いつも利用させていただいています。

設問２(2)のbについて、IPAの回答は「S社PC」となっていました。
私は「Yシステム保守用LAN」としました。
「図１  Yシステム構成」を見るとS社PC自体は複数あるようにも見えますがFW3で特定？のS社PCからのアクセスだけを許可するようなことはできますでしょうか。
S社PCが一つあるいは、YDCサーバLANにアクセスできるS社PCが一つであれば、送信元IPアドレスの指定でできるとは思うのですが……。

よろしくお願いします。

IPAの解答「S社PC」とスレ主様の解答「Yシステム保守用LAN」は多少言葉の綾の
感じはします。
ですが、P11 案2：「作業者は、S社PCから個人IDでプログラムKにログインした後に、」
という文言があります。
解答はこの文言からシンプルに引用したものと考えられます。

>「図１  Yシステム構成」を見るとS社PC自体は複数あるようにも見えますがFW3で
>特定？のS社PCからのアクセスだけを許可するようなことはできますでしょうか。
ここに関してはできるという判断でよいと思います。
根拠ですが、P9「Yシステム保守LANからサーバLANへのアクセスは、FW3で保守作業に
必要となるプロトコルのみに限定しているが、送信元IPアドレスは限定していない。」
という記述があります。

SCの解答の基本として、文中に「～していない」という文言がある場合、それが
解答の対策として用いられるパターンが多いです。
今回は「送信元IPアドレスは限定していない。」なので、やろうと思えば
送信元IPアドレスは限定できるということになります。

これ以上に細かい想定もいろいろできますが、説明量が多くなるので割愛いたします。

>設問２(2)のbについて、IPAの回答は「S社PC」となっていました。
>私は「Yシステム保守用LAN」としました。

設問に機器名を答えよとありますので、Yシステム保守用LANは不適切だと思います。

>「図１  Yシステム構成」を見るとS社PC自体は複数あるようにも見えますが
>S社PCが一つあるいは、YDCサーバLANにアクセスできるS社PCが一つであれば、送信元IPアドレスの指定でできるとは思うのですが……。

許可する送信元が1台のPCに限定されるかどうかは判りません。
例えば、複数のS社PCを1つのセグメントに纏め許可する送信元に指定していることも考えられます。

>FW3で特定？のS社PCからのアクセスだけを許可するようなことはできますでしょうか。

一般論となりますが、送信元の台数を絞ることは可能です。
許可する送信元のマスク長を32ビット或いはホスト指定にすれば1台に限定できます。

ありがとうございます。確かに機器名と書いてありますね。回答がS社PCはその部分で絞れそうです。
送信元ipアドレスの記載は気にできていましたが、設問はしっかり読むべきですね。

S社PCってS社資産な上どのS社PC(の送信元IPアドレス)からアクセスするかを
決められない気がしていましたが、そもそも許可したS社PC以外は拒否すればいいので、セグメントで許可する方がリスクありそうですね。