ホーム > 情報処理安全確保支援士試験 > 2019年 秋期
情報処理安全確保支援士試験 2019年 秋期 午前2 問18
DNSSEC に関する記述として,適切なものはどれか。
ア:DNS サーバへの DoS 攻撃を防止できる。
イ:IPsec による暗号化通信が前提となっている。
ウ:代表的な DNS サーバの実装である BIND の代替として使用する。
エ:ディジタル署名によって DNS 応答の正当性を確認できる。(正解)
解説
DNSSEC に関する記述の正誤判断【午前2 解説】
要点まとめ
- 結論:DNSSECはディジタル署名を用いてDNS応答の正当性を保証する技術です。
- 根拠:DNSの応答に署名を付加し、改ざんやなりすましを検出可能にする仕組みだからです。
- 差がつくポイント:DNSSECは通信の暗号化ではなく、応答の信頼性確保に特化している点を理解しましょう。
正解の理由
選択肢エ「ディジタル署名によってDNS応答の正当性を確認できる」が正解です。
DNSSECはDNSの応答に電子署名を付与し、受信側がその署名を検証することで応答が正当なものであることを保証します。これにより、DNSキャッシュポイズニングなどの攻撃を防ぎ、名前解決の信頼性を高めます。
DNSSECはDNSの応答に電子署名を付与し、受信側がその署名を検証することで応答が正当なものであることを保証します。これにより、DNSキャッシュポイズニングなどの攻撃を防ぎ、名前解決の信頼性を高めます。
よくある誤解
DNSSECは通信の暗号化を行う技術ではなく、あくまで応答の改ざん検知に特化しています。IPsecやTLSとは役割が異なります。
解法ステップ
- DNSSECの目的を確認する(DNS応答の信頼性確保)。
- 選択肢の内容をDNSSECの機能と照らし合わせる。
- DoS攻撃防止や通信暗号化はDNSSECの役割ではないと判断する。
- DNSサーバの実装の代替ではなく、プロトコル拡張であることを理解する。
- ディジタル署名による正当性確認がDNSSECの本質であるため、選択肢エを選ぶ。
選択肢別の誤答解説
- ア: DNSサーバへのDoS攻撃を防止する機能はDNSSECにはありません。DoS対策は別のセキュリティ対策が必要です。
- イ: DNSSECはIPsecによる暗号化通信を前提としていません。署名による検証が主な機能です。
- ウ: BINDは代表的なDNSサーバソフトウェアであり、DNSSECはその機能拡張であって代替ではありません。
- エ: ディジタル署名によってDNS応答の正当性を確認できるため正解です。
補足コラム
DNSSECはDNSの脆弱性を補うために開発され、DNS応答の改ざんやなりすましを防止します。公開鍵暗号方式を用いて署名と検証を行い、DNSキャッシュポイズニング攻撃のリスクを低減します。ただし、通信の暗号化は行わないため、通信内容の秘匿性は別途対策が必要です。
FAQ
Q: DNSSECはDNS通信を暗号化しますか?
A: いいえ。DNSSECは応答の正当性を保証するための署名技術であり、通信の暗号化は行いません。
A: いいえ。DNSSECは応答の正当性を保証するための署名技術であり、通信の暗号化は行いません。
Q: DNSSECはどのような攻撃を防げますか?
A: DNSキャッシュポイズニングやなりすましによる偽のDNS応答を検出し、防止します。
A: DNSキャッシュポイズニングやなりすましによる偽のDNS応答を検出し、防止します。
関連キーワード: DNS, DNSSEC, デジタル署名, DNSキャッシュポイズニング, 公開鍵暗号, ネットワークセキュリティ