情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ 問13: DNSSEC で実現できることはどれか。
←情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ
SEC で実現できることはどれか。
選択肢
- ア.DNS キャッシュサーバが得た応答中のリソースレコードが,権威 DNS サーバで管理されているものであり,改ざんされていないことの検証
- イ.権威 DNS サーバと DNS キャッシュサーバとの通信を暗号化することによる,ゾーン情報の漏えいの防止
- ウ.長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて,正規サイトのように見せかける攻撃の防止
- エ.利用者の URL の打ち間違いを悪用して,偽サイトに誘導する攻撃の検知
正解
ア. DNS キャッシュサーバが得た応答中のリソースレコードが,権威 DNS サーバで管理されているものであり,改ざんされていないことの検証
解説
DNSSECは、DNSレコードに権威サーバの署名を付け、検証者が公開鍵で署名を確かめることでレコードが正規発信元のもので改ざんされていないことを保証する仕組み。よってアが正解。DNSキャッシュポイズニングへの対策として有効。実務では完全性は保証するが、通信内容の暗号化(機密性)は提供しない点に注意する。
選択肢ごとの解説
- ア.応答レコードが権威DNSのもので改ざんされていないことの検証が正解。
- イ.DNSSECは署名による完全性保証で通信暗号化や漏えい防止は行わず誤り。
- ウ.似た文字で正規サイトを装う攻撃の防止はDNSSECの目的でなく誤り。
- エ.打ち間違いを悪用するタイポスクワッティングの検知はDNSSECの範囲外。
情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ の過去問一覧へ戻る・問13