VDI基盤におけるマルウェア感染時の対処【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問4】

ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問4

問2 仮想デスクトップ基盤の導入に関する次の記述を読んで、設問1〜4に答えよ。

(略)

f:id:aolaniengineer:20200627163346p:plain

(略)

【仮想PCのマルウェア感染時の対応】

 仮想PCに感染したマルウェアは、別の仮想PCに感染拡大を試みる場合がある。仮想PCでは物理的にLANケーブルを抜くことができないので、従来の対処方法は利用できない。そこで、Uさんが考えた対策案は、次のとおりである。

・ある仮想PCで、ウィルス対策ソフトがマルウェアの感染を検知したときは、情報セキュリティ管理者がその仮想PCを隔離すべきか否かを判断する。隔離するときは、VDIのコンソールを使って、その仮想PCを(ア:仮想SW)から切り離す。

ア:仮想SW

仮想PCを隔離するとはどういうことか、図2で確認してみます。

VDI内で、仮想PCは上位の仮想SWに論理的に接続されていて、そこからVDIサーバの物理NIC、L2SW経由で外部と通信していることが分かります。

したがって、VDIのコンソールを使い、仮想PCを仮想SWから切り離す設定を行うことで、仮想PCを隔離することができます。

・標的型攻撃対策装置が、ある仮想PCの通信からC&CサーバのIPアドレスを特定したときは、本社のUTMにフィルタリングを設定する。被害の拡大を防ぐために、他の仮想PCも含めてC&Cサーバと通信を行うことを防ぐ必要があるので、”送信元=(イ:任意)、宛先=(ウ:C&Cサーバ)、ポート番号=任意、動作=拒否”のフィルタリングルールを設定し、インターネット方向の通信を遮断する。

イ:任意ウ:C&Cサーバ

C&Cサーバと通信する挙動が見られたということは、仮想PCがマルウェアに感染しているということです。

本文中に「仮想PCに感染したマルウェアは、別の仮想PCに感染拡大を試みる場合がある」とあるようにマルウェアは感染拡大を試みますが、それは仮想PCに限らず、組織全体に感染拡大する可能性があると考えられます。

したがって、UTMにおいて、全ての装置(送信元:任意)からC&Cサーバへの通信を遮断する必要があります。

 その後、VDIの導入に関するUさんの報告書は企画会議で承認され、導入の準備を開始した。

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf

Follow me!