応用情報技術者試験 令和5年秋 午前問45 解説付き過去問
問題
DNSSECについての記述のうち、適切なものはどれか。
正解
解説
DNSSEC(Domain Name System Security Extensions)は、DNSのセキュリティ強化を目的とした技術であり、DNSの応答が正当なものであることを保証するために、公開鍵暗号方式を用いたデジタル署名を活用する。
各選択肢について説明する。
各選択肢について説明する。
- DNSサーバへの問合せ時の送信元ポート番号をランダムに選択することによって、DNS問合せへの不正な応答を防止する
これはDNSSECの仕組みではなく、DNSキャッシュポイズニング攻撃を防ぐための一般的な対策である。DNSSECはDNS応答の改ざん防止に焦点を当てており、ポート番号のランダム化は含まれない。 - DNSの再帰的な問合せの送信元として許可するクライアントを制限することによって、DNSを悪用したDoS攻撃を防止する
これはDNSリフレクション攻撃(DNS Amplification Attack)を防ぐための設定であり、DNSSECとは直接関係がない。DNSSECはDNSデータの正当性を保証する技術である。 - 共通鍵暗号方式によるメッセージ認証を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる
DNSSECでは共通鍵暗号方式は使用されず、公開鍵暗号方式を利用してDNS応答の正当性を検証する。共通鍵暗号方式を利用する場合、鍵の管理が困難になるため、DNSSECの設計とは異なる。 - 公開鍵暗号方式によるデジタル署名を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる
DNSSECの基本的な仕組みは、DNS応答に対して権威DNSサーバがデジタル署名を付与し、クライアント側(DNSキャッシュサーバなど)が公開鍵を用いてその署名を検証することである。この方法により、DNSの応答が改ざんされていないことを確認できる。これはDNSSECの主要な機能の一つであり、正しい記述である。