SBOM(Software Bill of Materials)|情報処理安全確保支援士 シラバス準拠予想問題Ⅰ 問8

SBOM(Software Bill of Materials)の説明として,最も適切なものはどれか。
  • ア:既知の脆弱性について,特定の製品や環境で実際に悪用可能かどうか,影響を受けるかどうかなどの情報を提供する形式である。
  • イ:ソフトウェアを構成するコンポーネント,バージョン,ライセンス,依存関係などを一覧化し,脆弱性管理やサプライチェーンの透明性確保に活用する部品表である。
  • ウ:ハードウェア,OS,アプリケーションなどの製品を標準化された名称で識別し,脆弱性情報と対象製品を対応付けやすくするための体系である。
  • エ:インストール済みソフトウェアを識別するために,製品名,バージョン,提供者などの情報を端末上に記録する識別用タグである。
解説

SBOMは、Software Bill of Materialsの略で、ソフトウェアを構成するコンポーネント・バージョン・ライセンス・依存関係などを一覧化した部品表です。

SBOM

ソフトウェアに含まれるOSSやライブラリを把握できるため、脆弱性が公表されたときに影響範囲を確認したり、ライセンス管理を行ったり、サプライチェーンの透明性を高めたりする目的で活用されます。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:既知の脆弱性について,特定の製品や環境で実際に悪用可能かどうか,影響を受けるかどうかなどの情報を提供する形式である。
⇒VEXの説明です。VEXは、既知の脆弱性が特定の製品に実際に影響するか、悪用可能かなどを示す情報形式です。SBOMは、ソフトウェアの構成部品を一覧化する部品表であり、脆弱性の悪用可能性そのものを示すものではありません。
ウ:ハードウェア,OS,アプリケーションなどの製品を標準化された名称で識別し,脆弱性情報と対象製品を対応付けやすくするための体系である。
⇒CPEの説明です。CPEは、製品を標準化された名称で識別するための体系です。SBOMは製品名の識別体系ではなく、ソフトウェアに含まれるコンポーネントや依存関係などを一覧化するものです。
エ:インストール済みソフトウェアを識別するために,製品名,バージョン,提供者などの情報を端末上に記録する識別用タグである。
⇒SWIDタグの説明です。SWIDタグは、端末上にインストールされたソフトウェアを識別するためのタグです。SBOMは、ソフトウェアを構成する部品や依存関係を一覧化し、脆弱性管理やサプライチェーン管理に活用する部品表です。
TSUNAGARU-ADVICE

まず押さえたいこと

SBOMは、ソフトウェアに含まれるコンポーネント・バージョン・ライセンス、依存関係などを一覧化した部品表です。どのOSSやライブラリを使っているかを把握できるため、脆弱性管理やサプライチェーンの透明性確保に役立ちます。

迷ったときの判断軸

既知の脆弱性が特定環境で実際に悪用可能かを示すものはVEX、製品を標準化された名称で識別する体系はCPEです。端末上にインストール済みソフトウェア情報を記録するタグとも異なります。SBOMは、ソフトウェアを構成する部品の一覧と判断しましょう。

科目Bにつなげるために

科目Bでは、利用中のOSSに脆弱性が公表されたとき、どのシステムが影響を受けるかを調査する場面が出ることがあります。SBOMがあれば、影響を受けるコンポーネントや依存関係を追跡し、対応要否を判断するための手掛かりになります。