情報処理安全確保支援士平成31年春期 午前Ⅱ 問16

問16

内部ネットワーク上のPCからインターネット上のWebサイトを参照するときは,DMZ上のVDI(Virtual Desktop Infrastructure)サーバにログインし,VDIサーバ上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワーク上のPCへのマルウェアの侵入,及びインターネット上のWebサイトへのPC内のファイルの流出を防止する効果を得るために必要な条件はどれか。
  • PCとVDIサーバ間は,VDIの画面転送プロトコル及びファイル転送を利用する。
  • PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。
  • VDIサーバが,プロキシサーバとしてHTTP通信を中継する。
  • VDIサーバが,プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

VDI(Virtual Desktop Infrastructure)は,サーバ内にクライアントごとの仮想マシンを用意して仮想デスクトップ環境を構築する技術です。利用者はネットワークを通じてVDIサーバ上の仮想デスクトップ環境に接続し、クライアントPCにはVDIサーバからの操作結果画面のみが転送される仕組みになっています。
16.png/image-size:433×290
VDIには、本問の説明ようにWebブラウザなどの特定の機能だけをVDIサーバ上で代理実行するものから、OSを含むアプリケーションの実行とデータ保存をすべてVDIサーバ上で行い、クライアントには操作入力と画面表示だけを行わせるものまで様々なレベルがあります。どの方式についてもVDIサーバ上の仮想マシンにおける実行結果をフィードバックするために、VDIサーバからクライアントPCへの画面転送が行われる点は同じです。

本問の説明を解釈すると、WebブラウザをVDI上で実行し結果画面をPCへ転送するタイプと考えられます。このため、内部ネットワーク上のPCではOSやアプリケーションが稼働しデータも保存されている、という前提に沿って各記述を検証します。
  • ファイル転送を許した場合、PC上のファイルがHTTP通信を介してインターネット上に流出する可能性があります。また、マルウェアがVDIサーバ上の仮想PC環境に侵入した場合、ファイル転送によりPCにも侵入する恐れもあります。
  • 正しい。画面転送だけを許可すれば、PC上のファイルがHTTP通信を介してインターネット上に流出する可能性を排除できます。また、マルウェアがVDIサーバ上の仮想PC環境に侵入したとしても、PCへのマルウェアの侵入を防止できます。
  • HTTP通信を中継するだけでは、マルウェアがPCに侵入したり、PCから外部にデータが流出したりするのを防止できません。
  • VDIサーバとインターネット上のWebサイトの間はHTTP通信が行われます。よって、プロキシサーバとして画面転送プロトコルだけを中継するという記述は誤りです。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop