ホーム > 情報処理安全確保支援士試験 > 2023年 秋期
情報処理安全確保支援士試験 2023年 秋期 午前2 問13
DNSSECに関する記述のうち、適切なものはどれか。
ア:権威DNSサーバが,DNS問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
イ:権威DNSサーバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。
ウ:リゾルバが,DNS問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
エ:リゾルバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。(正解)
解説
DNSSECに関する記述のうち、適切なものはどれか【午前2 解説】
要点まとめ
- 結論:リゾルバが受信したリソースレコードのデジタル署名を検証し、作成元の正当性と完全性を確認することがDNSSECの正しい役割です。
- 根拠:DNSSECはDNSデータの改ざん防止と正当性保証を目的とし、暗号化ではなくデジタル署名を用いています。
- 差がつくポイント:暗号化と署名の違い、権威DNSサーバとリゾルバの役割を正確に理解することが重要です。
正解の理由
選択肢エは「リゾルバがリソースレコードの受信時にデジタル署名を検証することによって、データの作成元の正当性とデータの完全性を確認する」と述べています。これはDNSSECの基本的な仕組みを正確に表しています。DNSSECはDNS応答にデジタル署名を付加し、リゾルバがその署名を検証することで応答の信頼性を保証します。暗号化による通信の秘匿ではなく、改ざん検知と正当性確認が目的です。
よくある誤解
DNSSECは通信経路の盗聴防止を目的とした暗号化技術ではありません。権威DNSサーバが署名を付け、リゾルバが検証する仕組みであることを混同しやすい点に注意が必要です。
解法ステップ
- DNSSECの目的を確認する(改ざん防止と正当性保証)。
- 暗号化とデジタル署名の違いを理解する。
- 権威DNSサーバとリゾルバの役割を整理する。
- 選択肢の記述がDNSSECの仕組みと合致しているか検証する。
- 正しい役割分担と技術的手法を踏まえ、最も適切な選択肢を選ぶ。
選択肢別の誤答解説
- ア:権威DNSサーバがリソースレコードを公開鍵暗号方式で暗号化するという記述は誤り。DNSSECは暗号化ではなく署名を用いる。
- イ:権威DNSサーバが受信時に署名を検証するのは誤り。署名検証はリゾルバ側の役割。
- ウ:リゾルバがリソースレコードを公開鍵暗号方式で暗号化するというのは誤り。リゾルバは検証を行うが暗号化はしない。
- エ:リゾルバが受信したリソースレコードのデジタル署名を検証し、正当性と完全性を確認する点が正しい。
補足コラム
DNSSECはDNSの信頼性を高めるために導入された拡張機能で、DNS応答にデジタル署名を付加し、リゾルバがその署名を検証することで応答の改ざんを検知します。通信の暗号化はDNSSECの範囲外であり、通信の秘匿を目的とする場合はDNS over TLS(DoT)やDNS over HTTPS(DoH)などの技術が用いられます。
FAQ
Q: DNSSECは通信の暗号化も行いますか?
A: いいえ。DNSSECはデジタル署名による改ざん検知と正当性確認を目的としており、通信の暗号化は行いません。
A: いいえ。DNSSECはデジタル署名による改ざん検知と正当性確認を目的としており、通信の暗号化は行いません。
Q: 署名検証はどの機器が行いますか?
A: リゾルバが受信したDNS応答のデジタル署名を検証し、応答の信頼性を確認します。
A: リゾルバが受信したDNS応答のデジタル署名を検証し、応答の信頼性を確認します。
関連キーワード: DNSSEC, デジタル署名, リゾルバ, 権威DNSサーバ, DNSセキュリティ, 公開鍵暗号, 改ざん防止