この記事は約5分で読めます。
筆者プロフィール: ソフトウェアエンジニア。「知った気にならない。いつまでも学び続ける」を信条に、業務と個人開発の両輪で技術を磨いています。AI 駆動開発で複数の個人開発アプリを構築・運用中。
👉 ポートフォリオ: 筆者ホームページ
生成AIに「中学生にもわかりやすいように解説して!」と頼んだら、とても読みやすい記事ができました。情報処理安全確保支援士試験の不正解・未回答の問題を、やさしい解説付きでまとめています。
学習の背景
2026年秋の 情報処理安全確保支援士 試験合格を目指して、現在学習中です。本記事は、学習過程で遭遇した過去問の中から、つまずいた問題・未回答だった問題を整理し、生成AIに「中学生にもわかりやすく」解説してもらった内容をまとめたものです。
学習全体の進め方・学習記録・他分野の解説記事は、以下のまとめ記事で随時更新しています。
問1: 平成22年春期 問8(セキュリティ)
問題文: DNSサーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。
選択肢:
- ア: SOAレコードのシリアル番号を更新する。
- イ: 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
- ウ: ゾーン転送を許可するDNSサーバを登録する。
- エ: ラウンドロビン設定を行う。
正解: ウ
やさしい解説:
DNS(Domain Name System)はインターネットの「電話帳」のような仕組みで、ドメイン名(www.example.comなど)とIPアドレスの対応表を管理しています。
ゾーン転送とは、プライマリDNSサーバ(元の電話帳を持っている人)からセカンダリDNSサーバ(バックアップ用の電話帳を持つ人)にデータをコピーする仕組みです。もしこの転送先を制限しないと、攻撃者が「私にも電話帳のコピーをください」とリクエストして、ネットワーク構成の情報を盗み出せてしまいます。
対策は、「コピーを渡してよい相手(セカンダリDNSサーバ)だけを登録しておく」ことです。たとえるなら、「名簿のコピーは総務課の田中さんにだけ渡してOK」と決めておくようなものです。
問2: 平成28年春期 問2(セキュリティ)
問題文: 次の攻撃において、攻撃者がサービス不能にしようとしている標的はどれか。
〔攻撃〕
(1) A社ドメイン配下のサブドメイン名を、ランダムに多数生成する。
(2) (1)で生成したサブドメイン名に関する大量の問合せを、多数の第三者のDNSキャッシュサーバに分散して送信する。
(3) (2)で送信する問合せの送信元IPアドレスは、問合せごとにランダムに設定して詐称する。
選択肢:
- ア: A社ドメインの権威DNSサーバ
- イ: A社内の利用者PC
- ウ: 攻撃者が詐称した送信元IPアドレスに該当する利用者PC
- エ: 第三者のDNSキャッシュサーバ
正解: ア
やさしい解説:
この攻撃は「DNS水責め攻撃」と呼ばれます。攻撃者は、存在しないサブドメイン(例: abc123.example.com)をランダムに大量に作り、いろいろなDNSキャッシュサーバに「このアドレスを教えて」と問い合わせます。キャッシュサーバはその情報を持っていないので、A社の権威DNSサーバ(正式な住所録を管理するサーバ)に聞きに行きます。結果、大量の問い合わせがA社の権威DNSサーバに集中し、パンクしてしまいます。
たとえるなら、いろいろな人に「A社の電話番号を聞いて」と頼むことで、A社の電話交換機に大量の電話が殺到して回線がパンクするようなものです。
- イが間違いの理由: A社内のPCに直接攻撃しているわけではありません。
- ウが間違いの理由: 送信元アドレスはランダムに詐称しているだけで、特定の人を狙っていません。
- エが間違いの理由: 第三者のDNSキャッシュサーバは攻撃の中継点として利用されているだけです。
問3: 平成26年秋期 問9(セキュリティ)
問題文: DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち,適切なものはどれか。
選択肢:
- ア: 外部ネットワークからの再帰的な問合せに応答できるように,コンテンツサーバにキャッシュサーバを兼ねさせる。
- イ: 再帰的な問合せに対しては,内部ネットワークからのものだけに応答するように設定する。
- ウ: 再帰的な問合せを行う際の送信元のポート番号を固定する。
- エ: 再帰的な問合せを行う際のトランザクションIDを固定する。
正解: イ
やさしい解説:
DNSキャッシュポイズニング攻撃は、DNSキャッシュサーバ(よく使うWebサイトの住所を一時的に覚えておくサーバ)に偽の住所情報を覚えさせる攻撃です。再帰的な問合せ(他のサーバにも聞きに行ってくれる問合せ)を内部ネットワークからだけに限定すれば、外部の攻撃者がこの機能を悪用できなくなります。
たとえるなら、電話帳の問い合わせ窓口を「社内の人だけ利用可能」にすることで、外部の人が偽の電話番号を教え込むことを防ぐようなものです。
- アが間違いの理由: コンテンツサーバとキャッシュサーバを兼ねると、外部からの攻撃を受けやすくなります。
- ウが間違いの理由: ポート番号を固定すると、攻撃者がどのポートに偽応答を送ればいいか分かってしまい、攻撃が容易になります。
- エが間違いの理由: トランザクションIDを固定すると、攻撃者がIDを推測しやすくなり、偽応答が成功しやすくなります。
問4: 平成23年秋期 問8(セキュリティ)
問題文: DNSサーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。
選択肢:
- ア: SOAレコードのシリアル番号を更新する。
- イ: 外部のDNSサーバにリソースレコードがキャッシュされる時間を短く設定する。
- ウ: ゾーン転送を許可するDNSサーバを限定する。
- エ: ラウンドロビン設定を行う。
正解: ウ(ゾーン転送を許可するDNSサーバを限定する)
やさしい解説:
DNS(ドメインネームシステム)は、インターネットの「電話帳」のようなものです。ドメイン名(例:example.com)とIPアドレスの対応表を持っています。
「ゾーン転送」とは、プライマリDNSサーバ(親)がセカンダリDNSサーバ(子)にデータをまるごとコピーすることです。もしこれを誰にでも許可してしまうと、攻撃者がDNSサーバの全情報(内部ネットワークの構成など)を簡単に入手できてしまいます。
たとえると、会社の社員名簿を特定の支社だけにコピーして渡すべきなのに、誰にでもコピーさせてしまうようなものです。
- ア は間違い。SOAレコードのシリアル番号の更新は、データが変更されたことを示すだけです。
- イ は間違い。キャッシュ時間を短くしても、情報漏洩の防止にはなりません。
- ウ が正解。ゾーン転送をセカンダリDNSサーバだけに制限することで、攻撃者による不正なゾーン情報の取得を防げます。
- エ は間違い。ラウンドロビンはアクセスを複数サーバに分散する仕組みで、セキュリティとは関係ありません。