ホーム > 情報処理安全確保支援士試験 > 2014年 秋期
情報処理安全確保支援士試験 2014年 秋期 午前2 問18
DNSSECに関する記述として、適切なものはどれか。
ア:DNSサーバへのDoS攻撃を防止できる。
イ:IPsecによる暗号化通信が前提となっている。
ウ:代表的なDNSサーバの実装であるBINDの代替として使用する。
エ:ディジタル署名によってDNS応答の正当性を確認できる。(正解)
解説
DNSSECに関する記述の正誤問題【午前2 解説】
要点まとめ
- 結論:DNSSECはディジタル署名を用いてDNS応答の正当性を保証する技術です。
- 根拠:DNSの応答が改ざんされていないかを検証するために公開鍵暗号方式を利用し、信頼性を高めます。
- 差がつくポイント:DNSSECは通信の暗号化ではなく、応答の改ざん検知に特化している点を理解することが重要です。
正解の理由
選択肢エ「ディジタル署名によってDNS応答の正当性を確認できる。」が正解です。
DNSSECはDNSの応答に電子署名を付加し、受信側が公開鍵で検証することで、応答が正当なものであることを保証します。これにより、DNSキャッシュポイズニングなどの攻撃を防止し、名前解決の信頼性を向上させます。
DNSSECはDNSの応答に電子署名を付加し、受信側が公開鍵で検証することで、応答が正当なものであることを保証します。これにより、DNSキャッシュポイズニングなどの攻撃を防止し、名前解決の信頼性を向上させます。
よくある誤解
DNSSECは通信の暗号化を行う技術ではなく、あくまで応答の改ざん検知に特化しています。
また、DNSサーバの実装の代替ではなく、既存のDNSサーバに追加する拡張仕様です。
また、DNSサーバの実装の代替ではなく、既存のDNSサーバに追加する拡張仕様です。
解法ステップ
- DNSSECの目的を確認する(DNS応答の正当性保証)。
- 選択肢の内容がDNSSECの機能に合致しているかを検討する。
- 暗号化通信やサーバ実装の代替など、DNSSECの範囲外の説明を除外する。
- ディジタル署名による検証を述べている選択肢を正解とする。
選択肢別の誤答解説
- ア: DNSサーバへのDoS攻撃を防止できる。
→ DNSSECはDoS攻撃防止の技術ではなく、応答の改ざん検知に特化しています。 - イ: IPsecによる暗号化通信が前提となっている。
→ DNSSECはIPsecとは独立しており、通信の暗号化は行いません。 - ウ: 代表的なDNSサーバの実装であるBINDの代替として使用する。
→ DNSSECはBINDなどのDNSサーバに機能を追加する拡張仕様であり、代替ではありません。 - エ: ディジタル署名によってDNS応答の正当性を確認できる。
→ 正解。DNSSECの本質的な機能を正しく表しています。
補足コラム
DNSSECはDNSのセキュリティを強化するための拡張仕様で、DNS応答に電子署名を付与し、受信側が公開鍵で検証します。これにより、DNSキャッシュポイズニングやなりすまし攻撃を防止します。ただし、DNSSEC自体は通信の暗号化を行わないため、通信内容の秘匿性は別途TLSなどで補う必要があります。
FAQ
Q: DNSSECは通信内容を暗号化しますか?
A: いいえ。DNSSECは応答の改ざん検知に特化しており、通信の暗号化は行いません。
A: いいえ。DNSSECは応答の改ざん検知に特化しており、通信の暗号化は行いません。
Q: DNSSECはすべてのDNSサーバで必須ですか?
A: 現状は任意の拡張仕様であり、導入は段階的に進められています。
A: 現状は任意の拡張仕様であり、導入は段階的に進められています。
Q: DNSSECはどのような攻撃を防止できますか?
A: DNSキャッシュポイズニングやなりすましによる不正な名前解決を防止します。
A: DNSキャッシュポイズニングやなりすましによる不正な名前解決を防止します。
関連キーワード: DNSSEC, デジタル署名, DNS応答検証, DNSキャッシュポイズニング, 公開鍵暗号, DNSセキュリティ