ホーム > 情報処理安全確保支援士試験 > 2021年 春期
情報処理安全確保支援士試験 2021年 春期 午前2 問16
内部ネットワークにあるPCからインターネット上のWebサイトを参照するときは、DMZにあるVDI(VirtualDesktopInfrastructure)サーバ上の仮想マシンにPCからログインし、仮想マシン上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワークにあるPCへのマルウェアの侵入、及びインターネット上のWebサイトへのPC内のファイルの流出を防止する効果を得るために必要な条件はどれか。
ア:PC と VDIサーバ間は、VDI の画面転送プロトコル及びファイル転送を利用する。
イ:PC と VDIサーバ間は、VDI の画面転送プロトコルだけを利用する。(正解)
ウ:VDIサーバが、プロキシサーバとして HTTP 通信を中継する。
エ:VDIサーバが、プロキシサーバとして VDI の画面転送プロトコルだけを中継する。
解説
内部ネットワークのPCからVDI経由でWeb参照する際のマルウェア侵入・情報流出防止策【午前2 解説】
要点まとめ
- 結論:PCとVDIサーバ間は画面転送プロトコルのみを利用し、ファイル転送を禁止することが重要です。
- 根拠:画面転送プロトコルは画面情報の送受信に限定され、ファイル転送を許すとマルウェア侵入や情報流出のリスクが高まります。
- 差がつくポイント:VDIの画面転送とファイル転送の違いを理解し、通信経路でのデータ流出や侵入経路を遮断する設計が求められます。
正解の理由
イの「PCとVDIサーバ間は、VDIの画面転送プロトコルだけを利用する」は、仮想マシン上のWebブラウザを使う際に画面情報のみを転送し、ファイルの直接転送を禁止するため、マルウェアの侵入やファイル流出を防止できます。ファイル転送を許すと、PCとVDI間で悪意あるファイルが行き来する可能性があるため、セキュリティ上問題です。
よくある誤解
VDIの画面転送プロトコルは画面情報だけを送るため安全と誤解しがちですが、ファイル転送機能を許すとリスクが生じます。プロキシサーバの役割とVDIの通信内容を混同しないことも重要です。
解法ステップ
- 問題文から「マルウェア侵入防止」と「ファイル流出防止」が目的とわかる。
- VDIの役割は仮想マシン上でWeb閲覧を行い、PCとVDI間の通信内容を限定すること。
- 画面転送プロトコルは画面情報のみを送るが、ファイル転送を許すとリスクが増す。
- 選択肢の中でファイル転送を禁止し画面転送のみを利用するものを選ぶ。
- プロキシサーバの中継は問題の条件に合致しないため除外。
選択肢別の誤答解説
- ア: ファイル転送を許すため、PCとVDI間でマルウェアや情報が直接やり取りされるリスクがある。
- イ: 画面転送のみでファイル転送を禁止し、セキュリティ要件を満たす。
- ウ: VDIサーバがHTTP通信を中継するプロキシとして動作するが、PCとVDI間のファイル転送制御には関係しない。
- エ: VDIの画面転送プロトコルだけを中継するプロキシは存在せず、意味が不明瞭で効果もない。
補足コラム
VDI(Virtual Desktop Infrastructure)は、ユーザのPCから仮想デスクトップにアクセスし、実際の処理はサーバ側で行う仕組みです。画面転送プロトコル(例:RDP、PCoIP)は画面情報を送るだけで、ファイル転送機能を制限することでセキュリティを強化できます。プロキシサーバは通信の中継や制御を行いますが、VDIの画面転送とは別の役割です。
FAQ
Q: なぜファイル転送を禁止することが重要ですか?
A: ファイル転送を許すと、マルウェアがPCからVDIへ、または逆方向に侵入・流出するリスクが高まるためです。
A: ファイル転送を許すと、マルウェアがPCからVDIへ、または逆方向に侵入・流出するリスクが高まるためです。
Q: プロキシサーバはこの問題でどのような役割を果たしますか?
A: プロキシサーバは通信の中継や制御を行いますが、VDIの画面転送とファイル転送の制御には直接関与しません。
A: プロキシサーバは通信の中継や制御を行いますが、VDIの画面転送とファイル転送の制御には直接関与しません。
関連キーワード: VDI, 画面転送プロトコル, ファイル転送制御, マルウェア侵入防止, 情報流出防止, DMZ, 仮想デスクトップ