VDIのセキュリティ効果とは？DMZ配置で端末感染を減らす考え方【SG試験】

まず結論

VDIの導入で期待できる代表的な効果は、内部PCをインターネットとの直接通信から分離し、内部PCへのマルウェア流入を抑えることです。
SG試験では、VDIを「改ざん防止」や「感染拡大防止」と混同させる選択肢に注意します。
問題文が「DMZ上のVDI」「内部PCはVDIにログイン」「Web閲覧はVDI側」であれば、端末分離によるリスク低減を選びます。

直感的な説明

VDIは、Web閲覧用の作業場所を「社内PCの中」から「DMZ上の仮想デスクトップ」に移すイメージです。

利用者の操作は内部PCから行う
ただしWeb通信の実体はVDI側で行う
内部PCには画面転送結果が主に届く

この構成により、悪性サイトにアクセスしても、影響はまずVDI側に閉じ込めやすくなります。

定義・仕組み

VDI（Virtual Desktop Infrastructure）は、サーバ上に仮想デスクトップ環境を用意し、利用者がネットワーク経由で接続して使う方式です。

今回のような設問では、次の流れで整理すると判断しやすくなります。

内部PCはインターネット上のWebサイトへ直接アクセスしない
内部PCはDMZ上のVDIへ接続する
WebサイトへのアクセスはVDI上のブラウザで実施する
利用者には操作結果（画面）が返る

このため、内部PCに直接マルウェアをダウンロードしてしまうリスクを下げられます。

どんな場面で使う？

外部サイト閲覧を伴う業務で、内部端末の感染リスクを下げたいとき
委託先や一時利用者のWeb利用を分離したいとき
インターネット接続端末と社内業務端末を論理的に分けたいとき

SG試験では、「どこがインターネットと直接通信しているか」を読むと選択肢を切り分けやすくなります。

よくある誤解・混同

誤解1：VDIならMITB攻撃による改ざんを防げる

VDIは主に接続構成による分離の話です。
送信データ改ざんそのものへの対策（MITB対策）とは別論点です。

誤解2：VDIにするとOSは感染しなくなる

仮想デスクトップ側のOSも感染する可能性はあります。
「どこに感染しうるか」が移るだけで、脅威がゼロになるわけではありません。

誤解3：VDIは感染拡大（横展開）を直接防ぐ技術である

感染拡大防止の中心はネットワーク分割やアクセス制御などです。
VDI単体で「一度侵入した端末から他端末への感染拡大」まで直接防げるとは言えません。

確認問題（SG試験対策）

A社では現在、インターネット上のWebサイトを内部ネットワークのPC上のWebブラウザから参照している。新たにDMZ上のVDIサーバにPCからログインし、インターネット上のWebサイトをVDIサーバ上の仮想デスクトップのWebブラウザから参照する方式に変更する。この変更によって期待できるセキュリティ上の効果として、最も適切なものはどれか。

ア. インターネット上のWebサイトから、内部ネットワークのPCへのマルウェアのダウンロードを防ぐ。
イ. インターネット上のWebサイト利用時に、MITB攻撃による送信データの改ざんを防ぐ。
ウ. 内部ネットワークのPC及び仮想デスクトップのOSがボットに感染しなくなり、C&Cサーバにコントロールされることを防ぐ。
エ. 内部ネットワークのPCにマルウェアが侵入したとしても、他のPCに感染するのを防ぐ。

▶ クリックして答えと解説を見る（ここを開く）

正解：ア

解説

ア：正しい。内部PCと外部Webの直接通信を減らし、内部PCへのマルウェア流入リスクを下げられます。
イ：MITBによる改ざん対策は、トランザクション署名など別の制御が中心です。
ウ：VDIでも仮想デスクトップOSは感染し得るため、「感染しなくなる」は不適切です。
エ：横展開防止は主にネットワーク分割・端末間通信制御の論点で、VDIの主効果ではありません。

👉 判断ポイント
VDIの主効果は「内部PCを外部Webから分離して、内部PCへの直接流入を減らすこと」。

まとめ（試験直前用）

VDIは、サーバ上の仮想デスクトップを使う方式です。
DMZ上のVDI経由でWeb閲覧させると、内部PCの直接曝露を下げられます。
ただし、改ざん防止・感染ゼロ化・横展開防止そのものを直接保証する技術ではありません。
SG試験では「通信の実体がどこにあるか」を軸に選択肢を切ると正答しやすくなります。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る