ホーム > 情報処理安全確保支援士試験 > 2019年春期

情報処理安全確保支援士試験 2019年春期午前2 問16

内部ネットワーク上の PC からインターネット上の Web サイトを参照するときは,DMZ 上の VDI (Virtual Desktop Infrastructure) サーバにログインし, VDIサーバ上の Web ブラウザを必ず利用するシステムを導入する。インターネット上の Web サイトから内部ネットワーク上の PC へのマルウェアの侵入,及びインターネット上の Web サイトへの PC内のファイルの流出を防止する効果を得るために必要な条件はどれか。

ア：PC と VDIサーバ間は,VDIの画面転送プロトコル及びファイル転送を利用する。

イ：PC と VDIサーバ間は,VDIの画面転送プロトコルだけを利用する。（正解）

ウ：VDI サーバが, プロキシサーバとしてHTTP 通信を中継する。

エ：VDI サーバが,プロキシサーバとして VDI の画面転送プロトコルだけを中継する。

解説

内部ネットワークのPCからVDI経由でWeb参照する際のセキュリティ対策【午前2 解説】

要点まとめ

結論：PCとVDIサーバ間は画面転送プロトコルのみを利用し、ファイル転送を禁止することが重要です。
根拠：画面転送プロトコルは画面情報のみを送受信し、ファイルの直接やり取りを防ぐためマルウェア侵入や情報漏洩リスクを低減します。
差がつくポイント：ファイル転送を許可すると、マルウェアがPCからVDIへ侵入したり、逆にVDIからPCへ感染拡大や情報流出が起こる可能性がある点を理解しましょう。

正解の理由

イの「PCとVDIサーバ間は画面転送プロトコルだけを利用する」が正解です。
VDIの画面転送プロトコルは、ユーザーの操作画面を転送するだけで、ファイルの直接送受信を行いません。これにより、内部PCとVDI間でファイルのやり取りができず、マルウェアの侵入経路や情報漏洩のリスクを抑制できます。
一方、ファイル転送を許可すると、マルウェアがPCからVDIへ侵入したり、VDIからPCへ感染や情報流出が発生する恐れがあります。

よくある誤解

VDIは安全だからファイル転送も問題ないと誤解しがちですが、ファイル転送を許可するとセキュリティリスクが高まります。
また、プロキシサーバの役割とVDIの画面転送プロトコルの違いを混同しやすい点にも注意が必要です。

解法ステップ

問題文から「マルウェア侵入防止」と「ファイル流出防止」が目的であることを確認する。
VDIの画面転送プロトコルは画面情報のみを転送し、ファイル転送は別機能であることを理解する。
ファイル転送を許可するとマルウェアや情報漏洩のリスクが高まるため、禁止が望ましいと判断する。
選択肢の中で「画面転送プロトコルだけを利用する」ものを選ぶ。
プロキシサーバの中継は問題の目的に直接関係しないため除外する。

選択肢別の誤答解説

ア: ファイル転送を利用すると、マルウェアがPCからVDIへ侵入したり、逆にVDIからPCへ感染拡大や情報漏洩のリスクがあるため不適切です。
イ: 画面転送プロトコルのみ利用し、ファイル転送を禁止することでマルウェア侵入や情報漏洩を防止できるため正解です。
ウ: VDIサーバがプロキシサーバとしてHTTP通信を中継しても、PCとVDI間のファイル転送制御には直接関係せず、目的を満たしません。
エ: プロキシサーバが画面転送プロトコルだけを中継する設定は一般的でなく、また問題の要件を満たすとは限らないため不適切です。

補足コラム

VDI（Virtual Desktop Infrastructure）は、ユーザーのデスクトップ環境をサーバ上に仮想化し、画面情報のみをクライアントに転送する技術です。
この仕組みを利用すると、クライアントPCにデータを残さず操作できるため、セキュリティ強化に有効です。
ただし、ファイル転送機能を許可すると、VDIのセキュリティ効果が大幅に低減するため注意が必要です。

FAQ

Q: なぜファイル転送を禁止するとマルウェア侵入を防げるのですか？
A: ファイル転送を禁止すると、マルウェアがファイルを介してPCからVDIへ侵入したり逆に拡散する経路が断たれるためです。

Q: プロキシサーバの中継はなぜ今回の問題で重要ではないのですか？
A: プロキシサーバは通信の中継や制御を行いますが、PCとVDI間のファイル転送制御には直接関係しないためです。

関連キーワード: VDI, 画面転送プロトコル, マルウェア対策, ファイル転送制御, セキュリティ対策, DMZ, 仮想デスクトップ

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2019年 春期 午前2 問16

解説