AP過去問 令和6年度秋期 午前 問44
問44(問題文)
DNSSECの仕様はどれか。
ア DNSキャッシュサーバで、権威DNSサーバに名前を問い合わせるときの送信元ポート番号を問合せのたびランダムに変える。
イ 権威DNSサーバで公開鍵を公開し、秘密鍵を使ってリソースレコードにデジタル署名を付与する。DNSキャッシュサーバで、権威DNSサーバから受信したリソースレコードのデジタル署名を検証する。
ウ 電子メールを送信するメールサーバのIPアドレスを権威DNSサーバに登録する。電子メールを受信するメールサーバで、権威DNSサーバに登録されている情報を用いて、送信元メールサーバのIPアドレスを検証する。
エ 電子メールを送信するメールサーバの公開鍵を権威DNSサーバで公開し、秘密鍵を使って電子メールにデジタル署名を付与する。電子メールを受信するメールサーバで、電子メールのデジタル署名を検証する。
回答・解説
DNSSEC(DNS Security Extensions) は、DNS(Domain Name System)のセキュリティ拡張仕様で、DNS応答の改ざんを防止することを目的としています。権威DNSサーバが公開鍵を公開し、秘密鍵でリソースレコードにデジタル署名を付与します。DNSキャッシュサーバは、そのデジタル署名を検証して、受け取った情報が改ざんされていないことを確認します。
アは間違いです。DNSキャッシュサーバで、送信元ポート番号をランダム化する。これはDNSキャッシュポイズニング攻撃を防ぐためのポートランダム化(Source Port Randomization)を指しています。間違いの理由: ポートランダム化はDNSSECの一部ではなく、DNSの基本セキュリティ対策の1つです。DNSSECは改ざん検知を目的としており、署名と鍵の仕組みを利用します。
イは正しいです。公開鍵暗号とデジタル署名を利用したDNS応答の検証。これはDNSSECの仕様そのものを正しく説明しています。正解の理由: 公開鍵とデジタル署名を使い、DNS応答の改ざん検出を行う仕組みはDNSSECの主要な機能です。
ウは間違いです。電子メール送信元サーバのIPアドレス検証。これは SPF(Sender Policy Framework) を指している可能性があります。間違いの理由: SPFは電子メール送信者の偽装防止を目的とした仕組みであり、DNSSECとは直接関係ありません。
エは間違いです。電子メールにデジタル署名を付与し、署名を検証する。これは DKIM(DomainKeys Identified Mail) を指している可能性があります。間違いの理由: DKIMは電子メールの改ざん検知を目的とした仕組みで、DNSSECとは異なります。
したがって
イ
が答えです。