AP過去問令和5年度秋期午前問45

問45(問題文)

　DNSSECについての記述のうち、適切なものはどれか。

ア　DNSサーバへの問合せ時の送信元ポート番号をランダムに選択することによって、DNS問合せへの不正な応答を防止する。

イ　DNSの再帰的な問合せの送信元として許可するクライアントを制限することによって、DNSを悪用したDoS攻撃を防止する。

ウ　共通鍵暗号方式によるメッセージ認証を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる。

エ　公開鍵暗号方式によるデジタル署名を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる。

アは❌間違いです。DNSサーバへの問合せ時の送信元ポート番号をランダムに選択することによって、DNS問合せへの不正な応答を防止する。

→この記述は、DNSの「ポートランダマイゼーション」技術に関するものです。これにより、DNSキャッシュポイズニング攻撃を防止することができますが、DNSSECとは異なる技術です。

イは❌間違いです。DNSの再帰的な問合せの送信元として許可するクライアントを制限することによって、DNSを悪用したDoS攻撃を防止する。

→この記述は、DNSサーバの再帰的な問合せに関するセキュリティ対策の一つです。再帰的な問合せの送信元を制限することで、DoS（Denial of Service）攻撃を防ぐことができますが、これもDNSSECとは直接関係ありません。

ウは❌間違いです。共通鍵暗号方式によるメッセージ認証を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる。

→この記述は、DNSSECの説明としては不適切です。DNSSECでは公開鍵暗号方式が使用され、共通鍵暗号方式（対称鍵暗号）は使用されません。したがって、正しい説明ではありません。

エは✅正しいです。公開鍵暗号方式によるデジタル署名を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる。

→DNSSEC（DNS Security Extensions）は、DNSの応答が正当なものであることを確認するために公開鍵暗号方式を使用します。これにより、DNS応答にデジタル署名を付与し、クライアントがその署名を検証して正当性を確認できる仕組みを提供します。