令和6年春期試験問題 午前Ⅱ 問17

ソフトウェアの脆弱性管理のためのツールとしても利用されるSBOM(Software Bill of Materials)はどれか。

  • ソフトウェアの脆弱性に対する,ベンダーに依存しないオープンで汎用的な深刻度の評価方法
  • ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス,組織体制などをまとめたガイドライン
  • ソフトウェアを構成するコンポーネント,互いの依存関係などのリスト
  • 米国の非営利団体MITREによって策定された,ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
SBOM(Software Bill of Materials:エスボム)は、ある製品に含まれるソフトウェアに含まれるすべてのコンポーネントについて、それらの名称、バージョン・ビルド情報、ライセンス情報、依存関係、その他関連情報を含めて、機械処理可能なリストにしたものです。

SBOMを作成・管理することで、確認された脆弱性をもつコンポーネントが使用されているかどうかの判断や、その影響度・影響範囲の特定、ソフトウェアアップデートの必要性の判断等を効率的に行えるようになるため、ソフトウェアの脆弱性管理のためのツールとしても使用されています。
  • CVSS(Common Vulnerability Scoring System)の説明です。情報システムの脆弱性についてベンダーに依存しない共通の評価方法を提供するフレームワークです。
  • NIST SP800-40の説明です。パッチと脆弱性管理をする際に推奨される管理体制や組織体制について定めたガイドラインです。
  • 正しい。SBOMの説明です。
  • CVE(Common Vulnerabilities and Exposures)の説明です。

Pagetop