情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。

　今回は、「VDI基盤におけるマルウェア感染時の対処」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問4」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問4

問2　仮想デスクトップ基盤の導入に関する次の記述を読んで、設問1〜4に答えよ。

（略）

（略）

【仮想PCのマルウェア感染時の対応】

　仮想PCに感染したマルウェアは、別の仮想PCに感染拡大を試みる場合がある。仮想PCでは物理的にLANケーブルを抜くことができないので、従来の対処方法は利用できない。そこで、Uさんが考えた対策案は、次のとおりである。

・ある仮想PCで、ウィルス対策ソフトがマルウェアの感染を検知したときは、情報セキュリティ管理者がその仮想PCを隔離すべきか否かを判断する。隔離するときは、VDIのコンソールを使って、その仮想PCを（ア：仮想SW）から切り離す。

ア：仮想SW

　仮想PCを隔離するとはどういうことか、図2で確認してみます。

　VDI内で、仮想PCは上位の仮想SWに論理的に接続されていて、そこからVDIサーバの物理NIC、L2SW経由で外部と通信していることが分かります。

　したがって、VDIのコンソールを使い、仮想PCを仮想SWから切り離す設定を行うことで、仮想PCを隔離することができます。

・標的型攻撃対策装置が、ある仮想PCの通信からC&CサーバのIPアドレスを特定したときは、本社のUTMにフィルタリングを設定する。被害の拡大を防ぐために、他の仮想PCも含めてC&Cサーバと通信を行うことを防ぐ必要があるので、”送信元＝（イ：任意）、宛先＝（ウ：C&Cサーバ）、ポート番号＝任意、動作＝拒否”のフィルタリングルールを設定し、インターネット方向の通信を遮断する。

イ：任意、ウ：C&Cサーバ

　C&Cサーバと通信する挙動が見られたということは、仮想PCがマルウェアに感染しているということです。

　本文中に「仮想PCに感染したマルウェアは、別の仮想PCに感染拡大を試みる場合がある」とあるようにマルウェアは感染拡大を試みますが、それは仮想PCに限らず、組織全体に感染拡大する可能性があると考えられます。

　したがって、UTMにおいて、全ての装置（送信元：任意）からC&Cサーバへの通信を遮断する必要があります。

　その後、VDIの導入に関するUさんの報告書は企画会議で承認され、導入の準備を開始した。

【出典：ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2（一部、加工あり）】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf