分野：テクノロジ系
中分類：セキュリティ
小分類：情報セキュリティ対策

SBOM(Software Bill of Materials：エスボム)は、ある製品に含まれるソフトウェアに含まれるすべてのコンポーネントについて、それらの名称、バージョン・ビルド情報、ライセンス情報、依存関係、その他関連情報を含めて、機械処理可能なリストにしたものです。

SBOMを作成・管理することで、確認された脆弱性をもつコンポーネントが使用されているかどうかの判断や、その影響度・影響範囲の特定、ソフトウェアアップデートの必要性の判断等を効率的に行えるようになるため、ソフトウェアの脆弱性管理のためのツールとしても使用されています。

• CVSS(Common Vulnerability Scoring System)の説明です。情報システムの脆弱性についてベンダーに依存しない共通の評価方法を提供するフレームワークです。
• NIST SP800-40の説明です。パッチと脆弱性管理をする際に推奨される管理体制や組織体制について定めたガイドラインです。
• 正しい。SBOMの説明です。
• CVE(Common Vulnerabilities and Exposures)の説明です。