DNSSEC|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問18

出典:令和元年秋期 午前Ⅱ 問18 分野:セキュリティ / セキュリティ実装技術
DNSSECに関する記述として,適切なものはどれか。
  • ア:DNSサーバへのDoS攻撃を防止できる。
  • イ:IPsecによる暗号化通信が前提となっている。
  • ウ:代表的なDNSサーバの実装であるBINDの代替として使用する。
  • エ:デジタル署名によってDNS応答の正当性を確認できる。
解説

DNSSECは、DNS応答にデジタル署名を付加し、その応答が正当なものか、途中で改ざんされていないかを確認できるようにする仕組みです。

DNSSEC

DNSキャッシュポイズニングなどでは、偽のDNS応答によって利用者を不正なサイトへ誘導されるおそれがあります。DNSSECでは、デジタル署名を検証することで、DNS応答の正当性や完全性を確認できます。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:DNSサーバへのDoS攻撃を防止できる。
⇒DNSSECは、DNS応答の正当性や完全性を確認するための仕組みです。DNSサーバに大量の通信を送り付けるDoS攻撃を防止する仕組みではありません。
イ:IPsecによる暗号化通信が前提となっている。
⇒DNSSECは、IPsecによる暗号化通信を前提とする仕組みではありません。DNS応答に対してデジタル署名を行い、応答内容が正当かどうかを検証する仕組みです。
ウ:代表的なDNSサーバの実装であるBINDの代替として使用する。
⇒DNSSECは、DNSサーバソフトウェアの代替ではありません。BINDなどのDNSサーバで利用できる、DNS応答の改ざん検知や正当性確認のための拡張機能です。
TSUNAGARU-ADVICE

まず押さえたいこと

DNSSECは、DNS応答にデジタル署名を付けることで、その応答が正当なものか、改ざんされていないかを確認できる仕組みです。ポイントは、DNS応答の正当性を検証することであり、DNS通信そのものを暗号化する仕組みではありません。

迷ったときの判断軸

DNSSECはDoS攻撃を防止するものではなく、IPsecを前提とするものでもありません。また、BINDの代替ソフトウェアでもありません。DNSSECと出てきたら、デジタル署名によるDNS応答の検証と判断しましょう。

科目Bにつなげるために

科目Bでは、利用者を偽サイトへ誘導するDNSキャッシュポイズニングなどへの対策としてDNSSECが問われることがあります。DNSの応答内容を信じてよいかを判断するために、署名検証によって改ざんやなりすましを見抜く仕組みとして整理しておきましょう。