【2021年春期】情報処理安全確保支援士 午後I試験【問2】

【出題趣旨】

　昨今、DoS攻撃を始めとするサイバー攻撃は増加しており、DNSを含めたネットワークセキュリティの重要性が増している。一方で、DNSサーバには、まだ適切に対策が施されていないものも多く、サイバー攻撃を受けるケースが増えている。
　本問では、ネットワークのセキュリティ対策を題材に、DNSのセキュリティ対策における基本的な知識、及びDNSを適切に設計する能力を問う。

問1(1)

A社の外部DNSサーバがサービス停止になった場合、公開Webサーバへの影響を回答する設問です。DNSサーバが停止するので名前解決ができなくなることをシンプルに記述しましょう。

模範解答は以下となります。
A社公開Webサーバの名前解決ができなくなる。

問1(2)

下線部②の攻撃名称を答える問題です。

このような攻撃手法をDNSリフレクション攻撃と呼びます。

問1(3)

権威DNSサーバのDNS-K、フルサービスリゾルバの機能をDNS-Fに持たせるので追加のFWのフィルタリングの設定が必要となります。

権威DNSサーバは外部からの問い合わせに応答する必要があります。またフルサービスリゾルバは外部へ問い合わせを行う必要があります。

よって、a = ア："DNS-F" , b = イ："DNS-K" が正解となります。

問1(4)

c = "Aレコード"

メールサーバの設定にはAレコードとMXレコードの設定が必要です。Aレコードでホスト（メールサーバ）とIPアドレスの関連を定義し、MXレコードでドメイン名とホスト（メールサーバ）の対応を定義します。

Aレコード：メールサーバ⇔IPアドレス
MXレコード：ドメイン⇔メールサーバ

問1(5)(6)

d = "ランダム化"
e = "DNSSEC"

DNSSECはDNSの拡張方式であり、署名を追加することで改ざんや中間者攻撃で差し替えられたレコードでないことを証明できます。

問1(7)

f = オ：スタブリゾルバ
f = カ：フルサービスリゾルバ 

DNSのセキュリティ向上の手段として、DNS over TLS (DoT) や DNS over HTTPS (DoH) が注目されています。

DoT、DoHはどちらもユーザ（スタブリゾルバ）からキャッシュDNSサーバ（フルサービスリゾルバ）までの通信を暗号化します。キャッシュDNSサーバから権威サーバとの通信（下位層を含む）は従来のDNSプロトコルでの通信が行われ、暗号化されません。

---

問2(1)

プライマリとセカンダリのDNSサーバを用意することで冗長性を高めたり、片方のキャッシュが改善された場合のバックアップとしてもう片方が機能するなどのメリットがあります。

模範解答は以下です。
「権威DNSサーバがサービス停止になるリスク」

問2(2)

h = カ："dns-s.x-sha.co.jp"
i  = ク："mail.a-sha.co.jp"

問2(3)

j：拒否
k：許可
l：拒否
m：拒否

問2(4)

n = オ：プロキシサーバ
o = ア：DNS-HF
p = カ：メールサーバ

---