問2 DNSSEC(ENS Security Extensions)の機能はどれか。

ア DNSキャッシュサーバの設定によって再帰的な問い合わせの受付範囲が最大になるようにする。

イ DNSサーバから受け取るリソースコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。

ウ ISPなどのセカンダリDNSサーバを利用して、DNSコンテンツサーバを二重化することで名前解決の可用性を高める。

エ 共通鍵暗号化方式とハッシュ関数を利用したセキュアな方法で、DNS更新要求が許可されているエンドポイントを特定し認証する。


正解 イ


解説

DNSに関する問題です。

ア 不正解
オープンリゾルバの説明です。
再帰的な問い合わせの受付範囲を最大(外部利用者も再帰問い合わせできる)にすると、再帰問い合わせを悪用したDDoS攻撃に利用される可能性があります。
DDoS攻撃に利用されないようにするには、再帰問い合わせを受け付けるIPを指定したり、
Response Rate Limiting in the Domain Name System (DNS RRL)(DNSにおける応答のレート制限)を利用してオープンリゾルバとならないようにします。

イ 正解
DNSSECは、リソースレコードにディジタル署名を付加することで、リソースレコードが改ざんされていないことと、正当な管理者によって登録されたリソースレコードであることを保証します。
IPA的には「DNS応答の完全性」「DNS応答の正当性」を検証可能とします。

ウ 不正解
クライアントにおける、プライマリ・セカンダリDNSサーバ設定の説明です。

エ 不正解
TSIG(Transaction SIGnature トランザクションシグネチャ)の説明です。
TSIGとは、DNSの登録情報を更新する際の認証技術です。
共通鍵暗号技術とハッシュ関数によってセキュアな方法で互いを認証します。
DNS全体というよりは、特定のDNSサーバ同士を認証する方式です。