2024年(令和6年) 秋期応用情報技術者午前問44

DNSSECの仕様はどれか。

　ア

　DNSキャッシュサーバで、権威DNSサーバに名前を問い合わせるときの送信元ポート番号を問合せのたぶにランダムに変える。

　イ

　権威DNSサーバで公開鍵を公開し、秘密鍵を使ってリソースレコードにデジタル署名を付与する。 DNSキャッシュサーバで、権威DNSサーバから受信したリソースレコードのデジタル署名を検証する。

　ウ

　電子メールを送信するメールサーバのIPアドレスを権威DNSサーバに登録する。電子メールを受信するメールサーバで、権威DNSサーバに登録されている情報を用いて、送信元メールサーバのIPアどれsyを検証する。

　エ

　電子メールを送信するメールサーバの公開鍵を権威DNSサーバで公開し、秘密鍵を使って電子メールにデジタル署名を付与する。電子メールを受信するメールサーバで、電子メールのデジタル署名を検証する。

答え　イ

【解説】
DNSSECでは電子署名の仕組みを応用し、以下のように検証を実施します。

あるゾーンの管理者は、秘密鍵と公開鍵の鍵ペアを作成します。
同じくゾーンの管理者は、ゾーン内のリソースレコードを、秘密鍵で署名し、電子署名を作成します。また、対応する公開鍵を公開し、問い合わせがあった場合に参照できるようにします。
このゾーンに対してDNSキャッシュサーバから問い合わせがあった場合、権威ネームサーバは電子署名付きの応答を返します。
DNSキャッシュサーバが、この電子署名付きの応答をゾーン管理者による公開鍵で復号できた場合には、そのメッセージは確かに該当ゾーンの管理者が作成したもので、かつ改ざんもされていないことがわかります。

このように、DNSSECではDNS応答の出自およびDNS応答の完全性を検証することができます。

【キーワード】
・DNSSEC

キーワードの解説

DNSSEC(DNS Security Extensions)
DNSにおける応答の正当性を保証するための拡張仕様で、サーバとクライアントの双方がこの拡張に対応し、かつ拡張機能を使った形式で該当ドメイン情報が登録されていれば、DNS応答の偽造や改ざんを検出することができるようになります。

2024年(令和6年) 秋期 応用情報技術者 午前 問44