情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ 問17: ソフトウェアの脆弱性管理のためのツールとしても利用される SBOM（Software Bill of Materials）はどれか。

問題本文

ソフトウェアの脆弱性管理のためのツールとしても利用される SBOM（Software Bill of Materials）はどれか。

選択肢

• ア.ソフトウェアの脆弱性に対する，ベンダーに依存しないオープンで汎用的な深刻度の評価方法
• イ.ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス，組織体制などをまとめたガイドライン
• ウ.ソフトウェアを構成するコンポーネント，互いの依存関係などのリスト
• エ.米国の非営利団体 MITRE によって策定された，ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準

正解

ウ. ソフトウェアを構成するコンポーネント，互いの依存関係などのリスト

解説

SBOM(ソフトウェア部品表)は、製品を構成するコンポーネントやライブラリと、それらの依存関係・バージョン・出所などを一覧化したもの。ウが正しい。実務では新たな脆弱性が公表された際に、自社製品にその部品が含まれるかをSBOMで即座に照合でき、影響範囲の特定とパッチ対応を迅速化する。サプライチェーンセキュリティの基盤として重要性が高まっている。

選択肢ごとの解説

• ア.ベンダー非依存の深刻度評価はCVSSの説明で、SBOMではない。
• イ.アップデートの管理プロセスをまとめたガイドラインはSBOMの定義ではない。
• ウ.構成コンポーネントや依存関係のリストという記述でSBOMとして正しい。
• エ.MITREによる弱点の種類を識別する基準はCWEの説明で、SBOMではない。