情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

表題の設問について有識者の方にご教示いただけると幸いです。
https://www.sc-siken.com/pdf/01_aki/pm1_2.pdf

ページ番号8の表1「FWのフィルタリングルール」項番3の送信元について
「全て⇒DMZ」と変更することでC&C通信を遮断できる、とのことです。

Z社のPCが（社外のサーバの）名前解決を行う際
・オフィスセグメントのPC→外部DNSサーバ→インターネット→権威DNSサーバ
という経路を辿るかと思います。

しかし
・オフィスセグメントのPC→外部DNSサーバ→インターネット→パブリックDNSサービスL→C&Cサーバ
と辿る通信はなぜ（上記FWルールの変更によって）防ぐことができるのでしょうか？


ページ番号8の図1・注1に
>外部DNSサーバは、メールサーバ又はプロキシサーバからDNSクエリを受け、インターネット上の権威サーバと通信し、名前解決を行うフルサービスリゾルバとして機能する。
と記載があるので、おそらく「外部DNSサーバは注1の経路しか辿らない」という前提で成立している問題かと思いますが、個人的にはしっくりきません。

他に外部DNSサーバが「インターネット上の権威サーバ以外と通信しない」という根拠となっている箇所はありますか？


お詳しい方、ご解説・ご指摘いただけると幸いです。
何卒よろしくお願いいたします。

この投稿は投稿者により削除されました。(2025.03.19 16:38)

まず、下線⑥がマルウェアの直DNS接続を問題にしているので、送信元がDMZ、宛先がインターネットのDNSプロトコルのみを許可するということにすることで送信元がDMZ以外、宛先がインターネットの、マルウェアの名前解決要求パケットをFWで破棄することになります。

>・オフィスセグメントのPC→外部DNSサーバ→インターネット→パブリックDNSサービスL→C&Cサーバ
>と辿る通信はなぜ（上記FWルールの変更によって）防ぐことができるのでしょうか？
①上記FWルールの変更の目的は、「マルウェアの直DNS接続」である点からすると、外部DNSサーバは登場人物になりません。
②外部DNSサーバの相手は注1から権威DNSサーバしかありません。よって外部DNSサーバ→パブリックDNSサービスLはありません。
いちいちDNSクエリを飛ばす側（プロキシサーバ、メールサーバ）が、相手は権威DNSサーバaからお願いします、とか、いや、おれはDNSサーバbがいいんだとかいってるのを想像してください。そんなの聞くわけないですよね。

>Z社のPCが（社外のサーバの）名前解決を行う際
>・オフィスセグメントのPC→外部DNSサーバ→インターネット→権威DNSサーバ
>という経路を辿るかと思います。

外部DNSをどこで使うかというと、オフィスセグメントのPCがインターネットに出ていくには、DMZのプロキシサーバを経由するので、
オフィスセグメントのPC→FW→DMZのプロキシサーバ→DMZの外部DNSサーバ→FW→インターネット→FW→DMZの外部DNSサーバ→DMZのプロキシサーバ→FW→インターネット
という流れになります

詳細に解説いただきありがとうございます！
おかげさまで理解できました。