ネットワークスペシャリスト 2017年 午前2 問19
問題文
DNSSECの機能はどれか。
選択肢
ア:DNSキャッシュサーバの設定によって再帰的な問合せを受け付ける送信元の範囲が最大になるようにする。
イ:DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。(正解)
ウ:ISPなどのセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することによって、名前解決の可用性を高める。
エ:共通鍵暗号技術とハッシュ関数を利用したセキュアな方法によって、DNS更新要求が許可されているエンドポイントを特定して認証する。
DNSSECの機能はどれか【午前2 解説】
正解の理由
選択肢イは「DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する」と説明しています。これはDNSSECの本質そのもので、DNS応答にRRSIG(署名)を付加し、DNSKEYやDSなどの公開鍵チェーンで検証して応答の改ざん防止と発信元の検証を行うため、正解です。
解法ステップ
- 問題文のキーワードを確認:「DNSSEC」「ディジタル署名」「リソースレコード」「検証」など。
- 各選択肢が示す機能をDNSの機能分類(認証・整合性・機密性・可用性・管理)で評価する。
- DNSSECの仕様(公開鍵暗号で署名、検証する)と合致する選択肢を選ぶ。
- 他の選択肢は設定や冗長化、アクセス制御など別の技術領域を指すため除外する。
選択肢別の誤答解説
- ア: 「再帰的な問合せを受け付ける送信元の範囲を最大にする」
これはDNSキャッシュサーバのアクセス制御設定やセキュリティ設定(例:オープンリゾルバの設定)に関する説明で、DNSSECとは無関係です。 - イ: DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。
DNSSECの機能を正しく表しています(正解)。 - ウ: 「セカンダリDNSサーバを利用してDNSコンテンツサーバを二重化し可用性を高める」
これはDNSの冗長化・可用性確保の一般的手法(プライマリ/セカンダリ)であり、DNSSEC固有の機能ではありません。 - エ: 「共通鍵暗号技術とハッシュ関数でDNS更新要求の許可エンドポイントを特定して認証する」
これはダイナミックDNS更新の認証やTSIG(トランザクションシグネチャ)等の話に近いが、表現にある「共通鍵暗号」を強調しておりDNSSEC(公開鍵暗号による署名)とは異なります。
よくある誤解
- 誤解1: 「DNSSECは通信を暗号化する」
実際はDNSSECは署名による認証と整合性の保証が目的で、応答自体の機密性(暗号化)は提供しません。DNS over TLS/HTTPSが暗号化を担当します。 - 誤解2: 「DNSSECで可用性や冗長化が自動的に向上する」
DNSSECは署名の導入によるセキュリティ強化が目的で、サーバ冗長化や再帰問い合わせの範囲設定とは直接関係ありません。
補足コラム
- DNSSECの主な用語
- RRSIG: リソースレコードセットに対する署名を格納するレコード。
- DNSKEY: 公開鍵を格納するレコード。
- DS: 親ゾーンが子ゾーンのDNSKEYを指し示すハッシュ(信頼の連鎖の一部)。
- 運用上の注意点
- 鍵のロールオーバー(鍵交換)や署名有効期間の管理が必要で、運用ミスは名前解決不能を招くことがある。
- DNSSEC導入は整合性を強化するが、DDoSのリスクや応答サイズ増加(拡張により)を考慮する必要がある。
FAQ
Q: DNSSECを入れればDNSのすべての攻撃を防げますか?
A: いいえ。DNSSECは応答の改ざんやキャッシュポイズニングを防ぐが、サービス妨害(DDoS)やサーバの脆弱性、設定ミスは別対策が必要です。
A: いいえ。DNSSECは応答の改ざんやキャッシュポイズニングを防ぐが、サービス妨害(DDoS)やサーバの脆弱性、設定ミスは別対策が必要です。
Q: DNSSECは暗号化を提供しますか?
A: いいえ。DNSSECは署名により整合性と発信元の検証を行いますが、応答そのものの暗号化(機密性)は提供しません。暗号化はDoT/DoHなどを用います。
A: いいえ。DNSSECは署名により整合性と発信元の検証を行いますが、応答そのものの暗号化(機密性)は提供しません。暗号化はDoT/DoHなどを用います。
Q: TSIGとDNSSECは同じですか?
A: 違います。TSIGは共通鍵に基づくトランザクション認証(ゾーン転送やダイナミックDNS更新の認証)で、DNSSECは公開鍵署名によるデータ整合性と認証を提供します。
A: 違います。TSIGは共通鍵に基づくトランザクション認証(ゾーン転送やダイナミックDNS更新の認証)で、DNSSECは公開鍵署名によるデータ整合性と認証を提供します。
関連キーワード: DNSSEC、RRSIG、DNSKEY、DS、キャッシュポイズニング、DNSの認証、ゾーン署名、TSIG、DNS over TLS、DNS over HTTPS

\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

