DNS CAAレコード|情報処理安全確保支援士試験 令和3年 春期午前Ⅱ試験 問10

出典:令和3年春期 午前Ⅱ 問10 分野:セキュリティ / 情報セキュリティ対策
DNSにおいてDNS CAA(Certification Authority Authorization)レコードを使うことによるセキュリティ上の効果はどれか。
  • ア:WebサイトにアクセスしたときのWebブラウザに鍵マークが表示されていれば当該サイトが安全であることを,利用者が確認できる。
  • イ:Webサイトにアクセスする際のURLを短縮することによって,利用者のURLの誤入力を防ぐ。
  • ウ:電子メールを受信するサーバでスパムメールと誤検知されないようにする。
  • エ:不正なサーバ証明書の発行を防ぐ。
この問題を解く
解説

DNS CAAレコードは、そのドメインに対して、どの認証局がサーバ証明書を発行してよいかをDNS上で指定する仕組みです。

CAAレコードを設定しておくと、許可されていない認証局による証明書発行を防ぎやすくなります。そのため、不正なサーバ証明書の発行を抑止する効果があります。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:WebサイトにアクセスしたときのWebブラウザに鍵マークが表示されていれば当該サイトが安全であることを,利用者が確認できる。
⇒ブラウザの鍵マークは、HTTPS通信が行われていることなどを示しますが、CAAレコードの効果そのものではありません。また、鍵マークがあるだけでWebサイト全体が安全であるとまでは判断できません。
イ:Webサイトにアクセスする際のURLを短縮することによって,利用者のURLの誤入力を防ぐ。
⇒URL短縮や誤入力防止に関する説明であり、DNS CAAレコードの役割ではありません。CAAレコードは、ドメインに対して証明書を発行できる認証局を制限するために使われます。
ウ:電子メールを受信するサーバでスパムメールと誤検知されないようにする。
⇒電子メールの送信元確認やスパム判定に関係する仕組みとしては、SPF、DKIM、DMARCなどがあります。DNS CAAレコードはメールの誤検知防止ではなく、サーバ証明書の不正発行を防ぐための仕組みです。
TSUNAGARU-ADVICE

まず押さえたいこと

DNS CAAレコードは、そのドメインについて、どの認証局がサーバ証明書を発行してよいかをDNS上で指定する仕組みです。許可されていない認証局による証明書発行を防ぎやすくし、不正なサーバ証明書の発行を抑止する効果があります。

迷ったときの判断軸

CAAレコードは、HTTPSの鍵マークを表示する仕組みでも、URL短縮やメールのスパム判定に関する仕組みでもありません。証明書を発行できる認証局を制限するものなので、DNS CAA=証明書発行を許可する認証局の指定と判断しましょう。

科目Bにつなげるために

科目Bでは、TLS証明書の誤発行や不正発行をどう防ぐかが問われることがあります。CAAレコードは、証明書発行前に認証局がDNSを確認するための情報として使われるので、ドメイン管理・DNS・認証局・サーバ証明書の関係を結び付けて理解しておきましょう。

の問題 試験TOPへ の問題