応用情報技術者試験 応用情報技術者試験 令和4年度春期 午前 問44: 内部ネットワークのPCからインターネット上のWebサイトを参照するときに，DMZに設置したVDI（Virtual Desktop Infrastructure）

問題本文

内部ネットワークのPCからインターネット上のWebサイトを参照するときに，DMZに設置したVDI（Virtual Desktop Infrastructure）サーバ上のWebブラウザを利用すると，未知のマルウェアがPCにダウンロードされるのを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。

選択肢

• ア.Webサイトからの受信データを受信処理した後，IPsecでカプセル化し，PCに送信する。
• イ.Webサイトからの受信データを受信処理した後，実行ファイルを削除し，その他のデータをPCに送信する。
• ウ.Webサイトからの受信データを受信処理した後，生成したデスクトップ画面の画像データだけをPCに送信する。
• エ.Webサイトからの受信データを受信処理した後，不正なコード列が検知されない場合だけPCに送信する。

正解

ウ. Webサイトからの受信データを受信処理した後，生成したデスクトップ画面の画像データだけをPCに送信する。

解説

VDI(仮想デスクトップ基盤)は，Webブラウザなどの処理をサーバ側の仮想デスクトップ上で実行し，利用者のPCにはその“画面(デスクトップ)を描画した画像”だけを転送する仕組みである。Webサイトのデータ本体やマルウェアはサーバ側で処理されてPCには到達せず，PCは画像を表示するだけなので，未知のマルウェアがPCに直接ダウンロードされない。したがって“画面の画像データだけをPCに送信する”とした“ウ”が正解である。

選択肢ごとの解説

• ア.IPsecでのカプセル化は通信路の暗号化・保護であり，マルウェア本体がPCへ届く点は変わらないので，未知のマルウェアのダウンロード防止という効果は生まない。
• イ.実行ファイルだけを削除して他のデータを送る方式では，スクリプトやマクロなど他形式のマルウェアやデータ本体がPCに届くため，未知のマルウェアを確実に防げない。
• ウ.受信データはサーバ側で処理し，生成した画面の画像だけをPCへ送るため，データ本体もマルウェアもPCに到達せず，これが防止効果を生むので正しい。
• エ.不正なコード列が検知されないデータだけを送る方式はパターン照合であり，パターン未登録の“未知”のマルウェアは検知できず通過してしまうため不適切。