ホーム > 情報処理安全確保支援士試験 > 2012年 秋期
情報処理安全確保支援士試験 2012年 秋期 午前2 問18
DNSSECに関する記述として,適切なものはどれか。
ア:DNSサーバへのDoS攻撃を防止できる。
イ:IPsecによる暗号化通信が前提となっている。
ウ:代表的なDNSサーバの実装であるBINDの代替として使用する。
エ:ディジタル署名によってDNS応答の正当性を確認できる。(正解)
解説
DNSSECに関する記述の正誤判断【午前2 解説】
要点まとめ
- 結論:DNSSECはディジタル署名を用いてDNS応答の正当性を保証する技術です。
- 根拠:DNSの応答が改ざんされていないかを検証し、信頼性を高めるために公開鍵暗号方式を利用します。
- 差がつくポイント:DNSSECは通信の暗号化やDoS攻撃防止ではなく、応答の真正性検証に特化している点を理解しましょう。
正解の理由
選択肢エ「ディジタル署名によってDNS応答の正当性を確認できる」が正解です。
DNSSECはDNSの応答に電子署名を付加し、受信側が公開鍵で検証することで、応答が正当なものであることを保証します。これにより、DNSキャッシュポイズニングなどの攻撃を防ぎ、信頼性の高い名前解決を実現します。
DNSSECはDNSの応答に電子署名を付加し、受信側が公開鍵で検証することで、応答が正当なものであることを保証します。これにより、DNSキャッシュポイズニングなどの攻撃を防ぎ、信頼性の高い名前解決を実現します。
よくある誤解
DNSSECは通信の暗号化やDoS攻撃の防止を目的とするものではありません。あくまでDNS応答の改ざん検知に特化した技術です。
解法ステップ
- DNSSECの目的を確認する(DNS応答の正当性検証)。
- 選択肢の内容がDNSSECの機能に合致しているかを判断する。
- 暗号化通信やDoS防止など、DNSSECの範囲外の機能を含む選択肢を除外する。
- DNS応答のディジタル署名による検証を述べた選択肢を選ぶ。
選択肢別の誤答解説
- ア: DNSサーバへのDoS攻撃防止はDNSSECの機能ではなく、別の対策が必要です。
- イ: IPsecによる暗号化通信はDNSSECの前提条件ではありません。DNSSECは署名検証に特化しています。
- ウ: BINDは代表的なDNSサーバソフトウェアであり、DNSSECはその代替ではなく拡張機能です。
- エ: 正解。DNS応答にディジタル署名を付けて正当性を検証します。
補足コラム
DNSSECはDNSの信頼性向上に寄与しますが、通信の暗号化は行いません。DNS over HTTPS(DoH)やDNS over TLS(DoT)と組み合わせることで、プライバシー保護と改ざん防止の両立が可能です。
FAQ
Q: DNSSECはDNSの通信内容を暗号化しますか?
A: いいえ。DNSSECは応答の正当性を検証するための署名技術であり、通信の暗号化は行いません。
A: いいえ。DNSSECは応答の正当性を検証するための署名技術であり、通信の暗号化は行いません。
Q: DNSSEC導入でDoS攻撃は防げますか?
A: いいえ。DoS攻撃対策は別途ファイアウォールやレート制限などの対策が必要です。
A: いいえ。DoS攻撃対策は別途ファイアウォールやレート制限などの対策が必要です。
関連キーワード: DNSSEC, ディジタル署名, DNS応答検証, DNSキャッシュポイズニング, BIND, IPsec, DoS攻撃