メインコンテンツへ
セキュリティセキュリティ実践

SBOM(Software Bill of Materials:ソフトウェア部品表)に関する説明として、最も適切なものはどれか。

ア.SBOMはソースコードのバージョン管理において、各コミットの変更内容をまとめたチェンジログ(変更履歴)のことである。
イ.SBOMはソフトウェア開発のスクラム手法で使われるバックログ管理票であり、開発チームの作業優先度を記録するドキュメントである。
ウ.SBOMはソフトウェアに含まれるすべてのコンポーネント(OSS・ライブラリ・依存関係)を一覧化した部品表で、脆弱性(CVE)が発見された際に影響範囲を迅速に特定するために使われる。正解
エ.SBOMはセキュリティ監査のためのフレームワークで、組織のセキュリティ成熟度を1〜5のレベルで評価する基準を定めている。

解説

SBOMは「ソフトウェアの成分表示ラベル」。食品の原材料表示と同じ発想。「このソフトウェアにはXライブラリのv2.3が入ってます」という情報があれば、そのライブラリに脆弱性が見つかったとき即座に「影響あり!」と判断できる。

なぜ ウ が正解か

ウが正解。Log4Shell(CVE-2021-44228)事件で世界中の企業が「自社ソフトにLog4jが入っているか」を必死に調べた教訓からSBOMの重要性が急浮上した。SPDX・CycloneDXがSBOMのフォーマット標準。米国大統領令(EO 14028)でソフトウェアベンダーへのSBOM提供が推奨・義務化される流れになっている。

なぜ イ は間違いか

バックログはスクラムの作業リスト管理。SBOMとは無関係。

なぜ ア は間違いか

コミットの変更履歴はCHANGELOGやgit logの話。SBOMは依存コンポーネントの構成情報。

なぜ エ は間違いか

セキュリティ成熟度モデルはCMMI・C2M2などが該当。SBOMは部品表であり評価フレームワークではない。

出典: AI生成問題(学習用)