情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和7年度春期 午前Ⅰ 問13: ソフトウェアの情報セキュリティ対策のうち，SBOM (Software Bill Of Materials) 管理ツールを用いることができるものはどれか。

問題本文

ソフトウェアの情報セキュリティ対策のうち，SBOM (Software Bill Of Materials) 管理ツールを用いることができるものはどれか。

選択肢

• ア.ソフトウェアでの利用者認証に用いるアカウントの一元管理
• イ.ソフトウェアについての脆弱性管理
• ウ.ソフトウェアのソースコードについてのバージョン管理，アクセス制御及び改ざん防止
• エ.ソフトウェアのソースコードのバックアップとマルウェア混入防止

正解

イ. ソフトウェアについての脆弱性管理

解説

SBOM(ソフトウェア部品表)は、製品に含まれるOSS等の構成要素・バージョン・依存関係を一覧化したもの。これを管理すると、新たな脆弱性(CVE)が公表された際に影響を受けるコンポーネントを即座に特定でき、脆弱性管理に役立つ。イが正解。Log4j問題以降、供給網(サプライチェーン)の脆弱性把握手段として重要視され、迅速な影響範囲の洗い出しに実務で使う。

選択肢ごとの解説

• ア.アカウントの一元管理はID管理(IAM)の領域で、SBOMの構成要素管理とは別であり誤り。
• イ.SBOMで構成部品を把握すれば脆弱性公表時に影響箇所を特定でき、脆弱性管理に使えるため正しい。
• ウ.ソースのバージョン管理やアクセス制御はリポジトリ管理の役割で、SBOMの用途ではないため誤り。
• エ.バックアップやマルウェア混入防止はSBOMの目的ではなく、別の対策であり誤り。