情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

DNSSECとは、DNSのセキュリティを強化するための拡張仕様で、権威DNSサーバ側で保存しているリソースレコードにデジタル署名を施し、リゾルバ側で送られてきたデジタル署名の検証を行うことで、リソースレコードの作成元とデータの完全性を証明する仕組みです。

1. ゾーンの管理者は、秘密鍵と公開鍵の鍵ペアを作成し、公開鍵をDNSKEYレコードとして公開しておく
2. ゾーンの管理者は、リソースレコードのデジタル署名を作成しておく
3. 権威DNSサーバは、DNS問合せがあった際に応答パケットにデジタル署名を含めて返信する
4. リゾルバ側でデジタル署名を検証し、DNS応答の正当性・完全性を検証する

DNSSECを実装することにより、攻撃者によるデータの偽装を検知することが出来るようになり、攻撃者が偽のDNS応答を送り付けるDNSキャッシュポイズニングのような攻撃を防ぐことができるようになります。なお、通信の暗号化は行いません。また、リソースレコードへのデジタル署名の際には公開鍵暗号方式（公開鍵と秘密鍵を使う方式）を利用して署名します。

• DNSSECは、DNS応答の正当性・完全性を確保するための技術であり、暗号化を行うものでありません。
• デジタル署名の検証はリゾルバ側で行います。
• DNS問合せに対する応答をするのは、権威DNSサーバです。リゾルバではありません。また暗号化も行いません。
• 正しい。リゾルバがリソースレコード受信時にデジタル署名を検証することで、データの作成元の正当性とデータの完全性を確認するものです。