開示された解答を晒しものにする

令和5年度秋季情報処理安全確保支援士試験に合格したため、答案を開示してもらいました。
それでえられた自分の解答を晒しものにしたいと思います。これで午後試験61点なので、最低でもこれくらい書けば受かるのだ、という目安になるかもしれません。

問2

設問1

(1) a.利用者ID(○) b.パスワード(○)
(2) c.普段の接続と異なるネットワーク経路で接続しようとしている。(×)
　⇒大外れです。
d.このサーバ証明書はWebブラウザに登録されている認証局でデジタル署名されていない。(△)
　⇒解答例の「信頼された認証局」という表現が必須だと考えます。端数の点数をくれたかも。
(3)接続元IPアドレスを確認し、それがa1.b1.c1.d1と一致するか比較する。(×)
　⇒大外れです。訳わからんことを書いてます。なぜHSTSが有効ならば同じエラーメッセージとなるのか、を書かねばなりませんでした。
　HSTSが有効なサイトはアクセス時に「これから(指定した時間中)の接続はHTTPSで接続してね」とブラウザに通知します。ブラウザはそれを記憶しておき、再度アクセスする際に「あ、ここはHTTPSで接続しなきゃならんのだ！」と①HTTPS接続を強制します。偽サイトへのHTTPS接続であれば、②偽サイトが持つサーバ証明書を取得します。この①・②が揃って満点だと思います。

設問2

(1) 外部の共有者と偽って従業員のメールアドレスを入力し上長の承認を得る。(○)
 　⇒従業員のメールアドレスでは業務用アドレスも含みます。上長承認がなければ、悪用方法は成立しません。しかし、上長のザル承認は機能面の問題ではなく、運用ルールの逸脱です。よって「外部の共有者と偽ったメールアドレスであること」、「そのアドレスが不正行為を行う従業員の管理下にあること」を書いていれば満点を得られると思います。
(2)MACアドレス(○)

設問3

(1) RADIUS(○)
(2) 業務PCの秘密鍵(○)
(3) クライアント証明書の転用を防止(×)
　⇒業務PCから取り出せないように、と単純に書けばよかったようです。転用ができない、という表現は端数点をくれたかもしれません。
(4) TPM2.0には耐ダンパ性があり、格納された秘密鍵を取り出すことができないから。(×)
　⇒表1の構成要素の概要にて、業務PCはTPM2.0を搭載している旨の記載があります。そして、(4)で指定された下線部④の直近に、クライアント証明書をこのTPMに格納すると記載されています。これにだいぶ引っぱられています。あと、耐タンパ性であって、ダンパではない。
(5) 既存の設定の項番を1つずつ繰下げ、192.168.10.0/24からBサービスへの通信でNATを無効とする設定を項番1に設定する。(×)
　⇒もっとシンプルでよかったのでしょう。
(6) DNS(○)
(7) 項番1(○)
(8) 項番1,4(○)

問4

設問1

ア 8(×),10,11,12,13(計4つ○)
イ 大(○)
ウ C(○)
⇒表4のリスク番号1-1に対して図3のリスクアセスメントを順番にやっていけば確実に取れます。
①表1の項番4によると、Sサービスでは検索した受注情報はファイルに一括出力できる。これがG百貨店の全てのアカウント(P23説明文中にあるW社に貸与されたアカウントも含まれる)で使用できる。
②W社従業員に割り当てられているSサービスのID/PWを使用すればZ情報を検索し、一括出力することでW社外のPCなどに保存できる。
 とくれば、ほぼ全てのZ情報の機密性が確保できなくなります。よって、イ(被害の大きさ)は大となります。
　発生頻度は低であると表4に明記されているので、ウ(総合評価)は表3より大・低のCとなります。
エ 配送管理用PCは配送管理課員及び配送管理課長以外の者が近づけないようにし、PWを書いた付箋を目につくところ（机上など）に貼らないようにする。(×)
⇒図1のデータの流れを変えるな、という指示から運用ルールの徹底であろうと推測しました。そこでアで8を書いたとおり、W社の従業員なら誰でも持っているICカードで事務所に入り、配送管理PC近辺の付箋を見てSサービスのID/PWをメモしていく……という流れを断つために、付箋を目立つところにはるな、としたわけです。
しかし、そうしてもID/PWを持ちだせる人がいます。実際にそのID/PWを使う配送管理課員です。だから、対策としては不十分なのです。

設問2

(1) あ ランサムウェアによる配送管理用PC及び在庫管理サーバの暗号化がなされ、また窃取されたZ情報の漏えいを理由に脅迫される。
(2) い 配送管理課員によってSサービスから入手したZ情報が配送管理用PCの一時データや、在庫管理サーバへの入力データとして保存されている。その後、ランサムウェアによって配送管理用PCや在庫管理サーバが乗っ取られた際に攻撃者が暗号化された情報を入手し、復号化することでZ情報を窃取される。（リスク番号2-1による不正操作）
う 2,3,4,5,6,9,10
え 中
お 低
か D
き プロクシサーバによる在庫管理サーバからのHTTP（s）通信の転送を禁止する。マルウェア対策ソフトはビヘイビア型など挙動監視するものにする。W社でインシデント対応チームを構築し、標的型攻撃対策訓練をする。
⇒これが、令和5年秋のSC 午後試験最大の難所「お前の知見を示してみよ！」です。
しかし、知見もへったくれもなく、本文に示した状況設定に沿ってリスクアセスメントの表を見れば、マルウェアに感染してZ情報の機密性が保てなくなった、という事例をかかせたいと読めたのです。あとはその感染経路や機密性がどのような形で保てなくなるのか、を書ければ、リスクアセスメントの手順でもってう・え・お・かまではかけます。

設問3

a. 12(○、ただし不足)
b. 2,4(○),6,8(×)

とまあ、見れば見るほど、ずたぼろです。
しかし、これで61点を取れるとおもえば、皆さんも自信がつくのではないでしょうか。