ホーム > 情報処理安全確保支援士試験 > 2021年 春期
情報処理安全確保支援士試験 2021年 春期 午前2 問10
DNSにおいてDNS CAA(Certification Authority Authorization)レコードを使うことによるセキュリティ上の効果はどれか。
ア:Web サイトにアクセスしたときの Web ブラウザに鍵マークが表示されていれば当該サイトが安全であることを利用者が確認できる。
イ:Web サイトにアクセスする際の URL を短縮することによって、利用者の URL の誤入力を防ぐ。
ウ:電子メールを受信するサーバでスパムメールと誤検知されないようにする。
エ:不正なサーバ証明書の発行を防ぐ。(正解)
解説
DNSにおけるDNS CAAレコードのセキュリティ効果【午前2 解説】
要点まとめ
- 結論:DNS CAAレコードは不正なサーバ証明書の発行を防止し、証明書の信頼性を高めます。
- 根拠:CAAレコードは認証局(CA)が証明書を発行する際に、許可されたCAをDNSで指定する仕組みだからです。
- 差がつくポイント:CAAレコードの設定により、悪意ある第三者による偽証明書発行リスクを低減できる点を理解しましょう。
正解の理由
DNS CAA(Certification Authority Authorization)レコードは、ドメイン所有者がどの認証局(CA)に対して証明書発行を許可するかをDNS上で指定するための仕組みです。これにより、許可されていないCAが不正にサーバ証明書を発行することを防止できます。したがって、選択肢エ「不正なサーバ証明書の発行を防ぐ」が正解です。
よくある誤解
CAAレコードはWebブラウザの表示やURLの短縮、メールのスパム判定には直接関係しません。証明書発行の管理に特化したDNSレコードです。
解法ステップ
- 問題文から「DNS CAAレコード」の役割を確認する。
- CAAレコードが証明書発行の許可を管理する仕組みであることを思い出す。
- 選択肢の内容を証明書発行の管理と照らし合わせる。
- 不正な証明書発行防止に関する選択肢を選ぶ。
選択肢別の誤答解説
- ア: Webブラウザの鍵マークはSSL/TLS証明書の有効性を示すが、CAAレコードとは無関係です。
- イ: URL短縮はDNSやCAAとは関係なく、誤入力防止の機能もありません。
- ウ: スパムメールの誤検知防止はメール認証技術(SPFやDKIMなど)の役割であり、CAAとは無関係です。
- エ: CAAレコードは認証局の証明書発行権限を制限し、不正な証明書発行を防止します。
補足コラム
CAAレコードは2017年にRFC 6844で標準化され、主要な認証局はCAAレコードの有無を確認してから証明書を発行します。これにより、ドメイン所有者は自分のドメインに対する証明書発行をより厳密に管理できるようになりました。
FAQ
Q: CAAレコードを設定しないとどうなる?
A: 設定がない場合、どの認証局でも証明書を発行可能であり、不正発行リスクが高まります。
A: 設定がない場合、どの認証局でも証明書を発行可能であり、不正発行リスクが高まります。
Q: CAAレコードはDNSのどのタイプのレコードですか?
A: CAAはDNSのリソースレコードの一種で、証明書発行の許可情報を格納します。
A: CAAはDNSのリソースレコードの一種で、証明書発行の許可情報を格納します。
関連キーワード: DNS CAA, サーバ証明書, 認証局, セキュリティ, DNSレコード, 証明書発行管理