AP過去問 令和6年度秋期 午前 問43
問43(問題文)
ソフトウェアのセキュリティ管理に使用されるSBOMはどれか。
ア セキュリティアラートやログを集約、分析し、潜在的な脅威を見つけるシステム
イ 組織内にあるソフトウェアを含むIT資産をリスト化したデータベース
ウ 組織のソフトウェアのセキュリティ脆弱性と設定ミスを特定、評価、処理、報告するためのプロセス、ツール、戦略
エ ソフトウェアを構成するコンポーネント、相互の依存関係などをリスト化した一覧
回答・解説
SBOM(Software Bill of Materials)とは、ソフトウェアを構成するコンポーネントやライブラリ、依存関係などを一覧化したドキュメントです。これにより、使用しているソフトウェアに含まれるコンポーネントやその脆弱性を可視化し、セキュリティ管理やリスク評価を効率的に行うことができます。
アは間違いです。SIEM(Security Information and Event Management)を指している可能性があります。SIEM は、セキュリティイベントログの収集と分析を行い、異常な動作や潜在的な脅威を検知するためのシステムです。間違いの理由: SIEMはセキュリティ管理ツールですが、ソフトウェア構成(SBOM)に関する情報をリスト化することは目的に含まれていません。
イは間違いです。IT資産管理システム(ITAM: IT Asset Management)に関連している可能性があります。ITAM は、組織が所有または使用しているすべてのIT資産(ハードウェア、ソフトウェア、ライセンスなど)を追跡するための仕組みです。間違いの理由: ITAMは資産全体を管理するシステムであり、ソフトウェアの構成要素や依存関係を詳細にリスト化するSBOMとは異なります。
ウは間違いです。脆弱性管理(VM: Vulnerability Management)に関連していると考えられます。VM は、ソフトウェアやシステムの脆弱性を特定・評価し、適切な対応を行うプロセスやツールです。間違いの理由: 脆弱性管理はソフトウェアセキュリティの重要な一部ですが、SBOMのように構成要素や依存関係のリスト化が主な目的ではありません。
したがって、
エ
が答えです。