応用情報技術者試験 応用情報技術者試験 令和元年度秋期 午前 問41: 内部ネットワークのPCからインターネット上のWebサイトを参照するときに，DMZに設置したVDI（Virtual Desktop Infrastructure）

問題本文

内部ネットワークのPCからインターネット上のWebサイトを参照するときに，DMZに設置したVDI（Virtual Desktop Infrastructure）サーバ上のWebブラウザを利用すると，未知のマルウェアがPCにダウンロードされるのを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。

選択肢

• ア.Webサイトからの受信データのうち，実行ファイルを削除し，その他のデータをPCに送信する。
• イ.Webサイトからの受信データは，IPsecでカプセル化し，PCに送信する。
• ウ.Webサイトからの受信データは，受信処理ののち生成したデスクトップ画面の画像データだけをPCに送信する。
• エ.Webサイトからの受信データは，不正なコード列が検知されない場合だけPCに送信する。

正解

ウ. Webサイトからの受信データは，受信処理ののち生成したデスクトップ画面の画像データだけをPCに送信する。

解説

VDI（仮想デスクトップ基盤）は，デスクトップ環境をサーバ上で動かし，利用者のPCには操作画面だけを転送する技術である。本問のように危険なWeb閲覧をDMZ上のVDIサーバに肩代わりさせると，Webサイトのデータ（HTML・スクリプト・ファイルなど実体）はすべてVDIサーバ側だけで処理され，PCへは“画面の画像”しか送られない。未知のマルウェアであってもPC本体にはデータの実体が届かないため感染を防げる。したがって，受信処理後に生成したデスクトップ画面の画像データだけをPCに送る，と述べたウが正解である。

選択肢ごとの解説

• ア.実行ファイルを削除してその他のデータを送る方式では，スクリプトや文書ファイルに仕込まれた未知のマルウェアは通過してしまう。VDIによる画面転送の特徴とも異なるので誤り。
• イ.IPsecでのカプセル化は通信経路を暗号化・認証する技術であり，マルウェアのダウンロード防止とは無関係である。
• ウ.正しい。受信データの実体はVDIサーバ上だけで扱い，PCには画面の画像データのみを転送するので，マルウェア本体がPCに届かず感染を防げる。
• エ.不正なコード列が検知されたときだけ遮断する方式はパターンマッチング型の検査であり，定義に無い“未知の”マルウェアは検知できないため，本問の効果を説明できない。