VDI|情報処理安全確保支援士試験 令和3年 春期午前Ⅱ試験 問16
出典:令和3年春期 午前Ⅱ 問16
分野:セキュリティ / 情報セキュリティ対策
内部ネットワーク上のPCからインターネット上のWebサイトを参照するときは,DMZ上のVDI(Virtual Desktop Infrastructure)サーバ上の仮想マシンにPCからログインし,仮想マシン上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワークにあるPCへのマルウェアの侵入,及びPCからインターネット上のWebサイトへのPC内のファイルの流出を防止するのに効果がある条件はどれか。
- ア:PCとVDIサーバ間は,VDIの画面転送プロトコル及びファイル転送を利用する。
- イ:PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。
- ウ:VDIサーバが,プロキシサーバとしてHTTP通信を中継する。
- エ:VDIサーバが,プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。
TSUNAGARU-ADVICE
まず押さえたいこと
内部PCから直接Webサイトを閲覧せず、DMZ上のVDIサーバの仮想マシンでWebブラウザを使わせると、インターネットとの接点をVDI側に分離できます。このとき効果を高めるには、PCとVDIサーバ間で画面転送プロトコルだけを利用することが重要です。
迷ったときの判断軸
PCとVDIサーバ間でファイル転送を許可すると、仮想マシン側に侵入したマルウェアが内部PCへ移る経路や、内部PCのファイルが外部へ流出する経路になり得ます。また、VDIサーバを単なるHTTPプロキシとして使うと、内部PCがWeb通信の影響を受けやすくなります。画面だけを転送し、ファイルやWeb通信そのものを内部PCへ持ち込まないことがポイントです。
科目Bにつなげるために
科目Bでは、ネットワーク分離やVDIの構成で、どの通信を許可するとリスクが残るかを問われることがあります。Web閲覧環境を分離する場合は、画面転送、ファイル転送、HTTP通信のどれを許可しているかを確認しましょう。
VDIは、利用者のデスクトップ環境を手元のPCではなく、サーバ上の仮想マシンで動かす仕組みです。
通常のPC利用では、アプリケーションの実行やデータの保存を手元のPCで行います。一方、VDIでは、アプリケーションの実行やデータの保存をVDIサーバ上で行い、利用者のPCには操作画面だけを表示します。
VDIには、Webブラウザなど一部の機能だけをサーバ側で実行するものから、OSやアプリケーション、データ保存まですべてサーバ側で行うものまで、さまざまな形があります。
どの方式でも共通しているのは、実際の処理はVDIサーバ上で行われ、その結果の画面がクライアントPCへ転送される点です。
つまりVDIは、「手元のPCで直接処理するのではなく、サーバ上の仮想PCを遠隔操作する仕組み」と考えると分かりやすいです。
したがって、イが適切です。
❌他選択肢が誤りの理由ア:PCとVDIサーバ間は,VDIの画面転送プロトコル及びファイル転送を利用する。
⇒ファイル転送を許可すると、PC内のファイルをVDIサーバ上の仮想マシンへ移し、さらにインターネット上のWebサイトへ送信できる可能性があります。マルウェア侵入や情報流出を防ぐ目的では、画面転送だけに限定する方が適切です。
ウ:VDIサーバが,プロキシサーバとしてHTTP通信を中継する。
⇒VDIサーバをHTTPプロキシとして使うと、PCからインターネット上のWebサイトへの通信を中継する形になります。この場合、PCがWebコンテンツと直接やり取りする構成に近くなり、Web閲覧をVDI内に閉じ込めるという目的から外れます。
エ:VDIサーバが,プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。
⇒VDIサーバは、PCがログインして仮想マシン上のWebブラウザを使う場所です。プロキシサーバとして画面転送プロトコルだけを中継するという説明は、Web閲覧をVDI上で実行し、PCとは画面転送だけで接続するという本問の適切な条件を正しく表していません。