ホーム > 情報処理安全確保支援士試験 > 2010年 春期
情報処理安全確保支援士試験 2010年 春期 午前2 問08
DNSサーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。
ア:SOAレコードのシリアル番号を更新する。
イ:外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
ウ:ゾーン転送を許可するDNSサーバを登録する。(正解)
エ:ラウンドロビン設定を行う。
解説
DNSサーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。【午前2 解説】
要点まとめ
- 結論:プライマリDNSサーバのゾーン転送を許可するDNSサーバを限定する設定が重要です。
- 根拠:ゾーン転送はDNSの全情報を複製するため、許可範囲を制限しないと第三者に内部情報が漏洩します。
- 差がつくポイント:ゾーン転送の許可設定を理解し、攻撃リスクを低減する具体策を押さえることが合格の鍵です。
正解の理由
プライマリDNSサーバはゾーン情報の管理者であり、ゾーン転送(AXFR)によりセカンダリDNSサーバへ情報を提供します。ゾーン転送を許可するDNSサーバを限定しないと、第三者が不正にゾーン転送を行い、内部のネットワーク構成やホスト名などの情報を取得されてしまいます。これが攻撃に利用されるリスクを高めるため、ゾーン転送を許可するDNSサーバを登録・制限する設定が必要です。よって「ウ」が正解です。
よくある誤解
ゾーン転送は単なる情報複製の仕組みであり、許可設定は不要と誤解されがちです。実際は許可範囲の制限がセキュリティ対策の基本です。
解法ステップ
- DNSサーバの役割とゾーン転送の意味を理解する。
- 問題文の「第三者に公開する必要のない情報が攻撃に利用されることを防止」との関連を考える。
- ゾーン転送がDNS情報の複製手段であることを確認する。
- ゾーン転送の許可設定を限定することが情報漏洩防止に直結することを判断する。
- 選択肢の中からゾーン転送の許可設定に関する「ウ」を選ぶ。
選択肢別の誤答解説
- ア: SOAレコードのシリアル番号更新はゾーン情報のバージョン管理であり、情報漏洩防止とは直接関係ありません。
- イ: キャッシュ時間(TTL)を短くするのは情報の鮮度維持や負荷軽減に関係しますが、第三者への情報公開制限には効果が薄いです。
- ウ: ゾーン転送を許可するDNSサーバを登録する設定は、情報漏洩を防ぐために必須のセキュリティ対策です。
- エ: ラウンドロビン設定は負荷分散の手法であり、情報公開制限とは無関係です。
補足コラム
ゾーン転送はDNSの冗長性を確保するために重要ですが、許可設定を誤るとネットワーク構成情報が外部に漏れ、攻撃者に悪用される恐れがあります。最近ではDNSSECなどの技術も併用し、DNSの信頼性と安全性を高める対策が進んでいます。
FAQ
Q: ゾーン転送を許可しないとDNSは正常に動作しませんか?
A: プライマリとセカンダリ間の情報同期ができなくなるため、冗長構成が崩れます。許可は必要ですが、許可範囲を限定することが重要です。
A: プライマリとセカンダリ間の情報同期ができなくなるため、冗長構成が崩れます。許可は必要ですが、許可範囲を限定することが重要です。
Q: TTLを短く設定すると情報漏洩防止になりますか?
A: TTLはキャッシュの有効期間を示すだけで、情報の公開範囲や許可設定には影響しません。
A: TTLはキャッシュの有効期間を示すだけで、情報の公開範囲や許可設定には影響しません。
関連キーワード: DNS, ゾーン転送, プライマリDNS, セキュリティ設定, ネットワーク情報漏洩防止