DNSSECとは？DNS応答の正当性と完全性を確認する仕組み【SG試験】

まず結論

DNSSEC（DNS Security Extensions）とは、DNS応答にデジタル署名を付けて、DNSで受け取った情報が正しい管理者から提供され、途中で改ざんされていないことを確認する仕組みです。

SG試験では、DNSSECを「DNSの通信内容を暗号化する仕組み」ではなく、DNS応答の正当性と完全性を検証する仕組みとして押さえることが大切です。

特に、次のように整理すると判断しやすくなります。

用語	役割
DNS	ドメイン名とIPアドレスを対応付ける仕組み
DNSSEC	DNS応答が正しいか、改ざんされていないかを検証する仕組み
デジタル署名	送信者の正当性とデータの完全性を確認するために使う仕組み
暗号化	第三者に内容を読まれにくくする仕組み

DNSSECは、DNSの信頼性を高めるための拡張機能です。

直感的な説明

DNSは、インターネット上の「住所案内」のような仕組みです。

たとえば、利用者がWebサイトにアクセスするとき、コンピュータは次のような確認をします。

このドメイン名は、どのIPアドレスに対応しているのか？

通常のDNSでは、返ってきた応答が本当に正しいものかを十分に確認できない場合があります。もし攻撃者が偽のDNS応答を返すと、利用者を偽サイトへ誘導できてしまう可能性があります。

DNSSECは、このDNS応答にデジタル署名を付けることで、次のことを確認できるようにします。

正しい管理者が作成したDNS情報か
途中で改ざんされていないか

イメージとしては、DNSの応答に「本物であることを示す印鑑」が付くようなものです。

ただし、ここで注意したいのは、DNSSECは通信内容を秘密にする仕組みではないという点です。

DNSSECの主な目的は、盗み見防止ではなく、なりすましや改ざんの検出です。

定義・仕組み

DNSSECは、DNSにデジタル署名の仕組みを追加することで、DNS応答の正当性と完全性を検証する技術です。

基本的な流れは次のとおりです。

権威DNSサーバが、DNSのリソースレコードにデジタル署名を付ける
DNSキャッシュサーバなどがDNS応答を受け取る
公開鍵を使ってデジタル署名を検証する
応答が正しい管理者によって作成され、改ざんされていないことを確認する

ここでのポイントは、DNSSECが公開鍵暗号方式の考え方を利用していることです。

ただし、SG試験では暗号技術の細かい計算方法まで問われるというより、次の判断が重要です。

DNSSECは、DNS応答の正当性と完全性を確認するために、デジタル署名を利用する。

DNSSECで確認できること

DNSSECで確認できる主な内容は、次の2つです。

確認すること	内容
正当性	正しい管理者が作成したDNS情報か
完全性	DNS応答が途中で改ざんされていないか

一方で、DNSSECだけでは次のことは実現できません。

DNSSECでできないこと	理由
DNS通信内容の暗号化	DNSSECは署名検証の仕組みであり、暗号化が主目的ではないため
Webサイト通信全体の保護	Web通信の暗号化は主にHTTPS/TLSの役割であるため
DNSサーバの可用性向上	冗長化やセカンダリDNSとは別の考え方であるため
DNS更新要求を行う端末の認証	動的DNS更新の認証とは別の話であるため

どんな場面で使う？

DNSSECは、DNS応答の信頼性を高めたい場面で使われます。

代表的には、次のような攻撃への対策として理解しておくとよいです。

DNSキャッシュポイズニング対策

DNSキャッシュポイズニングとは、DNSキャッシュサーバに偽のDNS情報を覚え込ませ、利用者を偽サイトへ誘導する攻撃です。

たとえば、正しいWebサイトにアクセスしたつもりでも、攻撃者が用意した偽サイトに誘導される可能性があります。

DNSSECを利用すると、DNS応答に付けられたデジタル署名を検証できるため、偽のDNS応答や改ざんされた応答を検出しやすくなります。

重要なドメインの信頼性向上

金融機関、行政機関、企業サイトなど、偽サイトへの誘導が大きな被害につながるドメインでは、DNS応答の信頼性が重要です。

DNSSECは、DNSの名前解決結果が正しいものであることを確認するための技術として役立ちます。

DNSとWeb通信の役割分担

DNSSECはDNS応答の正当性を確認しますが、Webページの通信内容を暗号化するわけではありません。

Webサイトとの通信を暗号化するには、HTTPS/TLSが使われます。

つまり、役割は次のように分かれます。

技術	主な目的
DNSSEC	DNS応答の正当性・完全性を検証する
HTTPS/TLS	Web通信を暗号化し、通信相手の正当性も確認する
セカンダリDNS	DNSサーバを冗長化し、可用性を高める
ダイナミックDNS	IPアドレスが変わる環境でDNS情報を更新する

