応用情報技術者試験 令和6年秋 午前問43 解説付き過去問
問題
ソフトウェアのセキュリティ管理に使用されるSBOMはどれか。
正解
解説
SBOM(Software Bill of Materials)は、ソフトウェアを構成するコンポーネントや、それらの相互の依存関係をリスト化した一覧である。SBOMを活用することで、以下のようなメリットがある。
- ソフトウェアの透明性を向上させる
SBOMを作成することで、ソフトウェアに含まれるライブラリやモジュールを把握しやすくなる。その結果、サプライチェーン全体でのリスクを管理しやすくなる。 - セキュリティ脆弱性の特定と対応が迅速になる
ソフトウェアに含まれるコンポーネントをリスト化することで、既知の脆弱性(CVEなど)に該当するライブラリやモジュールを特定しやすくなり、速やかな対応が可能となる。 - ライセンス管理が容易になる
SBOMには、各コンポーネントのライセンス情報も含まれることが多く、オープンソースソフトウェアのライセンス違反を防ぐのに役立つ。 - 組織内にあるソフトウェアを含むIT資産のリスト化とは異なる
SBOMは、組織内のソフトウェアを一覧化するIT資産管理とは異なり、ソフトウェアの内部構成や依存関係を可視化するためのもの。 - セキュリティアラートやログの分析を目的としたものではない
セキュリティイベントの分析を行うSIEM(Security Information and Event Management)とは異なり、SBOMは主にソフトウェアの構成情報を整理するために用いられる。 - 脆弱性管理や設定ミスの検出とは異なる
セキュリティ脆弱性や設定ミスの特定・処理を行うVulnerability Managementとは異なり、SBOMはソフトウェアの成分を明確にするためのツールである。