応用情報技術者試験 令和6年秋 午前問44 解説付き過去問
問題
DNSSECの仕様はどれか。
正解
解説
DNSSEC(Domain Name System Security Extensions)は、DNSのセキュリティを強化するための拡張仕様であり、DNSのデータの完全性を保証するためにデジタル署名を利用する。DNSSECにより、DNSキャッシュポイズニングなどの攻撃を防ぎ、DNS応答が正当なものであることを検証できる。
各選択肢について説明する。
各選択肢について説明する。
- DNSキャッシュサーバで、権威DNSサーバに名前を問い合わせるときの送信元ポート番号を問合せのたびにランダムに変える
この方法はDNSキャッシュポイズニング対策として有効な手法の一つだが、DNSSECの仕様ではない。DNSSECはデジタル署名を用いたデータの正当性保証を行うが、ポートのランダム化はDNSSECに直接関係しない。 - 権威DNSサーバで公開鍵を公開し、秘密鍵を使ってリソースレコードにデジタル署名を付与する。DNSキャッシュサーバで、権威DNSサーバから受信したリソースレコードのデジタル署名を検証する
これはDNSSECの仕様そのものである。権威DNSサーバは、秘密鍵を用いてリソースレコードにデジタル署名を付与し、その公開鍵を利用者に提供する。DNSキャッシュサーバは、受信したレコードの署名を公開鍵で検証し、改ざんされていないことを確認する。 - 電子メールを送信するメールサーバのIPアドレスを権威DNSサーバに登録する。電子メールを受信するメールサーバで、権威DNSサーバに登録されている情報を用いて、送信元メールサーバのIPアドレスを検証する
これはSPF(Sender Policy Framework)という電子メールの送信元検証技術に関する仕様であり、DNSSECとは無関係である。SPFは、DNSに登録された送信可能なメールサーバのIPアドレスをもとに、受信側が送信元の正当性を確認する仕組みである。 - 電子メールを送信するメールサーバの公開鍵を権威DNSサーバで公開し、秘密鍵を使って電子メールにデジタル署名を付与する。電子メールを受信するメールサーバで、電子メールのデジタル署名を検証する
これはDKIM(DomainKeys Identified Mail)という電子メールの送信元認証技術に関する仕様であり、DNSSECとは異なる。DKIMはメールの改ざん防止や送信者のドメイン認証に用いられる。