応用情報技術者試験 応用情報技術者試験 令和6年度秋期 午前 問43: ソフトウェアのセキュリティ管理に使用される SBOM はどれか。

問題本文

ソフトウェアのセキュリティ管理に使用される SBOM はどれか。

選択肢

• ア.セキュリティアラートやログを集約，分析し，潜在的な脅威を見つけるシステム
• イ.組織内にあるソフトウェアを含む IT 資産をリスト化したデータベース
• ウ.組織のソフトウェアのセキュリティ脆弱性と設定ミスを特定，評価，処理，報告するためのプロセス，ツール，戦略
• エ.ソフトウェアを構成するコンポーネント，相互の依存関係などをリスト化した一覧

正解

エ. ソフトウェアを構成するコンポーネント，相互の依存関係などをリスト化した一覧

解説

SBOM（Software Bill Of Materials、ソフトウェア部品表）は、一つのソフトウェアがどのようなコンポーネント（ライブラリやオープンソース部品など）から構成され、それらがどのような依存関係にあるかを一覧化したものである。これにより、ある部品に脆弱性が見つかった際に、自社のどの製品が影響を受けるかを迅速に把握でき、セキュリティ管理に役立つ。したがって“構成コンポーネントと依存関係をリスト化した一覧”としたエが正解となる。

選択肢ごとの解説

• ア.アラートやログを集約・分析して脅威を見つけるシステムは SIEM の説明であり、SBOM とは別物なので誤り。
• イ.組織内の IT 資産をリスト化したデータベースは IT 資産管理（構成管理）の説明であり、ソフトウェアの内部構成を示す SBOM とは異なるため誤り。
• ウ.脆弱性や設定ミスを特定・評価・処理・報告するプロセスは脆弱性管理の説明であり、SBOM そのものではないため誤り。
• エ.正しい。SBOM はソフトウェアを構成する部品（コンポーネント）と相互の依存関係を一覧化したもので、構成部品の脆弱性把握に用いられる。