情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

平成29年 午後II  問2 設問2(3)で外部DNSと内部DNSの設定変更の内容について回答は以下となっています。
■外部DNSサーバ：
  内部DNSサーバからの再帰的なDNS問い合わせを拒否する。
■内部DNSサーバ：
  解決できないDNS問い合わせを外部DNSサーバに送らない。

確かに社内のhttpsやhttpはプロキシサーバ経由であり、またメールもメールサーバを経由しているので一見すると問題ないように見えるのですが、であればなぜ内部DNSからの再帰問い合わせを外部DNSで許可していたのでしょうか。

一般的にどのような用途があってこの設定をしていたと考えられるのでしょうか。
お力をお貸し頂ければと思います。よろしくお願い致します。

>（・・・）であればなぜ内部DNSからの再帰問い合わせを外部DNSで許可していたのでしょうか。
たぶん、内部DNSでできるからプロキシサーバから再帰問い合わせにしなくていいや、ってなってたんじゃあないでしょうかね。

>一般的にどのような用途があってこの設定をしていたと考えられるのでしょうか。
インターネット上の自社のWebサーバにアクセス不可能になるのが嫌だから、でしょうかね。一見すると、社内専用ドメインのみ処理したいなら、インターネット上のドメインに対する名前解決を拒否すればいい・・・ってなるんですが。
現行では、PCや内部LANのサーバ、業務LANのサーバから、インターネット上のドメイン（サーバ名）を名前解決するのに、
内部DNSサーバから外部DNSサーバを再帰問い合わせで経由していたわけですが・・・

今回はプロキシサーバ経由で外部DNSサーバへの再帰問い合わせが許可されていて（P18、表2、外部DNSサーバ）、PCや内部LANのサーバ、業務LANのサーバの代理として外部DNSサーバへの問い合わせをするので、内部DNSはもう再帰問い合わせしなくていいよね、ってなったわけですが、

そういう代理人を置いてやる、みたいな発想をしてない場合は、内部DNSから再帰問い合わせになってたんでしょう。

＞GinSanaさん

回答ありがとうございました！
もしかしてプロキシサーバがなかったころの設定を残したままにしていたとかいう説が濃厚なのでは・・・？！根本的に内部DNSと外部DNSに分けた場合のメリット・デメリットを理解できていないのを自覚したので、もう少し調べて見たほうが良さそうです・・・

回答ありがとうございました！