SBOM|情報処理安全確保支援士試験 令和6年春期午前Ⅱ 問17
出典:令和6年春期 午前Ⅱ 問17
分野:セキュリティ / 情報セキュリティ対策
ソフトウェアの脆弱性管理のためのツールとしても利用されるSBOM(Software Bill of Materials)はどれか。
- ア:ソフトウェアの脆弱性に対する,ベンダーに依存しないオープンで汎用的な深刻度の評価方法
- イ:ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス,組織体制などをまとめたガイドライン
- ウ:ソフトウェアを構成するコンポーネント,互いの依存関係などのリスト
- エ:米国の非営利団体MITREによって策定された,ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準
TSUNAGARU-ADVICE
まず押さえたいこと
SBOMは、ソフトウェアを構成している部品を一覧化したもので、コンポーネントやライブラリ、依存関係などを把握するためのリストです。
迷ったときの判断軸
SBOMは脆弱性の深刻度を評価する方法ではなく、セキュリティアップデートの運用ガイドラインでもありません。ポイントは、どのソフトウェア部品を使っているかを可視化することにあります。これによって、脆弱性が見つかった部品を自社ソフトウェアが使っているか確認しやすくなります。
科目Bにつなげるために
科目Bでは、脆弱性情報が公開されたときに、影響を受けるコンポーネントを素早く特定できるかが問われます。SBOMは、ソフトウェアの構成部品を管理し、脆弱性対応やサプライチェーンリスク管理に活用するものとして理解しておきましょう。
SBOM(Software Bill of Materials)は、ソフトウェアを構成するコンポーネントやライブラリ、バージョン、依存関係などを一覧化したものです。
利用している部品を把握できるため、特定のライブラリに脆弱性が見つかった場合に、影響を受けるソフトウェアを特定しやすくなります。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:ソフトウェアの脆弱性に対する,ベンダーに依存しないオープンで汎用的な深刻度の評価方法
⇒脆弱性の深刻度評価方法であり、CVSSの説明です。SBOMはソフトウェア構成部品の一覧です。
イ:ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス,組織体制などをまとめたガイドライン
⇒セキュリティ更新管理のガイドラインに関する説明です。SBOMそのものではありません。
エ:米国の非営利団体MITREによって策定された,ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準
⇒CWEの説明です。SBOMは弱点の種類ではなく、ソフトウェアの構成要素を示す一覧です。