DNS CAAレコード|情報処理安全確保支援士試験 令和6年春期午前Ⅱ 問15
出典:令和6年春期 午前Ⅱ 問15
分野:セキュリティ / 情報セキュリティ対策
DNSにおいてDNS CAA(Certification Authority Authorization)レコードを使うことによるセキュリティ上の効果はどれか。
- ア:WebサイトにアクセスしたときのWebブラウザに鍵マークが表示されていれば当該サイトが安全であることを,利用者が確認できる。
- イ:Webサイトにアクセスする際のURLを短縮することによって,利用者のURLの誤入力を防ぐ。
- ウ:電子メールを受信するサーバでスパムメールと誤検知されないようにする。
- エ:不正なサーバ証明書の発行を防ぐ。
TSUNAGARU-ADVICE
まず押さえたいこと
DNS CAAレコードは、ドメイン管理者が、自分のドメインのサーバ証明書を発行してよい認証局を指定するためのDNSレコードです。
迷ったときの判断軸
CAAレコードは、URLの短縮やスパムメール対策、Webブラウザの鍵マーク表示のための仕組みではありません。ポイントは、許可していない認証局から不正なサーバ証明書が発行されるリスクを下げることにあります。
科目Bにつなげるために
科目Bでは、証明書の信頼性を考える場面で、証明書を発行する前に、認証局がDNS上の許可情報を確認する流れを理解しているかが問われます。CAAレコードは、証明書発行を制御するためのDNS側の対策として整理しておきましょう。
CAAレコードは、DNSレコードの一種で、そのドメインの証明書を発行してよい認証局を指定するために使います。たとえば、次の設定では、example.jp の証明書を ca.example.com という認証局だけが発行できるようにしています。
example.jp. IN CAA 0 issue "ca.example.com"
認証局は、証明書を発行する前にCAAレコードを確認する必要があります。これにより、意図しない認証局から証明書が不正に発行されるリスクを減らせます。
主なDNSレコードには、次のようなものがあります。
つまりCAAレコードは、DNS上で「このドメインの証明書を発行してよい認証局」を指定するためのレコードです。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:WebサイトにアクセスしたときのWebブラウザに鍵マークが表示されていれば当該サイトが安全であることを,利用者が確認できる。
⇒鍵マークの表示に関する説明であり、CAAレコードの効果ではありません。また、鍵マークは通信の暗号化などを示すもので、サイト全体の安全性を保証するものではありません。
イ:Webサイトにアクセスする際のURLを短縮することによって,利用者のURLの誤入力を防ぐ。
⇒URL短縮に関する説明です。CAAレコードは証明書を発行できる認証局を制限するためのDNSレコードです。
ウ:電子メールを受信するサーバでスパムメールと誤検知されないようにする。
⇒メール認証やスパム判定に関する説明です。CAAレコードは電子メールではなく、サーバ証明書の発行制御に関係します。