情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ 問16: 内部ネットワーク上の PC からインターネット上の Web サイトを参照するときは，DMZ 上の VDI（Virtual Desktop Infrastruct

問題本文

内部ネットワーク上の PC からインターネット上の Web サイトを参照するときは，DMZ 上の VDI（Virtual Desktop Infrastructure）サーバにログインし，VDI サーバ上の Web ブラウザを必ず利用するシステムを導入する。インターネット上の Web サイトから内部ネットワーク上の PC へのマルウェアの侵入，及びインターネット上の Web サイトへの PC 内のファイルの流出を防止する効果を得るために必要な条件はどれか。

選択肢

• ア.PC と VDI サーバ間は，VDI の画面転送プロトコル及びファイル転送を利用する。
• イ.PC と VDI サーバ間は，VDI の画面転送プロトコルだけを利用する。
• ウ.VDI サーバが，プロキシサーバとして HTTP 通信を中継する。
• エ.VDI サーバが，プロキシサーバとして VDI の画面転送プロトコルだけを中継する。

正解

イ. PC と VDI サーバ間は，VDI の画面転送プロトコルだけを利用する。

解説

VDIによるWeb分離は、危険なWeb閲覧をDMZ上のVDIサーバ側で行わせ、PCには画面の転送結果だけを表示することで成立する。PCとVDI間を画面転送プロトコルだけに限定すれば、マルウェア本体やファイルの実体は行き来せず、侵入も流出も防げる。イが正解。ファイル転送やHTTP中継を許すと経路ができてしまうため不可。実務のインターネット分離の典型構成。

選択肢ごとの解説

• ア.ファイル転送を許すとマルウェアやファイルが行き来する経路ができ、分離効果が損なわれるため誤り。
• イ.PCとVDI間を画面転送プロトコルだけに限定すれば実体が行き来せず侵入と流出を防げる点が正解。
• ウ.VDIがプロキシとしてHTTPを中継するとPCが直接Web通信する経路ができ、分離にならないため誤り。
• エ.画面転送プロトコルを中継するプロキシ動作という設定は構成として不適切で、必要条件を満たさない。