応用情報技術者試験 平成31年春 午前問40 解説付き過去問
問題
DNSSECについての記述のうち、適切なものはどれか。
正解
解説
DNSSEC(Domain Name System Security Extensions)は、DNSのデータの改ざんや偽装を防ぐためのセキュリティ拡張であり、公開鍵暗号方式によるデジタル署名を利用してDNSの応答の正当性を検証する仕組みである。
各選択肢について説明する。
各選択肢について説明する。
- DNSサーバへの問合せ時の送信元ポート番号をランダムに選択することによって、DNS問合せへの不正な応答を防止する
この対策は、DNSキャッシュポイズニング攻撃を防ぐための一般的な手法の一つである。しかし、DNSSECはデータの完全性を保証する技術であり、ポートのランダム化とは関係がない。 - DNSの再帰的な問合せの送信元として許可するクライアントを制限することによって、DNSを悪用したDoS攻撃を防止する
この対策は、DNSアンプ攻撃(DNS Amplification Attack)を防ぐために用いられるものであり、DNSSECの仕組みとは異なる。DNSSECは、DNS応答の正当性を保証する技術である。 - 共通鍵暗号方式によるメッセージ認証を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる
DNSSECでは共通鍵暗号方式ではなく、公開鍵暗号方式を利用してDNS応答の正当性を保証する。共通鍵暗号方式では鍵の管理が難しく、DNSSECの設計には適していない。 - 公開鍵暗号方式によるディジタル署名を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる
DNSSECでは、権威DNSサーバがリソースレコード(DNS応答)に対してデジタル署名を付与し、クライアント(DNSキャッシュサーバなど)が公開鍵を用いてその署名を検証することで、DNS応答が正当なものであるかどうかを確認できる。これはDNSSECの主要な機能であり、正しい記述である。