この記事では、応用情報技術者試験でほぼ毎回出題されているDNSSECに絞って、仕組みと試験での狙われ方を整理します。
対象試験と出題頻度
DNSSECは、基本情報技術者・応用情報技術者で出題されるテーマです。
応用情報技術者では、午前・午後ともに繰り返し出題されている頻出用語です。
「DNS応答にデジタル署名を付けて正当性を検証する」という一言を押さえるだけで確実に得点できます。
詳細をクリックして確認
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
DNSSEC(DNS Security Extensions)とは、一言で言うと
「DNS応答にデジタル署名を付与し、応答が正当な管理者によるものであること・改ざんされていないことを検証できるようにする拡張仕様」
のことです。
イメージとしては、「公証人の印鑑付き住所録」のようなものです。
たとえば、あなたが友人の新しい住所を電話で問い合わせたとします。
普通の住所録(=通常のDNS)なら、「この住所は本当に正しいのか?途中で誰かに書き換えられていないか?」を確認する手段がありません。そこで、住所録の管理者が公証人の印鑑(=デジタル署名)を押しておく。
受け取った側は印鑑が本物かどうかを公開された印影(=公開鍵)で照合すれば、「正規の管理者が作成した、改ざんされていない住所録だ」と確認できます。DNSSECはまさにこの仕組みをDNSの世界で実現しています。
DNSSECが守るのは「応答の正当性と完全性」であり、通信の暗号化は行いません。
📊 DNSSECの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | DNS Security Extensions(DNSセキュリティ拡張) |
| 目的 | DNS応答の正当性(送信元が正しいこと)と完全性(改ざんされていないこと)を保証する |
| 仕組み | 公開鍵暗号方式によるデジタル署名をDNS応答に付与する |
| 主な対策対象 | DNSキャッシュポイズニング攻撃 |
| 注意点 | 通信内容の暗号化は行わない(暗号化はDoT/DoHの役割) |
解説
DNSSECが必要になった背景には、DNSプロトコル自体の構造的な弱点があります。
DNSは1980年代に設計されたプロトコルであり、応答パケットの送信元や内容の正当性を検証する仕組みが元々備わっていません。この弱点を突く代表的な攻撃が、DNSキャッシュポイズニングです。
キャッシュポイズニングは、攻撃者がキャッシュDNSサーバに偽のDNS応答を送り込み、利用者を偽サイトに誘導する手法です。たとえば「www.example.com」のIPアドレスとして攻撃者のサーバのアドレスをキャッシュに登録させれば、そのキャッシュDNSサーバを利用する全ユーザーが偽サイトにアクセスしてしまいます。
DNSSECは、この攻撃への根本的な対策として生まれました。
DNSSECの検証の流れ
具体的な処理の流れを整理します。登場するのは「権威DNSサーバ」と「キャッシュDNSサーバ」の2者です。
📊 DNSSECの検証手順
| 順序 | 動作主体 | 内容 |
|---|---|---|
| 1 | 権威DNSサーバ | 自身の秘密鍵を使い、リソースレコード(Aレコードなど)にデジタル署名を付与する |
| 2 | 権威DNSサーバ | 署名付きのリソースレコードと公開鍵をDNS応答として返す |
| 3 | キャッシュDNSサーバ | 受け取った公開鍵でデジタル署名を検証し、応答が正当かつ改ざんされていないことを確認する |
ポイントは「公開鍵暗号方式によるデジタル署名」です。
権威DNSサーバが秘密鍵で署名し、キャッシュDNSサーバが公開鍵で検証する。この署名・検証のペアにより、応答の正当性(正しいサーバから来たこと)と完全性(途中で書き換えられていないこと)が担保されます。
混同しやすい技術との違い
DNSSECはDNS関連のセキュリティ技術の中でも特に混同されやすい存在です。
選択肢のひっかけで並べられる技術との違いを整理します。
📊 DNSSECと混同しやすい技術の比較
| 技術 | 目的 | 手段 |
|---|---|---|
| DNSSEC | DNS応答の正当性・完全性の検証 | 公開鍵暗号方式によるデジタル署名 |
| ソースポート ランダマイゼーション |
偽応答パケットの推測を困難にする | 問合せ時の送信元ポート番号をランダム化 |
| DoT / DoH | DNS通信の暗号化(盗聴防止) | TLSまたはHTTPSでDNS通信を暗号化 |
| SPF | メール送信元IPアドレスの正当性検証 | 権威DNSサーバに送信元IPを登録し照合 |
