戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2011年 秋期

情報処理安全確保支援士試験 2011年 秋期 午前201

DNSSEC(DNS Security Extensions)の機能はどれか。
DNS キャッシュサーバの設定によって再帰的な問合せの受付範囲が最大限になるように拡張する。
DNS サーバから受け取るリソースレコードに対するディジタル署名を利用して,リソースレコードの送信者の正当性とデータの完全性を検証する。(正解)
ISP などのセカンダリDNS サーバを利用して DNS コンテンツサーバを二重化することで名前解決の可用性を高める。
共通鍵暗号技術とハッシュ関数を利用したセキュアな方法で, DNS 更新要求が許可されているエンドポイントを特定し認証する。

解説

DNSSEC(DNS Security Extensions)の機能はどれか【午前2 解説】

要点まとめ

  • 結論:DNSSECはDNSのリソースレコードにディジタル署名を付与し、送信者の正当性とデータの完全性を検証します。
  • 根拠:DNSは元来改ざんやなりすましに弱いため、公開鍵暗号技術を用いて信頼性を確保する仕組みが必要です。
  • 差がつくポイント:DNSSECは単なる可用性向上やアクセス制御ではなく、データの真正性と整合性を保証する点に注目しましょう。

正解の理由

選択肢イは「DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、送信者の正当性とデータの完全性を検証する」と述べています。これはDNSSECの本質的な機能であり、DNSの応答に対して公開鍵暗号を用いた署名検証を行うことで、改ざんやなりすましを防止します。したがって、イが正解です。

よくある誤解

DNSSECはDNSの可用性向上やアクセス制御の技術ではありません。キャッシュの拡張やサーバの二重化は別の技術領域です。

解法ステップ

  1. DNSSECの目的を理解する(DNSのセキュリティ強化)。
  2. 選択肢の内容が「セキュリティのどの側面に関わるか」を確認する。
  3. デジタル署名や公開鍵暗号を用いているかをチェック。
  4. 可用性やアクセス制御に関する説明はDNSSECの機能ではないと判断。
  5. デジタル署名による検証を述べている選択肢を選ぶ。

選択肢別の誤答解説

  • ア: 再帰的問い合わせの受付範囲拡大はDNSの設定や運用の話であり、DNSSECの機能ではありません。
  • : 正解。リソースレコードのディジタル署名による正当性と完全性の検証はDNSSECの核心です。
  • ウ: セカンダリDNSによる二重化は可用性向上策であり、DNSSECの機能とは異なります。
  • エ: DNS更新要求の認証はTSIGなど別技術の領域であり、DNSSECの主な機能ではありません。

補足コラム

DNSSECはDNSの応答に電子署名を付加し、受信側で検証することでDNSキャッシュポイズニングやなりすまし攻撃を防ぎます。公開鍵基盤(PKI)を利用し、ゾーン署名鍵(ZSK)やキー署名鍵(KSK)を管理する仕組みも重要です。DNSSEC導入により、インターネットの信頼性が大幅に向上します。

FAQ

Q: DNSSECはDNSのどの問題を解決しますか?
A: DNSの応答が改ざんされたり偽装されたりするリスクを防ぎ、データの正当性と完全性を保証します。
Q: DNSSECは暗号化通信を提供しますか?
A: いいえ。DNSSECはデータの署名検証を行いますが、通信の暗号化自体は行いません。
関連キーワード: DNSSEC, デジタル署名, DNSセキュリティ, 公開鍵暗号, リソースレコード, DNSキャッシュポイズニング, ゾーン署名鍵, KSK, ZSK
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