設問1

(1) a: ア(暗号化された共通鍵) b: オ(秘密鍵) c: カ(ファイルを復号する共通鍵)
たぶんこれらはあっていると思う。

(2) ウ，エ
よく知らんが，過去問にやってて調べたときに，乱数とか生成できるとか
書いてあった気がするので。

(3) ア(CC)
Common Criteria は，Criteria って言うくらいだし，たしかセキュリティの評価基準
だった記憶があったので。

設問2

(1) 「テープ上のデータは暗号化されていないので，宅配業者などに漏洩するリスク」(35字)
たぶんだけど，テープ上では暗号化されていないことに触れて，漏れる可能性がある
みたいなことを書いておけばいいと思う。

(2) 「データをテープへ暗号化して保存する」(17字)
復号してバックアップしているのが問題な気がするのでそれを止めれば良いと考えたから。

設問3

(1) (b)
理由は(2)で。

(2) 「メールは暗号化されてバックアップされており，復号鍵は故障したPCのTPMを
用いて保存されているので，入手できなかったから」(61字)
あれ?オーバーしちゃってるじゃん。
この辺で，時間を気にしてあせっていたので，きちんとメモされてない。
「マザーボードを交換したので，」というのも横に書いてある。
はて?

(a),(c) については，ファイル暗号化方式(共通鍵で暗号化して，公開鍵暗号方式でその共通鍵を暗号化)を，
(b)については，S/MIMEを利用しているのが問題文から読み取れる。
下線部2の前を読むと，
「マザボを交換した-->暗号化データが読めなくなった」とあります。
よくしらんが，これはそりゃそうだ的な感じがする。TPMというのはおそらく，
マザボに装着されているから。
そして，下線部2。
「そこで，営業所サーバからバックアップしたデータをPCに戻したが，データの一部は読めなかった」
ここで，少し前の本文に，
「営業所サーバにファイルがコピーされる際には，ファイル暗号化方式によって暗号化されているものは
復号された上でコピーされる。」
とあります。つまり，営業所サーバ上の(a),(c)のデータについては暗号化されずに保存されいると。
下線部2に戻ると，営業所サーバからバックアップすれば，(a),(c) については，暗号化されてないので，
読める。しかし，S/MIMEで暗号化した(b)(メール)については，暗号化されたまんまなので，
読めない。なので，(1) は (b) と。
以上のように，ワタシは解釈しました。

(3) 「鍵ペア生成にはTPMを使用し，鍵ペア保存にはTPM以外の方法で保存する」(35字)
すくなっ。日本語おかしいな。
正直，この問題はわかりませんでした。しかし，おそらく要点は，TPMが鍵保存をできると
した場合，TPMに鍵を保存するのが問題なので，代替手段を用いる必要があり，
その代替手段を，現実的に述べればいい気がする。オレには無理だったけど。
鍵メモリとか思いついたけどやめておいた。

設問1

(1) a: 電子証明書 b: メール受信

(2) 「各求人企業が独自で運営している認証局を信頼できないから」(27字)
微妙な解答ですね。オレオレ認証局は信用できねーんだよ，ということを
言えばいいんでしょうが，どういえばいいか悩んだ結果がこれでした。
「各求人企業の認証局を認証する際に，認証パスでルートCAまでたどれない可能性がある」
みたいなことを書いておけばいいかも。あー，なんかあったなぁ，オリジナル問題集に。
なんとかチェーンとか書いてあった。オレは1回，布団の中に潜りながら読んだだけなので，
思い出せんのです。はいすみません，いいわけです。さぁ，次!

(3) 「証明書を信頼できる認証局の公開鍵で検証した後，確認する」(27字)
これは自信なし。
証明書のフィンガプリントが何かわからん。電子署名みたいなもん?
アリス本によると，フィンガープリントとは公開鍵のハッシュ値，とのこと。
とすると，公開鍵を入手してそのハッシュ値と比較して一致すればオッケー牧場か。
で，公開鍵の正当性を証明するのは，認証局。
つまり，証明書の正当性を確認して，得られた公開鍵のハッシュ値とフィンガープリントを比較すれば
いいのか。

ん?
「正しいフィンガプリントの入手方法として安全と考えられるモノを1つ挙げ30字以内・・・」。

なんか怖い。すごく怖い。とにかく怖いんだ。
一般的な入手経路のうち，1つを挙げろと言われている気がしてきた。
がーん。
というか「正しい」が「フィンガプリント」にかかっているのか，「入手方法」にかかっているのか
わからんぞ。
修飾する語は，される語のできるだけ近くに置く，これ，わかりやすい文章の書き方の鉄則あるよ。
そうでない場合は，句読点を使え。
問題文を，複数に解釈可能なものにするのは，出題側としていくないぞ。

ま，でも，この問題は死亡コースかな。
はい，次。

(4) 「クッキーなどのセッション情報に試行回数を暗号化して記録し，
しきい値を超えたら以降のアクセスを拒否する」(50字)
これも分からんかったので，ふわっと書いておいた。
うーん，「サーバで，IPアドレスについて試行回数を記録して・・・」の方がいい気がするね。
でもそすると，NAPT内にいるとどうのこうの。

設問2

(1) 「初期パスワードの通知対象の企業の真正性を登記事項証明書を用いて認証するため」(37字)
「の」が3つ続いていますね。「の」が3つ以上続くのはよくありません。
英語の場合だと「of」ですね。ま，いいや。
なんていうんだっけ，これ。二要素認証だっけな。
要はそれを述べればいいと思う。

(2) 「利用者IDから一意かつランダムな文字列を生成する」(24字)
部分点くらいはもらえるでしょう。
重複なし，かつ，推測されにくいパスワードを生成する方法を書けば正解だと思う。

(3) わからんかった。しかも，何も書かなかった。えぇ，空白ですよ。びっくり仰天。
まさかこの問題が午後1通過の左右を決定するとはこのときwhitypigさんは予想だにしてなかった・・・。
きゃー!やめてー!
でも，何も書かなかったのはマジです。だって絞れなかったんだもん。
ぶっちゃけなんだってありじゃん? 盗聴とか暴力に訴えるとか。
かといって，出題者の意図する解答を思いつこうとがんばったけど，
オレのテクだと無理だった。

(4) 「再設定の際に，初期パスワードを入力させる」(20字)
(3)を空白にしたくせに，これは埋めてみました。
2ch でも書いている人いましたが，本文中にわざわざ，
「なお，初期パスワードの通知書は，パスワードを変更した後も，各利用者が保管するように
P社からお願いしている」
と書いてあるし。出題者の意図を汲んで解答するとすれば上記のようになるのではと。
なんやったら，初期パスワードなんて，あぶねーから破棄してくれっていう方が，
セキュリティ的には安全なんじゃねぇ? と思うし。