| DKIM | メール本文の改ざん検知・送信元認証 | メールにデジタル署名を付与し公開鍵で検証 |
特に重要な区別は2点です。
まず、DNSSECは「署名による検証」であり「暗号化」ではありません。
通信経路の暗号化はDoT(DNS over TLS)やDoH(DNS over HTTPS)の役割です。
次に、SPFとDKIMはメールのセキュリティ技術であり、DNSの応答を守る仕組みではありません。
この5つは応用情報の午前問題で同じ選択肢に並ぶ常連なので、それぞれの「守備範囲の違い」を一言で言い切れるようにしておくと安心です。
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 DNSSECの核心を3行で
・DNS応答にデジタル署名を付与して、応答の正当性と完全性を検証する拡張仕様
・公開鍵暗号方式を使う。権威DNSサーバが秘密鍵で署名し、キャッシュDNSサーバが公開鍵で検証
・DNSキャッシュポイズニングへの根本的対策。ただし通信の暗号化はしない
試験ではこう出る!
DNSSECは、応用情報技術者の午前問題でほぼ毎期のように出題されている最頻出テーマのひとつです。
午後問題でもDNSのセキュリティとして登場した実績があり、押さえておけば午前・午後の両方で得点源にできます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| 応用情報 H31春 午前問40 |
「DNSSECについての記述のうち適切なものはどれか」。公開鍵暗号方式によるデジタル署名で正当なDNSサーバからの応答であることを検証できる、が正解。 | ・「公開鍵暗号方式」 ・「デジタル署名」 ・ソースポートランダマイゼーションとの区別 |
| 応用情報 R5秋 午前問45 |
H31春 問40と同一問題の再出題。正解選択肢も同一。 | ・(同上) |
| 応用情報 R6春 午前問37 |
「DNSSECで実現できることはどれか」。正解は「応答中のリソースレコードが権威DNSサーバで管理されているものであり改ざんされていないことの検証」。 | ・暗号化はしない(DoT/DoHとの区別) ・タイポスクワッティングは防げない |
| 応用情報 R6秋 午前問44 |
「DNSSECの仕様はどれか」。正解は「権威DNSサーバで公開鍵を公開し、秘密鍵でリソースレコードにデジタル署名を付与する…」。 | ・SPF、DKIMとの区別 ・ソースポートランダマイゼーションとの区別 |
| 応用情報 R3春 午後問1 |
DNSのセキュリティ対策がテーマ。権威DNSサーバのAレコード改ざんからキャッシュポイズニングまで、DNS攻撃の一連の流れが出題。DNSSECは直接設問にはならなかったが関連知識として必須。 | ・権威DNSサーバとキャッシュDNSサーバの役割の違い ・キャッシュポイズニングの仕組み ・ソースポートランダマイゼーション |
注目すべきは、R6年度だけで春・秋の2回連続出題されている点です。
しかも選択肢のパターンは毎回ほぼ同じで、ソースポートランダマイゼーション・SPF・DKIMの説明がひっかけとして配置されます。
【頻出キーワード】
- 公開鍵暗号方式によるデジタル署名
- 権威DNSサーバ(秘密鍵で署名)
- キャッシュDNSサーバ(公開鍵で検証)
- リソースレコードの正当性・完全性の検証
- DNSキャッシュポイズニングへの対策
試験問題で「権威DNSサーバが秘密鍵でリソースレコードに署名し、キャッシュDNSサーバが公開鍵で検証する」や「DNS応答の正当性を保証するためにデジタル署名を付与する拡張仕様」といった記述があれば、それは「DNSSEC」を指しています。
📝 IPA試験での出題パターン
午前問題では、DNSSECの説明として適切なものを4択から選ぶ形式がほぼ定型化しています。
ひっかけ選択肢の定番は「送信元ポート番号をランダムに変える」(=ソースポートランダマイゼーション)、「送信元メールサーバのIPアドレスを検証する」(=SPF)、「電子メールにデジタル署名を付与する」(=DKIM)の3種です。
「DNSSECは通信を暗号化する」という選択肢も不正解として出されるので、「署名≠暗号化」を割り切って覚えておけば失点しません。
午後問題では、R3春 問1のように、DNSの名前解決の流れやキャッシュの仕組みと組み合わせた記述式が出ます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. DNSSEC(DNS Security Extensions)に関する説明として、最も適切なものはどれでしょうか?
