平成29年秋期試験問題 午前Ⅱ 問20

内部ネットワーク上のPCからインターネット上のWebサイトを参照するときは,DMZ上のVDI(Virtual Desktop Infrastructure)サーバにログインし,VDIサーバ上のWebブラウザを必ず利用するシステムを導入する。インターネット上のWebサイトから内部ネットワーク上のPCへのマルウェアの侵入,及びPCからインターネット上のWebサイトへのデータ流出を防止するのに効果がある条件はどれか。

  • PCとVDIサーバ間は,VDIの画面転送プロトコル及びファイル転送を利用する。
  • PCとVDIサーバ間は,VDIの画面転送プロトコルだけを利用する。
  • VDIサーバが,プロキシサーバとしてHTTP通信を中継する。
  • VDIサーバが,プロキシサーバとしてVDIの画面転送プロトコルだけを中継する。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
VDI(Virtual Desktop Infrastructure)は、サーバ内にクライアントごとの仮想マシンを用意して仮想デスクトップ環境を構築する技術です。

VDIには、この設問のようにWebブラウザなどの特定の機能だけをVDIサーバ上で代理実行するものから、OSを含むアプリケーションの実行とデータ保存をすべてVDIサーバ上で行い、クライアントには操作入力と画面表示だけを行わせるものまで様々なレベルがあります。どの方式についてもVDIサーバ上の仮想マシンにおける実行結果をフィードバックするために、VDIサーバからクライアントPCへの画面転送が行われる点は同じです。

設問の説明を解釈すると、WebブラウザをVDI上で実行し結果画面をPCへ転送するタイプと考えられます。このため、内部ネットワーク上のPCではOSやアプリケーションが稼働しデータも保存されている、という前提に沿って各記述を検証します。
  • ファイル転送を許した場合、PC上のファイルがHTTP通信を介してインターネット上に流出する可能性があります。また、マルウェアがVDIサーバ上の仮想PC環境に侵入した場合、ファイル転送によりPCにも侵入する恐れもあります。
  • 正しい。画面転送だけを許可すれば、PC上のファイルがHTTP通信を介してインターネット上に流出する可能性を排除できます。また、マルウェアがVDIサーバ上の仮想PC環境に侵入したとしても、PCへのマルウェアの侵入を防止できます。
  • HTTP通信を中継するだけでは、マルウェアがPCに侵入したり、PCから外部にデータが流出したりするのを防止できません。
  • VDIサーバとインターネット上のWebサイトの間はHTTP通信が行われます。よって、プロキシサーバとして画面転送プロトコルだけを中継するという記述は誤りです。

Pagetop