ネットワークスペシャリスト 2014年 午前2 問16
問題文
DNSSECの機能はどれか。
選択肢
ア:DNSキャッシュサーバの設定によって再帰的な問合せの受付範囲が最大になるようにする。
イ:DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。(正解)
ウ:ISPなどのセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することによって名前解決の可用性を高める。
エ:共通鍵暗号技術とハッシュ関数を利用したセキュアな方法によって、DNS更新要求が許可されているエンドポイントを特定し認証する。
DNSSECの機能はどれか【午前2 解説】
正解の理由
選択肢イは「DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する」と述べています。これはDNSSECの本質そのもので、ゾーンデータにRRSIG(リソースレコード署名)を付加し、公開鍵(DNSKEY)とチェーン・オブ・トラスト(DSレコードなど)で検証する仕組みを正確に表しています。したがってイが正解です。
解法ステップ
- 問題文で問われている「DNSSECの機能」をキーワードで把握する(署名、検証、整合性、認証)。
- 各選択肢をDNSの役割別に分類する(可用性、アクセス制御、署名/暗号化)。
- DNSSECの定義(リソースレコードの署名、公開鍵による検証、チェーン・オブ・トラスト)と照らし合わせ一致する選択肢を選択する。
- 他選択肢がDNSSECとは別機能であることを確認して除外する。
選択肢別の誤答解説
- ア: 「DNSキャッシュサーバの設定で再帰的な問合せの受付範囲を最大にする」
→ これはキャッシュ/アクセスポリシーの設定であり、DNSSECの機能ではありません。再帰的問合せの受け付け範囲はセキュリティやトラフィック制御の設定事項です。 - イ: DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。
→ 正解。RRSIG、DNSKEY、DSなどを用いた署名検証によって整合性と認証を提供します。 - ウ: 「セカンダリDNSを利用してDNSコンテンツサーバを二重化し可用性を高める」
→ これは冗長化・可用性向上の手法であり、DNSSECの役割ではありません。セカンダリ/マスター構成は冗長化の話です。 - エ: 「共通鍵暗号技術とハッシュ関数を利用してDNS更新要求の許可エンドポイントを特定し認証する」
→ 更新要求の認証はTSIG(共有鍵)やGSS-TSIGなどで行われることがあり、DNSSECは公開鍵署名による応答検証が目的で更新元の認証とは別物です。
よくある誤解
- 「DNSSECは通信を暗号化して機密性を保つ」:DNSSECは応答の改ざん検出と認証を目的とし、DNSクエリ/レスポンス自体を暗号化する(機密性を提供する)ものではありません。
- 「DNSSECで可用性(冗長化や負荷分散)も担保できる」:DNSSECはデータ整合性の担保が目的で、セカンダリDNSや冗長化は別途設定する必要があります。
- 「更新要求の送信元認証(ダイナミックDNSのアクセス制御)もDNSSECで行える」:更新の認可はTSIGやGSS-TSIG、アクセス制御リスト等で行い、DNSSECはそれとは別です。
補足コラム
- DNSSECで使われる主要リソースレコード:DNSKEY(公開鍵)、RRSIG(署名)、DS(親ゾーンに置くハッシュ)、NSEC/NSEC3(存在しない名前の応答検証)。
- DNSSECは「信頼の連鎖(chain of trust)」を利用するため、ルートゾーンからのDS登録やゾーン間での設定が必要です。設定ミスや期限切れの鍵は名前解決障害を引き起こすリスクがあるため運用に注意が必要です。
- 機密性が必要な場合は、DNS over TLS (DoT) や DNS over HTTPS (DoH) を併用すると良い。これらは通信の暗号化を行い、DNSSECはデータの整合性検証を行います。
FAQ
Q1: DNSSECはDNSの通信内容を暗号化しますか?
A1: いいえ。DNSSECは応答の署名による整合性と認証を提供しますが、通信自体の暗号化は行いません(DoT/DoHが通信暗号化を提供します)。
A1: いいえ。DNSSECは応答の署名による整合性と認証を提供しますが、通信自体の暗号化は行いません(DoT/DoHが通信暗号化を提供します)。
Q2: DNSSECを入れればDNSキャッシュ汚染攻撃は完全に防げますか?
A2: DNSSECは改ざんやなりすましを検出して防ぐ強力な対策ですが、導入・運用ミス(鍵管理や期限切れ)や未対応クライアントがあると効果が限定されます。総合的なセキュリティ対策が必要です。
A2: DNSSECは改ざんやなりすましを検出して防ぐ強力な対策ですが、導入・運用ミス(鍵管理や期限切れ)や未対応クライアントがあると効果が限定されます。総合的なセキュリティ対策が必要です。
Q3: 動的DNS更新の認証はDNSSECでできますか?
A3: いいえ。動的更新の認証はTSIGやGSS-TSIGなどの仕組みで行い、DNSSECは更新の署名検証とは別の目的です。
A3: いいえ。動的更新の認証はTSIGやGSS-TSIGなどの仕組みで行い、DNSSECは更新の署名検証とは別の目的です。
関連キーワード: DNSSEC、RRSIG、DNSKEY、DS、NSEC3、DNS over HTTPS、DoT、TSIG、キャッシュ汚染、鍵管理

\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