- A. DNSキャッシュサーバが権威DNSサーバに問い合わせる際、送信元ポート番号を毎回ランダムに変えることで偽応答を防ぐ仕組み
- B. 権威DNSサーバが秘密鍵でリソースレコードにデジタル署名を付与し、キャッシュDNSサーバが公開鍵で署名を検証することで応答の正当性と改ざんの有無を確認する仕組み
- C. メール送信サーバの公開鍵を権威DNSサーバで公開し、受信サーバが電子メールのデジタル署名を検証することで送信元の正当性を確認する仕組み
正解と解説を見る
正解:B
解説:
DNSSECは、権威DNSサーバが秘密鍵でリソースレコードにデジタル署名を付与し、応答を受け取ったキャッシュDNSサーバが公開鍵でその署名を検証する仕組みです。R6秋 応用情報 午前問44でもこの記述が正解選択肢として出題されました。
選択肢Aは「ソースポートランダマイゼーション」の説明です。送信元ポート番号をランダム化して偽応答の推測を困難にする技術であり、DNSSECとは異なります。R5秋 午前問45・H31春 午前問40でも不正解選択肢として登場した定番のひっかけです。選択肢Cは「DKIM(DomainKeys Identified Mail)」の説明です。DKIMは電子メールのデジタル署名による送信元認証であり、DNS応答の検証とは対象が異なります。R6秋 午前問44でも同様に不正解選択肢として出題されています。
よくある質問(FAQ)
Q. DNSSECを導入すればDNS通信の盗聴も防げますか?
防げません。DNSSECはデジタル署名による「検証」の技術であり、通信内容の暗号化は行いません。DNS通信の盗聴を防ぎたい場合は、DoT(DNS over TLS)やDoH(DNS over HTTPS)を使います。R6春 応用情報 午前問37でも「権威DNSサーバとキャッシュDNSサーバとの通信を暗号化する」はDNSSECの機能ではないとして不正解になっています。
Q. 「ソースポートランダマイゼーション」もキャッシュポイズニング対策ですよね?DNSSECとの違いは?
どちらもキャッシュポイズニングへの対策ですが、アプローチが異なります。ソースポートランダマイゼーションは「攻撃者の偽応答が当たる確率を下げる」緩和策です。一方、DNSSECは「応答が本物かどうかを暗号技術で検証する」根本的対策です。試験では両者を混同させるひっかけが頻出なので、「ポート番号のランダム化→ソースポートランダマイゼーション」「デジタル署名→DNSSEC」と対応付けて覚えてください。
Q. DNSSECが普及していないのはなぜですか?
主な理由は運用負荷の高さです。DNSSECの導入には、権威DNSサーバ側での鍵の生成・管理・定期的なロールオーバー(鍵の更新)、上位ゾーン(TLDやルート)との信頼の連鎖の構築が必要です。また、署名データがDNS応答のサイズを増大させるため、ネットワークへの負荷も課題になっています。試験では「普及の課題」として問われることは少ないですが、午後問題の記述で背景知識として役立つことがあります。
Q. 「権威DNSサーバ」と「キャッシュDNSサーバ」の違いを一言で教えてください。
権威DNSサーバは「情報を持っている側」、キャッシュDNSサーバは「情報を聞きに行く側」です。権威DNSサーバは自身が管理するドメインのIPアドレスなどのリソースレコードを保持し、外部からの問合せに自分のデータで応答します。キャッシュDNSサーバはクライアントに代わって権威DNSサーバに問合せを行い、その結果を一定期間キャッシュとして保存します。DNSSECの文脈では、「署名する側=権威」「検証する側=キャッシュ」と覚えると整理しやすくなります。
