情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和2年度 午前Ⅱ 問15: DNSSEC で実現できることはどれか。

問題本文

DNSSEC で実現できることはどれか。

選択肢

• ア.DNS キャッシュサーバが得た応答中のリソースレコードが，権威 DNS サーバで管理されているものであり，改ざんされていないことの検証
• イ.権威 DNS サーバと DNS キャッシュサーバとの通信を暗号化することによる，ゾーン情報の漏えいの防止
• ウ.長音“ー”と漢数字“一”などの似た文字をドメイン名に用いて，正規サイトのように見せかける攻撃の防止
• エ.利用者の URL の入力誤りを悪用して，偽サイトに誘導する攻撃の検知

正解

ア. DNS キャッシュサーバが得た応答中のリソースレコードが，権威 DNS サーバで管理されているものであり，改ざんされていないことの検証

解説

DNSSECは権威DNSサーバが応答レコードにディジタル署名を付し、キャッシュサーバが公開鍵の信頼の連鎖で署名を検証する仕組み。これにより、得たレコードが正規の権威サーバ由来で改ざんされていないことを確認でき、キャッシュポイズニングを防ぐ。アが正しい。実務では応答の出所と完全性を保証するが、通信の暗号化や秘匿は対象外。

選択肢ごとの解説

• ア.キャッシュサーバが得た応答レコードが権威DNSサーバ由来で改ざんされていないことを署名で検証するDNSSECの機能で正しい。
• イ.通信を暗号化してゾーン情報漏えいを防ぐのはDNSSECの目的ではない(機密性は対象外)。
• ウ.長音と漢数字など似た文字でドメインを偽装する攻撃の防止はDNSSECの範囲外で誤り。
• エ.入力誤りを悪用する偽サイト誘導(タイポスクワッティング)の検知はDNSSECの機能ではない。