戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

情報処理安全確保支援士 2022年 春期 午前213

問題文

DNSSECで実現できることはどれか。

選択肢

DNSキャッシュサーバが得た応答中のリソースレコードが権威DNSサーバで管理されているものであり改ざんされていないことの検証(正解)
権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによるゾーン情報の漏えいの防止
長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて正規サイトのように見せかける攻撃の防止
利用者のURLの入力誤りを悪用して偽サイトに誘導する攻撃の検知

DNSSECで実現できることはどれか【午前2 解説】

要点まとめ

  • 結論:DNSSECはDNS応答の改ざん検知と正当性の検証を実現します。
  • 根拠:DNSSECはデジタル署名を用いてリソースレコードの真正性を保証し、権威DNSサーバ発行の情報であることを証明します。
  • 差がつくポイント:通信の暗号化や類似文字攻撃の防止ではなく、DNS応答の信頼性確保に特化している点を理解しましょう。

正解の理由

DNSSEC(DNS Security Extensions)は、DNSの応答にデジタル署名を付加し、受信したリソースレコードが権威DNSサーバで管理されている正当なものであることを検証可能にします。これにより、DNSキャッシュサーバが受け取った応答が改ざんされていないかを確認でき、DNSのなりすましや応答の改ざんを防止します。したがって、選択肢アの「DNSキャッシュサーバが得た応答中のリソースレコードが権威DNSサーバで管理されているものであり改ざんされていないことの検証」が正解です。

よくある誤解

DNSSECは通信の暗号化を行うものではなく、あくまでDNS応答の正当性を検証する仕組みです。類似文字を使ったフィッシングや入力誤りの検知はDNSSECの機能外です。

解法ステップ

  1. DNSSECの目的を確認する(DNS応答の信頼性確保)。
  2. 選択肢の内容をDNSSECの機能と照らし合わせる。
  3. 通信暗号化や文字類似攻撃防止はDNSSECの範囲外と判断。
  4. DNS応答の改ざん検知に関する選択肢を正解とする。

選択肢別の誤答解説

  • ア: DNS応答の改ざん検知と正当性検証を実現するため正解。
  • イ: 権威DNSサーバとキャッシュサーバ間の通信暗号化はDNSSECの機能ではなく、TLSなど別技術の領域。
  • ウ: 文字の類似を利用した攻撃(IDNホモグリフ攻撃)はDNSSECでは防げず、別の対策が必要。
  • エ: URL入力誤りを悪用した攻撃検知はDNSSECの範囲外で、セキュリティソフトやブラウザの機能に依存。

補足コラム

DNSSECはDNSの信頼性を高めるために導入されましたが、通信の暗号化は行いません。DNS over HTTPS(DoH)やDNS over TLS(DoT)が通信の暗号化を担います。また、DNSSECの導入にはゾーン署名や鍵管理の運用負荷が伴うため、普及には時間がかかっています。

FAQ

Q: DNSSECはDNS通信を暗号化しますか?
A: いいえ。DNSSECは応答の正当性を検証する仕組みであり、通信の暗号化は行いません。
Q: DNSSECで防げない攻撃は何ですか?
A: 文字の類似を利用したフィッシングやURL入力誤りを悪用した攻撃はDNSSECでは防げません。
関連キーワード: DNSSEC, DNS応答改ざん検知、デジタル署名、DNSキャッシュサーバ、権威DNSサーバ、DNSセキュリティ
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

情報処理安全確保支援士
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について