問題冊子、解答例、採点講評はこれ
受かりましたというので私の書いた設問2の解答もOKっぽいのでそれを書いておきます。
新傾向の問題ですが、ちゃんと書けば点数くれたみたいな雰囲気です

本文(設問1)

問題文(設問1)

解説(設問1)

表4のリスクアセスメントを埋めてみようという問題。事象としてはW社の従業員がSサービスのIDとPWをメモ用紙に書き写して持ち出すと、そのIDとPWでW社外からログインされ、大事なZ情報が洩れるという話。設問1に限らず情報セキュリティの状況の部分はどこまで含めるかが微妙ですが、表2から強いて選ぶなら答えの通り10～13(ア)で研修やりつつ動機もなく、PW自体は変わってるが付箋に書く習慣もあるというところです。
私は当日1の「そもそもIDとPW使ってるよ!」というのも選んでました。部分点くれたかな?
イの被害の大きさは図3の(2)から考えます。とはいえサービスにログインされたら全情報にアクセスできるので機密性が確保できず、大となります。
ウは表3から。被害の大きさは大でも動機もないというので発生頻度は低とみて、リスクレベルはCです。
エは表5ですが、外からアクセスできなければいいじゃんというだけなので、SサービスにログインできるIPアドレスはW社プロキシだけにします。
答え ア : 10, 11, 12, 13
イ : 大
ウ : C
エ : G百貨店で、Sサービスへログイン可能なIPアドレスをW社プロキシだけに設定する。

問題文(設問2)

解説(設問2)

これがあの「あなたの知見に基づき」の問題です。出題からして答えがかなり広くとられるだろうということが想定されましたし、実際取ったような感じです。「リスクアセスメントの開始」冒頭の二重の脅迫、つまりデータを窃取して金を要求、再度公開するぞといいつつ金を要求というものに触れる解答をしたというポスト(旧ツイート)が多かった気がします。

(1)は社外からのサイバー攻撃で何か例を挙げる問題。表4に配達管理SaaSが出てきていなかったので、これなら他と重複してて×とはならんやろと思い
選択しました。2-1の通りに文面を合わせれば減点の心配もなし。
答え 配達管理SaaSの偽サイトを作った上で、偽サイトに誘導するフィッシングメールを、配送管理課員宛てに送信する。
(2)は(1)で書いた事項に対するリスクアセスメント。機密性への影響に至る経緯など2-1と変わらないのでその通りに記載。セキュリティの状況は訓練関係が関係あるかな?と思い9, 10を選択。そして対処方法なんて9に「周知は行っているが、訓練は実施していない」とあるんだから訓練だということです。
答え
い : 配送管理課員が、フィッシングメール内のリンクをクリックし、偽サイトにアクセスしてIDとPWを入力してしまう。入力されたIDとPWが利用され、W社外からSサービスにログインされて、Z情報がW社外のPCなどに保存される。
う : 9,10
え : 大
お : 低
か : C
き : 標的型攻撃の訓練を実施する。

問題文(設問3)

解説(設問3)

最後に表4のa,bを埋める問題。
aはIDとPWを間違ってメールで外部に漏らす話。確か過去問にあった気もしますが、IDとPWのようなものを漏らすことを防ぐ手段としての「特定のキーワードを含むメールの送信のブロック」をしていないという5と研修の10とIDPWの毎月変更で漏れたものが永続的に使えるわけじゃないという12のが状況です。
bはW社のPCやサーバの脆弱性を使って外からそのPCやサーバを不正操作する話。こっちは人というより本当にセキュリティ側で、ちゃんと最新であるという2,3と、FWの話をしている4が正解だそうです。
ちなみに私の答えはaが1,10,12でbが1,3,4でした。1は前提やんってずっと言ってます
答え
a : 5, 10, 12
b : 2, 3, 4

終わりに

午後は72点でした。問2の方はいって6割なのでこの問4がうまく採点者に刺さってくれたんだろうと思いますありがとう