情報処理安全確保支援士試験の令和5年秋期午前2問13「DNSSEC」について、サクラ先輩とモモちゃんが分かりやすく解説する動画です。暗号化とデジタル署名の違いや、権威DNSサーバとリゾルバの役割といった試験で引っかかりやすいポイントを整理し、過去問を短時間で確実に解くための思考プロセスをお届けします。

本動画で学習する重要なキーワードとその内容について説明します。まず基本となるDNSSECとは、DNSのセキュリティを強化するための拡張仕様であり、攻撃者が偽のIPアドレスを送りつけてユーザーを悪意のあるサイトへ誘導するDNSキャッシュポイズニング攻撃を防ぐために必要とされている技術です。DNSSECの最大の目的は、データの作成元の正当性とデータの完全性を証明することであり、中身を隠して通信経路上の盗聴を防ぐための暗号化技術ではないという点が試験において非常に重要なポイントになります。次にデジタル署名についてですが、DNSSECではリソースレコードと呼ばれるDNSのデータに対してデジタル署名を施します。この署名を行うのは応答する側である権威DNSサーバです。権威DNSサーバは自身の持つ秘密鍵を使ってデータに署名を行い、これは自分が絶対に作成したというハンコを押すような役割を果たします。そして、この署名を受け取って本物かどうかをチェックする役割を担うのがリゾルバです。リゾルバは受信側に該当し、送信元の公開鍵を利用して送られてきたデジタル署名を検証します。これにより、データが途中で改ざんされていないことと、間違いなく正しい作成元から送られてきたデータであることを確認できます。試験問題では、誰が署名をして誰が検証するのかという主体と客体が逆転する引っかけ問題が頻出するため、権威DNSサーバが署名して応答し、リゾルバが検証するという役割分担を正確に把握しておく必要があります。また、公開鍵暗号方式という言葉も要注意です。DNSSECはデジタル署名を行う過程でこの仕組みを利用しますが、暗号方式という言葉の響きから通信自体を暗号化すると勘違いしやすい罠があります。現代において、通信経路の盗聴を防ぎプライバシーを保護するための通信の暗号化は、DoHやDoTといった別の技術が担うのが常識となっています。このように、偽造防止を目的とするDNSSECと、盗聴防止を目的とする暗号化技術それぞれの役割が全く異なることを理解し、選択肢を論理的に分解して正解を導き出す思考プロセスを身につけましょう。 www.youtube.com