情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ 問16: 内部ネットワークにある PC からインターネット上の Web サイトを参照するときは，DMZ にある VDI（Virtual Desktop Infrastru

問題本文

内部ネットワークにある PC からインターネット上の Web サイトを参照するときは，DMZ にある VDI（Virtual Desktop Infrastructure）サーバ上の仮想マシンに PC からログインし，仮想マシン上の Web ブラウザを必ず利用するシステムを導入する。インターネット上の Web サイトから内部ネットワークにある PC へのマルウェアの侵入，及びインターネット上の Web サイトへの PC 内のファイルの流出を防止する効果を得るために必要な条件はどれか。

選択肢

• ア.PC と VDI サーバ間は，VDI の画面転送プロトコル及びファイル転送を利用する。
• イ.PC と VDI サーバ間は，VDI の画面転送プロトコルだけを利用する。
• ウ.VDI サーバが，プロキシサーバとして HTTP 通信を中継する。
• エ.VDI サーバが，プロキシサーバとして VDI の画面転送プロトコルだけを中継する。

正解

イ. PC と VDI サーバ間は，VDI の画面転送プロトコルだけを利用する。

解説

この構成の狙いは、Webブラウザを内部PCではなくDMZのVDI仮想マシン側だけで動かし、PCとVDIサーバ間を画面の映像情報のやり取りに限定すること。画面転送プロトコルだけを使えば、ファイルやコンテンツ本体はPCに渡らず、マルウェア侵入もPC内ファイルの流出も遮断できる。よってイが正解。実務ではWeb分離(インターネット分離)としてセキュリティ強化に用いられる。

選択肢ごとの解説

• ア.ファイル転送を併用するとマルウェア侵入やファイル流出の経路を残してしまい、分離効果が損なわれ誤り。
• イ.画面転送プロトコルだけに限定しファイル本体を往来させない点が侵入・流出防止の条件で、これが正解。
• ウ.VDIサーバがHTTPを中継するとPCとサイトが実体通信し分離が崩れるため、目的を満たさず誤り。
• エ.PC側でブラウザを使う前提となり、ブラウザをVDI側で動かす本構成の意図に反するため誤り。