ネットワークスペシャリスト 2017年 午前2 問20
問題文
内部ネットワーク上のPCからインターネット上のWebサイトを参照するときは、DMZ上のVDI(Virtual Desktop Infrastructure)サーバにログインし、VDIサーバ上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワーク上のPCへのマルウェアの侵入、及びPCからインターネット上のWebサイトへのデータ流出を防止するのに効果がある条件はどれか。
選択肢
ア:PCとVDIサーバ間は、VDIの画面転送プロトコル及びファイル転送を利用する。
イ:PCとVDIサーバ間は、VDIの画面転送プロトコルだけを利用する。(正解)
ウ:VDIサーバが、プロキシサーバとしてHTTP通信を中継する。
エ:VDIサーバが、プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。
内部ネットワークからのWeb参照はVDI経由とする設計の効果【午前2 解説】
正解の理由
選択肢イ(PCとVDIサーバ間は、VDIの画面転送プロトコルだけを利用する。)が正解です。理由は以下の通りです。
- 画面転送プロトコル(例:RDPの画面描画、PCoIP、HDXなど)はユーザ操作と表示のやり取りに限定され、実際のWeb通信とファイル処理はVDI側で行われます。
- 端末にファイル転送機能がなければ、WebサイトからダウンロードされたマルウェアやWeb経由のデータを端末側に持ち出す経路が遮断されます。
- 結果として「インターネット→VDI→端末」といったマルウェアの横移動や「端末→インターネット」への直接的なデータ流出を防止できます。
解法ステップ
- 問題の要求を整理:マルウェア侵入防止とデータ流出防止の両方を達成する条件を問う。
- 各選択肢がどの通信パスを許可するかを確認する。
- マルウェア侵入は「外部→内部」の経路、データ流出は「内部→外部」の経路の遮断が必要と判断。
- 画面転送のみであればWeb処理はVDI側で完結し、端末側へのファイル渡しや端末からの直接送信を遮断できるため最適と判断。
選択肢別の誤答解説
- ア: PCとVDIサーバ間は、VDIの画面転送プロトコル及びファイル転送を利用する。
- 誤り。ファイル転送を許可すると、Webからダウンロードしたマルウェアや機密データを端末に渡す経路が生じ、侵入や流出を防げません。
- イ: PCとVDIサーバ間は、VDIの画面転送プロトコルだけを利用する。
- 正解。画面情報のみのやり取りで処理はVDI側に限定されるため、端末へのマルウェア侵入や端末からの直接データ流出を防げます。
- ウ: VDIサーバが、プロキシサーバとしてHTTP通信を中継する。
- 誤り。VDIがプロキシを兼ねても、端末とVDI間でファイルや直通通信が許可されていると端末側の流出や侵入経路は残ります。プロキシ化だけでは不十分です。
- エ: VDIサーバが、プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。
- 誤り。プロキシの文言が混在して意味が曖昧で、さらに「画面転送だけを中継するプロキシ」は現実的ではなく要件を満たす明確さが足りません。保護要件の説明として不適切です。
よくある誤解
- 「プロキシをVDIに置けば端末は安全」と考える誤解
- 単にVDIがHTTPを中継するだけでは、端末が直接通信する余地が残る設計ならデータ流出対策として不十分です。
- 「画面転送は完全に無害」と思う誤解
- 画面転送自体は安全性が高いが、クリップボード共有やドライブ共有、ポートフォワーディングなど副機能があるとリスクが復活します。設定で無効化が必要です。
補足コラム
- 実運用での注意点
- 画面転送を採用する際は、クリップボード、ローカルドライブ共有、USBリダイレクト、プリンタリダイレクト、シリアルポートフォワーディングなどの副機能を全て無効化することが必須です。これらが有効だと「画面転送のみ」の効果が薄れます。
- ネットワーク分離、VDIの堅牢なエンドポイント保護、ログ監査も併用することでセキュリティを高めます。
- 実例:セキュアブラウジングソリューション(ブラウザ分離)
- ブラウザ実行をクラウド/VDI側に限定し、端末は表示のみ受け取る方式は、近年の企業で採用が進んでいます。
FAQ
Q1: 画面転送だけでも完全に安全になりますか?
A1: ほぼ有効ですが、クリップボードやドライブ共有が無効であること、VDI自体のセキュリティが確保されていることが前提です。VDIが感染すれば保護は破られます。
A1: ほぼ有効ですが、クリップボードやドライブ共有が無効であること、VDI自体のセキュリティが確保されていることが前提です。VDIが感染すれば保護は破られます。
Q2: プロキシを組み合わせれば更に安全になりますか?
A2: プロキシ(VDI内での中継)は有用ですが、端末とVDI間でファイル送受信ができると意味が薄くなります。画面転送限定と組み合わせるのが効果的です。
A2: プロキシ(VDI内での中継)は有用ですが、端末とVDI間でファイル送受信ができると意味が薄くなります。画面転送限定と組み合わせるのが効果的です。
Q3: 端末のローカルファイルアクセスを全て禁止するには?
A3: ポリシー設定でリダイレクト機能を無効化し、端末側でファイル共有機能を制限、加えてDLPやアクセス制御を導入します。
A3: ポリシー設定でリダイレクト機能を無効化し、端末側でファイル共有機能を制限、加えてDLPやアクセス制御を導入します。
関連キーワード: VDI、画面転送、リモートデスクトップ、マルウェア対策、データ流出防止、リモートリダイレクト、ゼロトラスト、セキュアブラウジング

\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

