ホーム > 情報処理安全確保支援士試験 > 2011年 秋期
情報処理安全確保支援士試験 2011年 秋期 午前2 問08
DNS サーバに格納されるネットワーク情報のうち、 第三者に公開する必要のない情報が攻撃に利用されることを防止するための、プライマリ DNS サーバの設定はどれか。
ア:SOAレコードのシリアル番号を更新する。
イ:外部の DNS サーバにリソースレコードがキャッシュされる時間を短く設定する。
ウ:ゾーン転送を許可する DNS サーバを限定する。(正解)
エ:ラウンドロビン設定を行う。
解説
DNSサーバのプライバシー保護設定【午前2 解説】
要点まとめ
- 結論:プライマリDNSサーバのゾーン転送を許可する相手を限定することが重要です。
- 根拠:ゾーン転送はDNS情報の全体を第三者に渡すため、無制限に許可すると攻撃に利用される恐れがあります。
- 差がつくポイント:ゾーン転送の制限設定はセキュリティ対策の基本であり、他の設定と混同しないことが合格の鍵です。
正解の理由
プライマリDNSサーバはゾーン情報の原本を管理しており、ゾーン転送はセカンダリDNSサーバに情報を渡すための機能です。これを無制限に許可すると、第三者がDNS情報を丸ごと取得でき、攻撃者にネットワーク構成や内部情報を知られてしまいます。したがって、ゾーン転送を許可するDNSサーバを限定する設定(選択肢ウ)が正解です。
よくある誤解
SOAレコードのシリアル番号更新やキャッシュ時間の設定はDNSの運用に関わりますが、直接的に第三者への情報漏洩防止にはつながりません。
解法ステップ
- 問題文から「第三者に公開する必要のない情報」と「攻撃に利用されることを防止」がキーワードであることを確認。
- DNSのゾーン転送の役割とリスクを理解する。
- 各選択肢の機能を整理し、情報漏洩防止に直結する設定を選ぶ。
- ゾーン転送の許可範囲を限定する設定が最も適切と判断する。
選択肢別の誤答解説
- ア: SOAレコードのシリアル番号更新はゾーン情報の同期に必要だが、情報漏洩防止には直接関係しない。
- イ: キャッシュ時間を短くすると情報の鮮度は上がるが、第三者への情報漏洩防止には効果が薄い。
- ウ: ゾーン転送を許可するDNSサーバを限定することで、不要な第三者への情報公開を防げる。
- エ: ラウンドロビン設定は負荷分散のための機能であり、情報漏洩防止とは無関係。
補足コラム
ゾーン転送はAXFRやIXFRというプロトコルで行われ、セカンダリDNSサーバがプライマリから最新のゾーン情報を取得します。攻撃者がこれを悪用すると、ネットワークの詳細な構成情報を入手できるため、アクセス制御は必須です。最近ではTSIG(Transaction Signature)による認証付きゾーン転送も推奨されています。
FAQ
Q: ゾーン転送を完全に禁止しても問題ありませんか?
A: セカンダリDNSサーバが更新情報を取得できなくなるため、運用上問題が生じます。許可範囲を限定するのが適切です。
A: セカンダリDNSサーバが更新情報を取得できなくなるため、運用上問題が生じます。許可範囲を限定するのが適切です。
Q: SOAレコードのシリアル番号は何のために更新するのですか?
A: ゾーン情報のバージョン管理のためで、セカンダリDNSが更新を検知するために使われます。
A: ゾーン情報のバージョン管理のためで、セカンダリDNSが更新を検知するために使われます。
関連キーワード: DNS, ゾーン転送, プライマリDNS, セキュリティ設定, ネットワーク情報保護