情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ 問14: DNSSECで実現できることはどれか。
←情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ
SECで実現できることはどれか。
選択肢
- ア.DNSキャッシュサーバからの応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証
- イ.権威DNSサーバとDNSキャッシュサーバとの通信を暗号化することによる,ゾーン情報の漏えいの防止
- ウ.長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて,正規サイトのように見せかける攻撃の防止
- エ.利用者のURLの打ち間違いを悪用して,偽サイトに誘導する攻撃の検知
正解
ア. DNSキャッシュサーバからの応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証
解説
DNSSECは、DNSの応答にディジタル署名を付与し、権威DNSサーバが管理する正当なレコードであり改ざんされていないことを受信側で検証できる仕組み。これによりキャッシュポイズニングなどの偽応答を見抜ける。秘匿(暗号化)や類似文字・打ち間違い対策が目的ではない。実務ではDNSの完全性・出所保証を担保し、なりすまし応答への耐性を高める。
選択肢ごとの解説
- ア.権威サーバ管理のレコードであり改ざんされていないことを署名で検証するのがDNSSECであり正しい。
- イ.通信暗号化による情報漏えい防止はDNSSECの目的ではなく、署名による完全性保証とは異なるため誤り。
- ウ.似た文字で正規サイトに見せかける攻撃の防止はDNSSECの機能ではないため誤り。
- エ.打ち間違いを悪用する誘導(タイポスクワッティング)の検知はDNSSECの役割ではないため誤り。
情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ の過去問一覧へ戻る・問14