Route 53におけるドメインのセキュリティは、大きく2つの側面に分けられます。1つはドメインの所有権そのものを守る登録情報の保護、もう1つはDNSクエリに対する応答の信頼性を保証するDNSデータの保護です。

資格試験では、この2つを明確に区別し、それぞれの脅威に対応するRoute 53の機能を正しく選択することが求められます。

ドメイン登録の最も重大な脅威は、第三者によってドメインの所有権が不正に移されてしまうドメインハイジャック（不正移管）です。

Route 53は、この脅威からドメインを保護するために移管ロック（Transfer Lock）機能を提供しています。これは、Route 53で管理しているドメインに対して、コンソールから簡単に有効にできる設定です。移管ロックが有効になっているドメインは、所有者であっても誤って移管手続きを開始することができなくなり、不正な移管リクエストを確実にブロックします。

DNSSEC（DNS Security Extensions）は、DNSの応答が正しい送信元から来ており、途中で改ざんされていないことを保証するための技術です。これにより、ユーザーが偽のWebサイトに誘導されるDNSスプーフィングやキャッシュポイズニングといった攻撃を防ぎます。

DNSSECはデジタル署名を用いてDNSレコードの信頼性を検証します。Route 53では、複雑な鍵管理（KSKやZSK）の多くをAWSが自動的に行ってくれますが、適切な設定手順を踏む必要があります。

ここまで学んだドメインセキュリティの知識を、実践的な問題で確認しましょう。

Route 53のドメインセキュリティ問題では、何を守りたいのかを明確にすることが重要です。ドメインの所有権を守りたいのか、それともDNSの応答の信頼性を守りたいのか。この2つを区別できれば、自ずと「移管ロック」と「DNSSEC」のどちらを選ぶべきか判断できます。