ホーム > 情報処理安全確保支援士試験 > 2024年 春期
情報処理安全確保支援士試験 2024年 春期 午前2 問17
ソフトウェアの脆弱性管理のためのツールとしても利用されるSBOM(Software Bill of Materials)はどれか。
ア:ソフトウェアの脆弱性に対する, ベンダーに依存しないオープンで汎用的な深刻度の評価方法
イ:ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス, 組織体制などをまとめたガイドライン
ウ:ソフトウェアを構成するコンポーネント, 互いの依存関係などのリスト(正解)
エ:米国の非営利団体 MITRE によって策定された, ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準
解説
ソフトウェアの脆弱性管理のためのツールとしても利用されるSBOM(Software Bill of Materials)はどれか【午前2 解説】
要点まとめ
- 結論:SBOMはソフトウェアの構成要素や依存関係を一覧化したリストであり、脆弱性管理に役立ちます。
- 根拠:SBOMはソフトウェアの部品情報を明示し、どのコンポーネントに脆弱性があるか特定しやすくするためです。
- 差がつくポイント:SBOMと脆弱性評価基準や管理プロセス、ガイドラインとの違いを正確に理解することが重要です。
正解の理由
選択肢ウ「ソフトウェアを構成するコンポーネント、互いの依存関係などのリスト」がSBOMの定義に最も合致します。SBOMはソフトウェアの部品表であり、どのライブラリやモジュールが使われているかを明示し、脆弱性が発見された際に影響範囲を迅速に把握できるため、脆弱性管理に不可欠なツールです。
よくある誤解
SBOMは単なる脆弱性評価基準や管理プロセスではなく、ソフトウェアの構成情報そのものを示すものです。混同しやすいので注意しましょう。
解法ステップ
- 問題文の「SBOM」の意味を確認する。
- 各選択肢の内容をSBOMの定義と照合する。
- 「ソフトウェアの構成要素や依存関係のリスト」である選択肢を特定する。
- 他の選択肢が脆弱性評価方法や管理プロセス、基準であることを確認し除外する。
- 正解は選択肢ウと判断する。
選択肢別の誤答解説
- ア:脆弱性の深刻度評価方法はCVSS(Common Vulnerability Scoring System)であり、SBOMではありません。
- イ:セキュリティアップデートの管理プロセスやガイドラインはSBOMの役割ではなく、運用面の話です。
- ウ:ソフトウェアの構成要素や依存関係をリスト化したもので、SBOMの正しい定義です。
- エ:MITREが策定したセキュリティ上の弱点識別基準はCWE(Common Weakness Enumeration)であり、SBOMとは異なります。
補足コラム
SBOMは近年、サプライチェーン攻撃対策として注目されています。ソフトウェアの透明性を高め、どの部品に脆弱性があるかを迅速に特定できるため、セキュリティ強化に寄与します。米国政府もSBOMの活用を推奨しており、今後ますます重要性が増す分野です。
FAQ
Q: SBOMはどのような形式で提供されることが多いですか?
A: JSONやXMLなどの機械可読形式で提供され、ツールによる解析や管理が容易です。
A: JSONやXMLなどの機械可読形式で提供され、ツールによる解析や管理が容易です。
Q: SBOMとCVSSの違いは何ですか?
A: SBOMはソフトウェアの部品表であり、CVSSは脆弱性の深刻度を評価するスコアリングシステムです。
A: SBOMはソフトウェアの部品表であり、CVSSは脆弱性の深刻度を評価するスコアリングシステムです。
関連キーワード: SBOM, ソフトウェア構成管理, 脆弱性管理, CVSS, CWE, ソフトウェアサプライチェーン, セキュリティアップデート