スレNO580を理解するのに問題文を読み疑問に思いました。
問題文に「R主任は、証明書の新規発行手順については、代理店の担当者が不適切な行為をした場合、表1中の"端末の限定"の設計方針が満たされず、代理店の管轄下にない端末でQシステムにアクセスできる可能性があると指摘した」とあります。
  IPAの解答から、担当者の不適切な行為とは「正規でない他端末に証明書をインストールする」ことのようです。図2に「秘密鍵は容易に抽出できない」と書いてあるので、他端末には秘密鍵を移せません。証明書と秘密鍵はセットで用いないとTLS/SSLは意味ないのではないか。それなのにQシステムにアクセスできるのでしょうか。

恐らくですが、この場合でいうインストールとは登録手順全体を含めた最後の工程という意味合いで使っているのではないでしょうか？

図１の登録サーバの項に、登録サーバにSSLクライアント認証は無いと書かれています。つまりクライアント端末の識別は証明書以外の識別情報が無いとできません。
しかし、登録の際、送信時に送る情報は利用者ID、pw、端末で生成した秘密鍵であり、正規の端末かどうかを識別するための情報が見当たりません。
つまり、担当者が非正規の端末から登録作業を行っても、それを技術的に判別する方法がないと推測できます。
（IPアドレスくらいは調べればわかるでしょうが、インターネット経由のクライアント端末となると固定IPとは考えづらく、それらしい記述も存在しません）

あ、間違えた。秘密鍵送ったらまずいですね、公開鍵です

斎藤さん、ありがとうございました。理解できました。
問題文にある「Qシステムにアクセスできる可能性がある」を私は、Qシステムの通常業務機能にアクセス、と思ってしまいました。チャント問題文に「R主任は、証明書の新規発行手順については」と限定していますね。