ホーム > 情報処理安全確保支援士試験 > 2013年 春期
情報処理安全確保支援士試験 2013年 春期 午前2 問02
DNSSEC(DNS Security Extensions)の機能はどれか。
ア:DNS キャッシュサーバの設定によって再帰的な問合せの受付範囲が最大になるようにする。
イ:DNS サーバから受け取るリソースレコードに対するディジタル署名を利用して,リソースレコードの送信者の正当性とデータの完全性を検証する。(正解)
ウ:ISP などのセカンダリ DNS サーバを利用して DNS コンテンツサーバを二重化することで名前解決の可用性を高める。
エ:共通鍵暗号技術とハッシュ関数を利用したセキュアな方法で, DNS 更新要求が許可されているエンドポイントを特定し認証する。
解説
DNSSEC(DNS Security Extensions)の機能はどれか【午前2 解説】
要点まとめ
- 結論:DNSSECはDNSのリソースレコードにディジタル署名を付与し、送信者の正当性とデータの完全性を検証します。
- 根拠:DNSは元来改ざんやなりすましに弱いため、公開鍵暗号技術を用いて信頼性を担保する仕組みが必要です。
- 差がつくポイント:DNSSECは単なる可用性向上やアクセス制御ではなく、データの真正性と整合性を保証する点に注目しましょう。
正解の理由
選択肢イは「DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、送信者の正当性とデータの完全性を検証する」と述べています。これはDNSSECの本質的な機能であり、DNS応答の改ざん防止やなりすまし防止を実現するために公開鍵暗号方式を用いています。したがって、正解はイです。
よくある誤解
DNSSECはDNSの可用性を高める技術ではなく、あくまでデータの信頼性を保証するためのセキュリティ拡張です。単なるアクセス制御やサーバの冗長化とは異なります。
解法ステップ
- DNSSECの目的を理解する(DNSのセキュリティ強化)
- 選択肢の内容をDNSSECの機能と照らし合わせる
- デジタル署名や公開鍵暗号を用いた検証機能があるか確認する
- 可用性向上やアクセス制御はDNSSECの主目的ではないと判断する
- 最もDNSSECの説明に合致する選択肢を選ぶ
選択肢別の誤答解説
- ア: 再帰的問い合わせの受付範囲を最大化する設定はDNSの運用管理の話であり、DNSSECの機能ではありません。
- イ: 正解。DNS応答の改ざん防止と送信者認証をディジタル署名で実現します。
- ウ: セカンダリDNSサーバによる冗長化は可用性向上策であり、DNSSECの機能とは異なります。
- エ: DNS更新要求の認証はTSIGなど別の技術であり、DNSSECは主に応答の検証に関わります。
補足コラム
DNSSECはDNSの脆弱性を補うために開発され、DNS応答に電子署名を付加して改ざんやなりすましを防止します。公開鍵基盤(PKI)を利用し、親ゾーンから子ゾーンへ信頼の連鎖を構築する仕組みも特徴です。これにより、インターネットの名前解決の信頼性が大幅に向上します。
FAQ
Q: DNSSECはDNSのどの問題を解決しますか?
A: DNS応答の改ざんやなりすましを防ぎ、データの完全性と送信者の正当性を保証します。
A: DNS応答の改ざんやなりすましを防ぎ、データの完全性と送信者の正当性を保証します。
Q: DNSSECはDNSの可用性を高める技術ですか?
A: いいえ。DNSSECはセキュリティ強化が目的で、可用性向上は別の技術で対応します。
A: いいえ。DNSSECはセキュリティ強化が目的で、可用性向上は別の技術で対応します。
関連キーワード: DNS, デジタル署名, 公開鍵暗号, リソースレコード, セキュリティ拡張, なりすまし防止, データ完全性