情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ 問18: DNSSEC に関する記述として，適切なものはどれか。

問題本文

DNSSEC に関する記述として，適切なものはどれか。

選択肢

• ア.DNS サーバへの DoS 攻撃を防止できる。
• イ.IPsec による暗号化通信が前提となっている。
• ウ.代表的な DNS サーバの実装である BIND の代替として使用する。
• エ.ディジタル署名によって DNS 応答の正当性を確認できる。

正解

エ. ディジタル署名によって DNS 応答の正当性を確認できる。

解説

DNSSECは、DNS応答にディジタル署名を付け、署名を検証することで応答が正規であり改ざんされていないことを確認する拡張。これによりキャッシュポイズニングなどのなりすましを防ぐ。よってエが正解。DoS防止や暗号化(秘匿)を目的とするものではなく、BINDのような実装ソフトの代替でもない。実務では信頼の連鎖(DSレコード)の管理や鍵更新の運用が重要になる。

選択肢ごとの解説

• ア.DNSSECは応答の真正性を保証する仕組みで、DoS攻撃そのものを防止する機能ではなく誤り。
• イ.DNSSECは署名による検証が目的で、IPsecによる暗号化通信を前提とするものではない。
• ウ.DNSSECはDNSの拡張仕様であり、DNSサーバ実装であるBINDの代替ソフトではない。
• エ.ディジタル署名でDNS応答の正当性を確認できる点がDNSSECの本質で、これが正解。