情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅰ 問14: 内部ネットワークのPCからインターネット上のWebサイトを参照するときに，DMZに設置したVDI（Virtual Desktop Infrastructure）

問題本文

内部ネットワークのPCからインターネット上のWebサイトを参照するときに，DMZに設置したVDI（Virtual Desktop Infrastructure）サーバ上のWebブラウザを利用すると，未知のマルウェアがPCにダウンロードされるのを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。

選択肢

• ア.Webサイトからの受信データを受信処理した後，IPsecでカプセル化し，PCに送信する。
• イ.Webサイトからの受信データを受信処理した後，実行ファイルを削除し，その他のデータをPCに送信する。
• ウ.Webサイトからの受信データを受信処理した後，生成したデスクトップ画面の画像データだけをPCに送信する。
• エ.Webサイトからの受信データを受信処理した後，不正なコード列が検知されない場合だけPCに送信する。

正解

ウ. Webサイトからの受信データを受信処理した後，生成したデスクトップ画面の画像データだけをPCに送信する。

解説

VDI（仮想デスクトップ）でWeb閲覧を分離する仕組みは、実際のブラウザ処理をDMZ側のサーバ上で行い、その結果を画面の画像データ（描画情報）だけPCへ転送する。PCへ実体のファイルやコードが届かないため、未知のマルウェアの侵入を防げる。よってウが正解。これはWeb分離（ブラウザ分離）の典型で、無害化の中でも実行環境を隔離する考え方。

選択肢ごとの解説

• ア.IPsecでカプセル化して送る方式では受信データの実体がPCに届くため、マルウェア防止の効果は得られず誤り。
• イ.実行ファイルのみ削除してもスクリプト等は残りうる。画面転送による分離とは異なる方式で誤り。
• ウ.処理はサーバ側で行い画面の画像だけPCへ送るため実体が届かず、未知マルウェアを防げる。正しい。
• エ.不正コードが検知されなければ転送する方式は未知の脅威を見逃しうる。分離による効果とは別で誤り。