応用情報技術者試験 応用情報技術者試験 平成31年度春期 午前 問40: DNSSEC についての記述のうち，適切なものはどれか。

問題本文

DNSSEC についての記述のうち，適切なものはどれか。

選択肢

• ア.DNS サーバへの問合せ時の送信元ポート番号をランダムに選択することによって，DNS 問合せへの不正な応答を防止する。
• イ.DNS の再帰的な問合せの送信元として許可するクライアントを制限することによって，DNS を悪用した DoS 攻撃を防止する。
• ウ.共通鍵暗号方式によるメッセージ認証を用いることによって，正当な DNS サーバからの応答であることをクライアントが検証できる。
• エ.公開鍵暗号方式によるディジタル署名を用いることによって，正当な DNS サーバからの応答であることをクライアントが検証できる。

正解

エ. 公開鍵暗号方式によるディジタル署名を用いることによって，正当な DNS サーバからの応答であることをクライアントが検証できる。

解説

DNSSEC（DNS Security Extensions）が何を使って何を保証する仕組みかを問う問題である。DNSSEC は DNS の応答（レコード）に公開鍵暗号方式によるディジタル署名を付けることで、その応答が正当な権威 DNS サーバから出され改ざんされていないことをクライアント（リゾルバ）が検証できるようにする拡張である。DNS キャッシュポイズニングのような偽の応答による誘導を防ぐのが目的であり、エが正解である。

選択肢ごとの解説

• ア.問合せ時の送信元ポート番号をランダム化して不正応答を当てにくくするのはソースポートランダマイゼーションの説明であり、署名で検証する DNSSEC ではない。
• イ.再帰問合せを許可するクライアントを制限して DoS を防ぐのはアクセス制限の対策であり、応答の正当性を署名で保証する DNSSEC とは異なる。
• ウ.DNSSEC が用いるのは公開鍵暗号方式によるディジタル署名であり、共通鍵によるメッセージ認証とする点が誤り。
• エ.公開鍵暗号方式のディジタル署名で正当な DNS サーバからの応答であることを検証できるという、DNSSEC の仕組みそのものであり正しい。