Q26 — AWS ANS-C01 第1章
第 26/100 問 | ← 第1章
ある企業は、複数のAmazon EC2インスタンス上で安全なWebアプリケーションをホストする計画です。このアプリケーションには、Amazon Route 53ホステッドゾーン内のDNSドメインが関連付けられます。企業は、このドメインをDNSポイズニング攻撃から保護したいと考えています。また、Webブラウザが信頼されたサードパーティを用いてアプリケーションに認証できるようにしたいと考えています。これらの要件を満たすためのアクションの組み合わせはどれですか?
- A. Route 53ホステッドゾーンをDNSセキュリティ拡張(DNSSEC)を使用するように設定する。EC2インスタンスに自己署名X.509証明書をインストールする。
- B. Route 53ホステッドゾーンにName Authority Pointer(NAPTR)レコードを設定する。EC2インスタンスに公開認証局(CA)によって署名されたX.509証明書をインストールする。
- C. Route 53ホステッドゾーンをDNSセキュリティ拡張(DNSSEC)を使用するように設定する。EC2インスタンスに公開認証局(CA)によって署名されたX.509証明書をインストールする。 ✓
- D. Route 53ホステッドゾーンにName Authority Pointer(NAPTR)レコードを設定する。EC2インスタンスに自己署名X.509証明書をインストールする。
正解: C. Route 53ホステッドゾーンをDNSセキュリティ拡張(DNSSEC)を使用するように設定する。EC2インスタンスに公開認証局(CA)によって署名されたX.509証明書をインストールする。
解説
本問はDNSセキュリティ拡張(DNSSEC)および公開認証局(CA)が署名したX.509証明書に関するものです。Amazon Route 53はDNSキャッシュポイズニング攻撃を防止するためにDNSSECをサポートしており、DNSレコードにデジタル署名を付与することで検証機構を提供します(AWS公式ドキュメント参照)。DNSポイズニング防止にはDNSSECの有効化が必要であり、NAPTRレコード(URIマッピング用途でDNSセキュリティとは無関係)では不十分です。また、Webブラウザが信頼するサードパーティによる認証には、公開CAが発行した証明書が必要であり、自己署名証明書はブラウザによりデフォルトで信頼されません。選択肢Cでは、DNSSEC設定によりDNSデータの整合性が保証され、公開CA証明書によりクライアント側の安全な認証が実現されます。選択肢Aの自己署名証明書はブラウザで信頼されず、選択肢BおよびDのNAPTRレコードはDNSポイズニング防止に寄与しません。