基本情報技術者試験 ap-2023r05a-a 午前 問45: DNSSEC についての記述のうち，適切なものはどれか。

問題本文

DNSSEC についての記述のうち，適切なものはどれか。

選択肢

• ア.DNS サーバへの問合せ時の送信元ポート番号をランダムに選択することによって，DNS 問合せへの不正な応答を防止する。
• イ.DNS の再帰的な問合せの送信元として許可するクライアントを制限することによって，DNS を悪用した DoS 攻撃を防止する。
• ウ.共通鍵暗号方式によるメッセージ認証を用いることによって，正当な DNS サーバからの応答であることをクライアントが検証できる。
• エ.公開鍵暗号方式によるデジタル署名を用いることによって，正当な DNS サーバからの応答であることをクライアントが検証できる。

正解

エ. 公開鍵暗号方式によるデジタル署名を用いることによって，正当な DNS サーバからの応答であることをクライアントが検証できる。

解説

DNSSEC(DNS Security Extensions)は，DNS の応答が正当な権威サーバから来た改ざんのないものであることを保証するための拡張仕様である。仕組みの核心は公開鍵暗号方式によるデジタル署名で，権威サーバが応答レコードに秘密鍵で署名し，受信側が公開鍵で検証することでキャッシュポイズニング(偽応答による汚染)を防ぐ。共通鍵ではなく公開鍵暗号を使う点が要点であり，正解はエ。

選択肢ごとの解説

• ア.問合せの送信元ポート番号をランダム化するのはソースポートランダマイゼーションという別の緩和策で，DNSSEC の仕組みではない。
• イ.再帰問合せを許可するクライアントを制限するのはオープンリゾルバ対策(アクセス制限)であり，署名でレコードの正当性を保証する DNSSEC とは別の対策である。
• ウ.DNSSEC が用いるのは共通鍵によるメッセージ認証ではなく公開鍵暗号方式によるデジタル署名であり，鍵方式の記述が誤っている。
• エ.正しい。公開鍵暗号方式のデジタル署名により応答が正当な DNS サーバ由来で改ざんされていないことをクライアントが検証できる，という DNSSEC の本質を述べている。