応用情報技術者試験 応用情報技術者試験 令和7年度春期 午前 問40: ソフトウェアの情報セキュリティ対策のうち，SBOM （Software Bill Of Materials）管理ツールを用いることができるものはどれか。

問題本文

ソフトウェアの情報セキュリティ対策のうち，SBOM （Software Bill Of Materials）管理ツールを用いることができるものはどれか。

選択肢

• ア.ソフトウェアでの利用者認証に用いるアカウントの一元管理
• イ.ソフトウェアについての脆弱性管理
• ウ.ソフトウェアのソースコードについてのバージョン管理，アクセス制御及び改ざん防止
• エ.ソフトウェアのソースコードのバックアップとマルウェア混入防止

正解

イ. ソフトウェアについての脆弱性管理

解説

SBOM（Software Bill Of Materials、ソフトウェア部品表）は、ソフトウェアを構成するライブラリやオープンソースなどの部品の一覧と、その名称・バージョン・依存関係を記録したものです。これを管理することで、ある部品に脆弱性が公表されたとき、自社ソフトウェアにその部品が含まれているか、どのバージョンを使っているかを素早く特定でき、影響範囲の把握と対応に役立ちます。したがって SBOM 管理ツールが活用できるのは脆弱性管理であり、正解はイです。

選択肢ごとの解説

• ア.利用者認証のアカウントを一元管理するのは ID 管理（IAM）の領域であり、ソフトウェア部品を扱う SBOM の用途ではないため誤りです。
• イ.SBOM で構成部品とそのバージョンを把握しておくことで、脆弱性公表時に影響を受ける製品を素早く特定でき、脆弱性管理に活用できるため正解です。
• ウ.ソースコードのバージョン管理・アクセス制御・改ざん防止はバージョン管理システムや構成管理の役割であり、部品一覧を扱う SBOM の用途ではないため誤りです。
• エ.ソースコードのバックアップやマルウェア混入防止は別の対策（バックアップ運用やコード検査など）の領域であり、SBOM 管理ツールの用途ではないため誤りです。