引き続き、情報セキュリティスペシャリスト試験の午後1で私の書いた解答です。
　問1がセキュアプログラミングの問題でそれを選択してもよかったのですが、問3と問4を選びました。問4はいいとして、問3は着手してからリスキーな問題だと気付きました。設問3の(1)を間違えると(2)も間違え、設問4の(1)を間違えると(2)(3)も間違うという出題なので、大きく失点するおそれがあります。素直に問1を解いたほうがよかったです。

2011年秋 情報セキュリティスペシャリスト 午後1

【問3】
設問1
(1)　暗号化された通信内容を検査できないため
(2)　3,5
(3)　ア
設問2
(1)　中間者(man-in-the-middle)
(2)　サーバ証明書のディジタル署名を認証局の公開鍵で復号して正当性を確認する
通信の暗号化用の共通鍵交換の際、認証局の公開鍵で復号できるか確認する
設問3
(1)　Lプロキシをルート認証局として登録し、それが発行する証明書を信頼させるようにする
(2)　ルート認証局以外の認証局は上位の認証局から認証されている必要があるから
(3)　アクセス先URLとサーバ証明書が示すコモンネームを一致させる必要があるから

【問4】
設問1　利用者のアクセス管理
設問2　b 物理的アクセス　c　指紋等の生体認証　d　スクリーンセーバ　e　シュレッダで裁断してから廃棄して
設問3
(1)　 ウ
(2)　抽出した会計連携データを暗号化してUSBメモリに保存する
(3)　抽出担当者と経理部担当者が鍵を持つ箱でUSBメモリを運搬する
設問4
(1)　Q社及びZ社から独立
(2)　Q社が登録を依頼した利用者IDが正しく登録されていること

JIS Q 27002:2006を見て確認したところ、正解は次のようになるようです。
設問1　利用者アクセスの管理
設問2　b　クリアデスク　c　トークン　d　スクリーン及びキーボードのロック機構　e　プリンタから即刻取り出して
※dは15字以内、eは20字以内での解答を求められていますが、JISの記述を引用すればdは18字、eは13字です。本来は、dは20字以内、eは15字以内で書かせようとしたものを、文字数指定を逆にしてしまった出題ミスかもしれません。

11.2 利用者アクセスの管理 11.3.3    クリアデスク・クリアスクリーン方針 管理策 書類及び取外し可能な記憶媒体に対するクリアデスク方針，並びに情報処理設備に対するクリアスクリーン方針を適用することが望ましい。 実施の手引 クリアデスク・クリアスクリーン方針において，情報セキュリティの分類（7.2 参照），法令及び契約上の要求事項（15.1 参照），並びに組織の抱えるそれらに対応するリスク及び文化的側面を考慮することが望ましい。次の指針を考慮することが望ましい。 a)    取扱いに慎重を要する又は重要な業務情報（例えば，紙又は電子記憶媒体上の業務情報）は，必要のない場合，特にオフィスにだれもいないときには，施錠して（理想的には金庫若しくは書庫又はセキュリティを備えた他の形態の収納用具に）保管しておく。 b)    コンピュータ及び端末は，離席時には，ログオフ状態にしておくこと，又はパスワード，トークン若しくは類似の利用者認証機構で管理されたスクリーン及びキーボードのロック機構によって保護していることが望ましく，利用しないときは，施錠，パスワード又は他の管理策によって保護している。 c)     郵便物の受渡場所，及び無人状態のファクシミリ装置を保護する。 d)    コピー機及びその他の再生技術（例えば，スキャナ，ディジタルカメラ）の認可されていない利用は，防止する。 e)     取扱いに慎重を要する情報又は機密扱い情報を含む文書は，プリンタから即刻取り出しておく。