情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ 問13: 内部ネットワークのPCからインターネット上のWebサイトを参照するときにDMZ上に用意したVDI（Virtual Desktop Infrastructure）

問題本文

内部ネットワークのPCからインターネット上のWebサイトを参照するときにDMZ上に用意したVDI（Virtual Desktop Infrastructure）サーバ上のWebブラウザを利用すると，未知のマルウェアがPCにダウンロードされて，PCが感染することを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。

選択肢

• ア.Webサイトからの受信データのうち，実行ファイルを削除し，その他のデータをPCに送信する。
• イ.Webサイトからの受信データのうち，不正なコード列が検知されない通信だけをPCに送信する。
• ウ.Webサイトからの受信データを処理してVDIサーバで生成したデスクトップ画面の画像データだけをPCに送信する。
• エ.Webサイトからの受信データを全てIPsecでカプセル化し，PCに送信する。

正解

ウ. Webサイトからの受信データを処理してVDIサーバで生成したデスクトップ画面の画像データだけをPCに送信する。

解説

VDI方式では、危険なWeb閲覧をDMZ上の仮想ブラウザで実行し、PCにはその画面の画像(描画結果)だけを転送する。実行ファイルやコードはPC側に届かないため、未知のマルウェアがPCに到達・感染するのを防げる。画像データだけを送るとするウが正解。Web分離(インターネット分離)の代表手法で、入口を物理的に隔離する考え方。

選択肢ごとの解説

• ア.実行ファイルだけ削除して他データを渡す方式は無害化に近いがVDIの動作ではなく誤り。
• イ.不正コードを検知して通過させる方式はIPS的で、未知マルウェアを取り逃すためVDIの効果と異なり誤り。
• ウ.受信データを仮想側で処理し画面の画像だけをPCへ送るためコードが届かず、VDIの動作として正解。
• エ.IPsecでカプセル化して送るのは通信の暗号化であり、マルウェア感染防止の仕組みではなく誤り。