Entry № 383
DNSSEC
DNSSEC とは何ですか?
DNSSECDNS レコードの真正性と完全性をリゾルバが検証できるようにするためにデジタル署名を用いる DNS の拡張仕様群。
DNSSEC(Domain Name System Security Extensions)は DNS レコードに暗号署名を付与し、応答が正規のゾーンから来たものであり、経路上で改ざんされていないことをリゾルバが検証できるようにする仕組みです。各ゾーンは秘密鍵でレコードに署名し、対応する公開鍵を DNSKEY レコードで公開します。さらに、各委任点に置かれる DS レコードを通じて、ルートゾーンから連なる信頼の連鎖が構築されます。検証機能を持つリゾルバは署名不正または欠落の応答を拒否するため、DNS キャッシュポイズニングや経路上のなりすましを無効化できます。DNSSEC は機密性は提供しないため、外部からの問い合わせ内容の秘匿には DoH や DoT との併用が必要です。
● 例
- 01
銀行がゾーンに署名し、汚染されたキャッシュから返される偽の A レコードをリゾルバが拒否する。
- 02
TLD レジストリが DS レコードを公開し、委任先ゾーンに対する信頼の連鎖を確立する。
● よくある質問
DNSSEC とは何ですか?
DNS レコードの真正性と完全性をリゾルバが検証できるようにするためにデジタル署名を用いる DNS の拡張仕様群。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
DNSSEC とはどういう意味ですか?
DNS レコードの真正性と完全性をリゾルバが検証できるようにするためにデジタル署名を用いる DNS の拡張仕様群。
DNSSEC からどのように防御しますか?
DNSSEC に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
DNSSEC の別名は何ですか?
一般的な別名: DNS セキュリティ拡張。