[https://www.youtube.com/watch?v=l-cNRf2fJJo:embed:cite]

令和3年度春期情報処理安全確保支援士試験の午後Ⅰ問2を題材に、DNSセキュリティの要点を徹底解説します。A社の事例を通じ、権威DNSとフルサービスリゾルバの混在が招く「オープンリゾルバ」のリスクや、DNSリフレクション攻撃、キャッシュポイズニングの仕組みとその具体的な対策について学びます。ネットワーク構成の変更やファイアウォール設定の勘所も押さえた、実践的な試験対策動画です。 今回の解説動画において学習の中心となるのはDNSを標的とした攻撃手法とその防御策であり、まず理解すべき最も基本的な概念は権威DNSサーバとフルサービスリゾルバの機能分離です。試験問題の事例でも描かれているように、これら二つの異なる役割をDMZ上の一台のサーバで兼任させ、かつインターネット側からの再帰的な問い合わせに応答する設定になっている状態はオープンリゾルバと呼ばれ、攻撃の踏み台として悪用される典型的な脆弱性となります。攻撃者は送信元IPアドレスを被害者のものに偽装した問い合わせをこのオープンリゾルバに送り付け、サーバが増幅された応答を被害者に返すことでDNSリフレクション攻撃を成立させてしまうため、対策として機能を物理的あるいは論理的に分離し、外部からの不要な問い合わせを遮断する構成変更が求められます。次に押さえるべき脅威はDNSキャッシュポイズニング攻撃であり、これはフルサービスリゾルバが保持するキャッシュ情報に偽のIPアドレスなどを注入する手法です。例えばメールサーバの情報を管理するMXレコードが改ざんされると、組織内のメールが全て攻撃者のサーバへ転送されるといった深刻な事態を招くため、対策として問い合わせ時の送信元ポート番号をランダム化して攻撃者が予測すべきパラメータの難易度を上げる手法や、DNS応答にデジタル署名を付加してデータの正当性を検証するDNSSECの導入が有効な解決策として挙げられます。また、DNS通信の内容を秘匿するための技術としてDNS over TLS（DoT）も重要なキーワードであり、これはクライアントとDNSサーバ間の通信をTLSによって暗号化し、盗聴や改ざんを防ぐ仕組みです。さらに運用面での重要な考慮点としてゾーン転送の制限があり、DNS情報の複製を行うゾーン転送はプライマリからセカンダリへの方向のみを許可し、それ以外の第三者や逆方向からの要求は拒否するという厳格なアクセス制御が必要となります。最後に、こうしたサーバ構成の変更に伴いファイアウォールのフィルタリングルールを見直すことも不可欠であり、内部ネットワークのPCやプロキシサーバがどのDNSサーバに対して名前解決を要求すべきか、また外部のDNSサーバとはどのような通信が発生するかという通信フローを正確に把握し、必要な通信のみを許可する設定を導き出す力が試験では強く求められています。