ホーム > 情報処理安全確保支援士試験 > 2010年 秋期
情報処理安全確保支援士試験 2010年 秋期 午前2 問19
DNSSECの説明として、適切なものはどれか。
ア:DNS サーバへのDoS攻撃を防止できる。
イ:IPsec による暗号化通信が前提となっている。
ウ:代表的な DNS サーバの実装であるBIND の代替として使用する。
エ:ディジタル署名によってDNS 応答の正当性を確認できる。(正解)
解説
DNSSECの説明として、適切なものはどれか【午前2 解説】
要点まとめ
- 結論:DNSSECはディジタル署名を用いてDNS応答の正当性を検証する技術です。
- 根拠:DNSの応答に署名を付与し、改ざんやなりすましを防止する仕組みだからです。
- 差がつくポイント:DNSSECは通信の暗号化ではなく、応答の信頼性保証に特化している点を理解しましょう。
正解の理由
選択肢エ「ディジタル署名によってDNS応答の正当性を確認できる」が正解です。
DNSSECはDNSの応答に電子署名を付与し、受信側が公開鍵で検証することで、応答が正当なDNSサーバからのもので改ざんされていないことを保証します。これにより、DNSキャッシュポイズニングなどの攻撃を防止できます。
DNSSECはDNSの応答に電子署名を付与し、受信側が公開鍵で検証することで、応答が正当なDNSサーバからのもので改ざんされていないことを保証します。これにより、DNSキャッシュポイズニングなどの攻撃を防止できます。
よくある誤解
DNSSECは通信の暗号化を行う技術ではなく、IPsecのような暗号化通信とは異なります。
また、DNSサーバの実装やDoS攻撃防止のための技術ではありません。
また、DNSサーバの実装やDoS攻撃防止のための技術ではありません。
解法ステップ
- DNSSECの目的を「DNS応答の信頼性保証」と認識する。
- ディジタル署名を用いて応答の改ざん検知を行うことを理解する。
- 選択肢の内容がDNSSECの特徴に合致しているかを確認する。
- 暗号化通信やDoS防止、サーバ実装の代替ではないことを見極める。
- 正しい説明である選択肢エを選ぶ。
選択肢別の誤答解説
- ア: DNSサーバへのDoS攻撃を防止できる。
→ DNSSECはDoS攻撃対策ではなく、応答の正当性検証が目的です。 - イ: IPsecによる暗号化通信が前提となっている。
→ DNSSECは暗号化通信を前提とせず、署名による検証を行います。 - ウ: 代表的なDNSサーバの実装であるBINDの代替として使用する。
→ DNSSECはプロトコルの拡張であり、BINDなどのDNSサーバで対応可能です。 - エ: ディジタル署名によってDNS応答の正当性を確認できる。
→ 正解。DNSSECの本質を正しく表しています。
補足コラム
DNSSECはDNSのセキュリティ強化策の一つで、DNSキャッシュポイズニング攻撃を防ぐために開発されました。
公開鍵暗号を利用し、ゾーン情報に署名を付けることで、クライアントは応答の信頼性を検証できます。
ただし、DNSSEC自体は通信の暗号化を行わないため、通信内容の秘匿性は別途対策が必要です。
公開鍵暗号を利用し、ゾーン情報に署名を付けることで、クライアントは応答の信頼性を検証できます。
ただし、DNSSEC自体は通信の暗号化を行わないため、通信内容の秘匿性は別途対策が必要です。
FAQ
Q: DNSSECは通信を暗号化しますか?
A: いいえ。DNSSECは応答の正当性を検証するための署名技術であり、通信の暗号化は行いません。
A: いいえ。DNSSECは応答の正当性を検証するための署名技術であり、通信の暗号化は行いません。
Q: DNSSECはどのような攻撃を防止できますか?
A: DNSキャッシュポイズニングやなりすましなど、DNS応答の改ざんや偽装を防止します。
A: DNSキャッシュポイズニングやなりすましなど、DNS応答の改ざんや偽装を防止します。
Q: DNSSECを利用するには特別なDNSサーバが必要ですか?
A: 既存のDNSサーバソフトウェア(例:BIND)はDNSSECに対応しており、設定を行うことで利用可能です。
A: 既存のDNSサーバソフトウェア(例:BIND)はDNSSECに対応しており、設定を行うことで利用可能です。
関連キーワード: DNSSEC, デジタル署名, DNS応答検証, DNSキャッシュポイズニング, 公開鍵暗号, DNSセキュリティ