情報処理安全確保支援士試験 令和5年秋期午前Ⅱ DNSSEC
出典:令和5年秋期 午前Ⅱ 問13
分野:セキュリティ / セキュリティ実装技術
DNSSECに関する記述のうち,適切なものはどれか。
- ア:権威DNSサーバが,DNS問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
- イ:権威DNSサーバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。
- ウ:リゾルバが,DNS問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
- エ:リゾルバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。
TSUNAGARU-ADVICE
まず押さえたいこと
DNSSECは、DNS応答を暗号化して盗聴を防ぐ仕組みではなく、DNS応答に付与されたデジタル署名を検証して、データの正当性と完全性を確認する仕組みです。
迷ったときの判断軸
DNSSECでは、権威DNSサーバ側でリソースレコードに署名し、リゾルバ側で受信したリソースレコードの署名を検証します。したがって、リゾルバが受信時にデジタル署名を検証すると整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、DNSのセキュリティ対策について、盗聴防止なのか、改ざん検知やなりすまし防止なのかを切り分ける力が問われます。DNSSECは通信内容の秘匿ではなく、DNS応答が正しい権威情報に基づくものかを確認する仕組みとして理解しておきましょう。
DNSSECは、DNS応答が正しいものかを確認するための仕組みです。DNSの情報にデジタル署名を付け、受け取った側がその署名を検証することで、データの作成元と改ざんされていないことを確認します。
DNSSECでは、ゾーンの管理者が秘密鍵と公開鍵を用意します。公開鍵はDNSKEYレコードとして公開し、DNSのリソースレコードには秘密鍵でデジタル署名を付けます。
DNSの問い合わせがあると、権威DNSサーバはリソースレコードと一緒にデジタル署名を返します。リゾルバは公開鍵を使って署名を検証し、DNS応答が正しいものか確認します。
主な流れは、次のとおりです。
DNSSECにより、偽のDNS応答を送り込むDNSキャッシュポイズニングなどの攻撃を検知しやすくなります。
ただし、DNSSECは通信内容を暗号化する仕組みではありません。あくまで「DNS応答が正しいか」「改ざんされていないか」を確認するための仕組みです。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:権威DNSサーバが,DNS問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
⇒DNSSECは暗号化によって盗聴を防ぐ仕組みではありません。デジタル署名によって正当性と完全性を確認する仕組みです。
イ:権威DNSサーバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。
⇒署名を検証する主体が違います。DNSSECでは、主にリゾルバが受信したリソースレコードの署名を検証します。
ウ:リゾルバが,DNS問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
⇒DNSSECは暗号化によって盗聴を防ぐ仕組みではありません。また、リゾルバが応答時にリソースレコードを暗号化する説明でもありません。