情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ 問13: DNSSEC に関する記述のうち,適切なものはどれか。
←情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ
SEC に関する記述のうち,適切なものはどれか。
問題本文
DNSSEC に関する記述のうち,適切なものはどれか。
選択肢
- ア.権威 DNS サーバが,DNS 問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
- イ.権威 DNS サーバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。
- ウ.リゾルバが,DNS 問合せに対する応答時に,リソースレコードを公開鍵暗号方式で暗号化することによって,通信経路上の盗聴を防ぐ。
- エ.リゾルバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。
正解
エ. リゾルバが,リソースレコードの受信時にデジタル署名を検証することによって,データの作成元の正当性とデータの完全性を確認する。
解説
DNSSECは、DNS応答にデジタル署名を付与し、リゾルバ側が署名を検証することで、レコードの作成元の正当性とデータの完全性(改ざんなし)を確認する仕組み。よってエが正解。署名検証を行うのは応答を受け取るリゾルバ側であり、内容の暗号化(秘匿)は目的ではない点が重要。実務ではDNSキャッシュポイズニング対策として有効。
選択肢ごとの解説
- ア.DNSSECはレコードを暗号化せず署名で保護するため、盗聴防止という記述が誤り。
- イ.署名を検証するのは応答を受け取るリゾルバ側で、権威サーバが検証するのではない。
- ウ.暗号化による盗聴防止ではなく署名検証が目的であり誤り。
- エ.リゾルバが署名を検証し作成元の正当性と完全性を確認する、DNSSECの動作そのもの。
情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ の過去問一覧へ戻る・問13