるセキュリティコラムが満載!
  • マンツーマン形式で個別相談もできる!

スポンサーリンク