DNS over HTTPS(DoH)及びDNS over TLS(DoT)の目的|情報処理安全確保支援士 シラバス準拠予想問題2 問17

出典:3-5:ネットワーク及び機器のセキュリティ管理| DNSのセキュリティに関する知識 分野:セキュリティ / セキュリティ実装技術
DNS over HTTPS(DoH)及びDNS over TLS(DoT)の目的として,最も適切なものはどれか。
  • ア:DNS問合せと応答をHTTPS又はTLSで暗号化し,通信経路上の第三者による名前解決情報の盗聴や改ざんを防ぎ,プライバシー保護を高めることである。
  • イ:DNS応答に電子署名を付与し,受信側が署名を検証することで,DNS応答データの出所や完全性を確認できるようにすることである。
  • ウ:UDP又はTCPの53番ポートを用いて,ドメイン名とIPアドレスの対応を平文で問い合わせる従来の名前解決方式である。
  • エ:UDP上で動作し,TLS 1.3相当の暗号化機能を統合して,接続確立時の遅延を低減するトランスポートプロトコルである。
解説

DNS over HTTPS(DoH)及びDNS over TLS(DoT)は、DNSの問合せと応答をHTTPS又はTLSで暗号化する仕組みです。

従来のDNSでは、名前解決の問合せ内容が平文で送受信されることが多く、通信経路上の第三者に、どのドメイン名を問い合わせているかを盗聴されたり、応答を改ざんされたりするリスクがあります。DoHやDoTは、DNS通信を暗号化することで、名前解決情報のプライバシー保護と改ざんリスクの低減を図ります。

したがって、が適切です。

❌他選択肢が誤りの理由
イ:DNS応答に電子署名を付与し,受信側が署名を検証することで,DNS応答データの出所や完全性を確認できるようにすることである。
⇒DNSSECの説明です。DNSSECは、DNS応答データに対する電子署名を検証することで、応答の出所や完全性を確認する仕組みです。一方、DoHやDoTはDNS通信そのものを暗号化し、通信経路上での盗聴や改ざんを防ぐことを目的とします。
ウ:UDP又はTCPの53番ポートを用いて,ドメイン名とIPアドレスの対応を平文で問い合わせる従来の名前解決方式である。
⇒従来のDNSの説明です。一般的なDNSはUDP又はTCPの53番ポートを用いて名前解決を行いますが、平文で送受信される場合があります。DoHやDoTは、このDNS問合せと応答をHTTPS又はTLSで暗号化する点が異なります。
エ:UDP上で動作し,TLS 1.3相当の暗号化機能を統合して,接続確立時の遅延を低減するトランスポートプロトコルである。
⇒QUICの説明です。QUICはUDP上で動作し、TLS 1.3相当の暗号化や接続確立時の遅延低減を実現するプロトコルです。DoHやDoTは、DNS問合せと応答をHTTPS又はTLSで暗号化する仕組みです。
TSUNAGARU-ADVICE

まず押さえたいこと

DNS over HTTPS(DoH)及びDNS over TLS(DoT)は、DNSの問合せと応答をHTTPS又はTLSで暗号化する仕組みです。平文のDNS通信と比べて、通信経路上の第三者による盗聴や改ざんを防ぎやすくし、名前解決情報のプライバシー保護を高める点が重要です。

迷ったときの判断軸

DNS応答に電子署名を付けて正当性や完全性を確認するものはDNSSECです。UDP又はTCPの53番ポートを使う従来の平文DNSはDo53、UDP上でTLS 1.3相当の暗号化や多重化を実現するものはQUICです。DoHとDoTは、DNS通信そのものを暗号化する仕組みと判断しましょう。

科目Bにつなげるために

科目Bでは、DNSの盗聴対策・DNSSEC・プロキシやFWでの名前解決監視・マルウェア通信の検知などが絡んで問われることがあります。DoHやDoTはプライバシー保護に有効な一方で、組織内のDNS監視を難しくする場合もあるため、暗号化による保護と運用監視のバランスを意識して整理しておきましょう。