ホーム > 情報処理安全確保支援士試験 > 2024年 春期
情報処理安全確保支援士試験 2024年 春期 午前2 問15
DNSにおいてDNS CAA(Certification Authority Authorization)レコードを設定することによるセキュリティ上の効果はどれか。
ア:Web サイトにアクセスしたときの Web ブラウザに鍵マークが表示されていれば当該サイトが安全であることを、利用者が確認できる。
イ:Web サイトにアクセスする際の URL を短縮することによって、 利用者の URL の誤入力を防ぐ。
ウ:電子メールを受信するサーバでスパムメールと誤検知されないようにする。
エ:不正なサーバ証明書の発行を防ぐ。(正解)
解説
DNSにおけるDNS CAAレコードのセキュリティ効果【午前2 解説】
要点まとめ
- 結論:DNS CAAレコードは不正なサーバ証明書の発行を防止し、証明書の信頼性を高めます。
- 根拠:CAAレコードは認証局(CA)が証明書を発行する際に、許可されたCAをDNSで指定する仕組みだからです。
- 差がつくポイント:CAA設定の有無で不正証明書発行リスクが大きく変わるため、セキュリティ対策として必須の理解事項です。
正解の理由
DNS CAA(Certification Authority Authorization)レコードは、ドメイン所有者がどの認証局(CA)に対して証明書発行を許可するかをDNS上で指定するためのものです。これにより、許可されていないCAが誤って、あるいは悪意を持って不正なサーバ証明書を発行することを防止できます。したがって、選択肢エ「不正なサーバ証明書の発行を防ぐ」が正解です。
よくある誤解
CAAレコードはWebブラウザの表示やURL短縮、メールのスパム判定には直接関係しません。証明書の発行制御に特化したDNSレコードです。
解法ステップ
- 問題文の「DNS CAAレコード」の役割を理解する。
- CAAレコードが証明書発行の許可を管理する仕組みであることを確認。
- 選択肢の内容を証明書発行の制御に関連付けて検討。
- 証明書発行以外の選択肢(ブラウザ表示、URL短縮、メールスパム判定)を除外。
- 「不正なサーバ証明書の発行を防ぐ」が最も適切と判断。
選択肢別の誤答解説
- ア: 鍵マークの表示はTLS証明書の有効性を示すが、CAAレコードの役割ではない。
- イ: URL短縮はDNSとは無関係であり、CAAレコードの機能外。
- ウ: スパムメール判定はメールサーバの設定やSPF/DKIM/DMARCの役割で、CAAとは無関係。
- エ: DNS CAAレコードは認証局の証明書発行権限を制御し、不正発行を防止する正しい説明。
補足コラム
CAAレコードは2017年にRFC 6844で標準化され、主要な認証局はCAAレコードのチェックを義務付けています。これにより、ドメイン所有者は自分のドメインに対してどのCAが証明書を発行できるかを明確に制御でき、なりすましや中間者攻撃のリスクを低減します。
FAQ
Q: CAAレコードを設定しないとどうなる?
A: 設定がない場合、どの認証局も証明書を発行可能であり、不正発行リスクが高まります。
A: 設定がない場合、どの認証局も証明書を発行可能であり、不正発行リスクが高まります。
Q: CAAレコードはDNSのどのタイプのレコード?
A: CAAはDNSのリソースレコードの一種で、ドメインの認証局許可情報を格納します。
A: CAAはDNSのリソースレコードの一種で、ドメインの認証局許可情報を格納します。
関連キーワード: DNS, CAAレコード, サーバ証明書, 認証局, セキュリティ対策, TLS, 不正証明書発行防止