よくある誤解・混同

誤解1：DNSSECはDNS通信を暗号化する仕組みである

これは誤りです。

DNSSECは、DNS応答にデジタル署名を付けて、正当性と完全性を検証する仕組みです。

DNS通信の内容を読めないようにすることが主目的ではありません。

SG試験では、選択肢に「暗号化」「盗聴防止」「通信内容を秘匿する」といった表現が出た場合、DNSSECの説明として正しいか慎重に確認しましょう。

誤解2：DNSSECはDNSサーバを二重化する仕組みである

これも誤りです。

DNSサーバを複数用意して可用性を高める考え方は、プライマリDNSサーバとセカンダリDNSサーバの冗長化に関する話です。

DNSSECは、DNSサーバを増やす仕組みではなく、DNS応答の信頼性を確認する仕組みです。

誤解3：DNSSECは再帰問い合わせの受付範囲を広げる仕組みである

これも誤りです。

DNSキャッシュサーバの再帰問い合わせをどこまで受け付けるかは、オープンリゾルバ対策などの設定に関する話です。

DNSSECの目的は、再帰問い合わせの受付範囲を広げることではありません。

誤解4：DNSSECはダイナミックDNSの更新端末を認証する仕組みである

これも誤りです。

ダイナミックDNSでは、IPアドレスが変わる環境でDNSレコードを更新します。その更新要求を許可された端末からのものか確認する話と、DNSSECによるDNS応答の署名検証は別の話です。

SG試験では、DNSSECを「DNS更新要求の認証」と混同しないようにしましょう。

SG試験での判断ポイント

DNSSECの問題では、次のキーワードに注目すると判断しやすくなります。

正解に近いキーワード

DNS応答
リソースレコード
デジタル署名
正当性
完全性
改ざん検知
権威DNSサーバ
公開鍵による検証

特に、次のような説明はDNSSECの機能として正しいです。

DNSサーバから受け取るリソースレコードに対するデジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。

これは、DNSSECの要点をよく表しています。

誤りを切るキーワード

一方で、次のような表現がある場合は注意が必要です。

表現	切り分け
再帰的な問い合わせの受付範囲を最大にする	オープンリゾルバに関する話
セカンダリDNSサーバで可用性を高める	DNS冗長化に関する話
DNS更新要求を許可された端末からのものか認証する	ダイナミックDNS更新の認証に関する話
DNS通信を暗号化する	DNSSECの主目的ではない

ミニ問題

DNSSECの機能として、最も適切なものはどれか。

ア DNSキャッシュサーバの設定によって、再帰的な問い合わせの受付範囲が最大になるようにする。

イ DNSサーバから受け取るリソースレコードに対するデジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する。

ウ ISPなどのセカンダリDNSサーバを利用してDNSコンテンツサーバを二重化することで、名前解決の可用性を高める。

エ共通鍵暗号技術とハッシュ関数を利用したセキュアな方法で、DNS更新要求が許可されているエンドポイントを特定し認証する。

回答と解説

正解は、イです。 DNSSECは、DNS応答に付けられたデジタル署名を検証することで、DNSリソースレコードの送信者の正当性とデータの完全性を確認する仕組みです。 - ア：オープンリゾルバに関する説明です。 - ウ：セカンダリDNSサーバを使った可用性向上の説明です。 - エ：ダイナミックDNSの更新要求の認証に関する説明です。 DNSSECは、DNS応答の「本物か」「改ざんされていないか」を確認する仕組みとして押さえましょう。

まとめ（試験直前用）

DNSSECは、DNS応答の正当性と完全性を検証する仕組みです。

試験直前には、次の3点を押さえておきましょう。

DNSSECは、DNS応答にデジタル署名を付けて検証する仕組み
確認するのは、送信者の正当性とデータの完全性
DNS通信の暗号化、DNSサーバの冗長化、ダイナミックDNS更新の認証とは別物

SG試験では、DNSSECを「DNSを安全にする技術」とだけ覚えると、暗号化や可用性向上の選択肢に引っかかりやすくなります。

DNSSEC＝DNS応答の署名検証と覚えると、選択肢を切り分けやすくなります。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る