【登録セキスペ３問】DNSSEC（情報処理安全確保支援士試験）

このNoteでは、SC10回分から「DNSEC」のセキュリティ問題を搔き集めました。

DNSはDNSサーバが使うプロトコル。

DNSSECはセキュリティ強化版です。

私のIT専門学校でも、IPsecやSMPTS, SFTPのように「前後にSやsecが付いたらセキュリティ強化されたプロトコル」と教えています。

DNSECも「暗号化通信」と思った方はセンスが良いのですが、今回だけは間違いです。

もし引っかかってしまった方は、たった3問なので是非読んで行ってくださいね。

それでは始めましょう！

---

まずは講座。

DNSSECは、DNSサーバが問合せされた時の返信（応答）に使われます。デジタル署名を使って「本物のDNSサーバが送りましたよ」と本人正当性を確認(検証)できます。

DNSプロトコルのままでは、攻撃者がDNSサーバになりすますなどして、DNSキャッシュポイズニング攻撃を成立させてしまうのです。

1つポイント。DNSSECには、暗号機能はありません。

これでもう全部正解できますよ。

---

DNSSECの説明はどれか。

ア：DNSサーバへのDoS攻撃を防止できる。
イ：IPsecによる暗号通信を前提とする。
ウ：DNSサーバの代表的なソフトウェアBINDの代わりに使える。
エ：デジタル署名によるDNS応答の正当性を確認できる。

情報安全確保支援士　令和元年秋AMII問18より改変

正答はエ。

イの暗号通信は引っ掛かけです。

言葉にSECが付いているの「セキュリティかな」と思って、暗号化と思ってしまいますよね。IPsecとかありましたし。

DNSSECができることはどれか。

ア：DNSキャッシュサーバが、権威DNSサーバから得たレコードの内容が、実際に権威DNSサーバで管理された情報で、改ざんもされていないことを検証できる。
イ：DNSキャッシュサーバと権威DNSサーバ間の通信を暗号化し、ゾーン情報の漏えいを防げる。
ウ：正規サイトのように見せかける手口を防げる。例えば、ハイフン（-）を長音（ー）や漢数字（一）を含んだドメイン名など。
エ：利用者のURLの入力誤りを検出できる。

情報安全確保支援士　令和02年秋AMII問15より改変
令和04年春AMII問13より改変

正答はア。

イの暗号化は引っ掛け。もう慣れましたよね。

ウとエは覚えなくて良いです。

DNSSECについて正しい記述はどれか。

ア：権威サーバが応答する時に、リソースレコードを公開鍵で暗号化して、通信経路での盗聴を防ぐ。
イ：権威サーバがリソースコードの受信時にデジタル署名を検証し、作成元の正当性とデータの完全性を確認する。
ウ：リゾルバが応答する時に、リソースレコードを公開鍵で暗号化して、通信経路での盗聴を防ぐ。
エ：リゾルバがリソースレコードの受信時にデジタル署名を検証し、作成元の正当性とデータの完全性を確認する。

情報安全確保支援士　令和05年秋AMII問13より改変

正答はエ。

アとウの暗号化は引っ掛け。

問題はイとエ。

イでは権威サーバ（DNSサーバ）が受信して検証しているので違います。

エのリゾルバとはDNSサーバに問い合わせをするプログラム。DNSサーバに問い合わせて、返答されたデータを検証しています。

---

お疲れ様でした！

DNSSECは暗号化機能はなく、デジタル署名の付与でDNSキャッシュポイズニング攻撃などを防ぐプロトコルです。

これぐらい学べれば今回は充分な成果ですね。でわでわ。

ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。

＼私がお世話になったテキストのレビュー／

＼私の3ヶ月の学習履歴／

p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。

でわでわ（・ω・▼）ノシ