基本情報技術者試験 ap-2018h30h-a 午前 問41: 内部ネットワークの PC からインターネット上の Web サイトを参照するときに DMZ 上に用意した VDI（Virtual Desktop Infrastr

問題本文

内部ネットワークの PC からインターネット上の Web サイトを参照するときに DMZ 上に用意した VDI（Virtual Desktop Infrastructure）サーバ上の Web ブラウザを利用すると，未知のマルウェアが PC にダウンロードされて，PC が感染することを防ぐというセキュリティ上の効果が期待できる。この効果を生み出す VDI サーバの動作の特徴はどれか。

選択肢

• ア.Web サイトからの受信データのうち，実行ファイルを削除し，その他のデータを PC に送信する。
• イ.Web サイトからの受信データのうち，不正なコード列が検知されない通信だけを PC に送信する。
• ウ.Web サイトからの受信データを処理して VDI サーバで生成したデスクトップ画面の画像データだけを PC に送信する。
• エ.Web サイトからの受信データを全て IPsec でカプセル化し，PC に送信する。

正解

ウ. Web サイトからの受信データを処理して VDI サーバで生成したデスクトップ画面の画像データだけを PC に送信する。

解説

VDI（仮想デスクトップ基盤）は、デスクトップ環境をサーバ上で動かし、利用者の手元の端末にはその画面（画像）だけを転送して操作させる方式である。Web 閲覧という危険な処理を DMZ の VDI サーバ側で完結させ、PC には“見た目の画像”しか届かないようにすれば、たとえ Web サイトに未知のマルウェアが含まれていても感染するのは隔離された VDI サーバ側にとどまり、内部の PC 本体までは到達しない。この“画面転送だけを行い実体データを渡さない”という分離こそが感染防止効果の本質なので、正解はウである。

選択肢ごとの解説

• ア.実行ファイルだけを削除して残りのデータを PC に渡す方式（無害化に近い）では、文書ファイルに仕込まれたマクロなど実行ファイル以外に潜む未知のマルウェアを防げず、VDI の特徴説明としても誤り。
• イ.不正なコード列を検知して遮断するのはシグネチャ照合型（IDS/IPS など）の動作であり、既知パターンに頼るため“未知の”マルウェアは検知できず、VDI の動作でもない。
• ウ.正しい。Web の処理を VDI サーバ側で行い、PC へはデスクトップ画面の画像データだけを送るため、マルウェアの実体は VDI サーバ側に隔離され PC は感染しない。
• エ.IPsec によるカプセル化は通信経路の暗号化・改ざん防止のための技術であり、受信データの中身（マルウェア）をそのまま PC に届けてしまうため、感染防止にはならない。