SBOM
① 物語性を取り入れた説明: 「SBOM」
新入社員のユウタは、セキュリティ研修で「SBOM」という言葉を耳にしましたが、何のことか分かりませんでした。そこで彼は、課長に質問しました。
「課長、SBOMって何ですか?ソフトウェアに関するものらしいですが…」
課長は微笑みながら説明を始めました。「良い質問だね、ユウタ。SBOMとは、Software Bill of Materials(ソフトウェア部品表)の略なんだ。ソフトウェアを作る際に使われるすべての部品(コンポーネント)をリスト化したものだよ。これは、どんなオープンソースやライブラリが使われているのかを明確にするためのものだ」
「ソフトウェア部品表…って、まるで機械の部品リストみたいですね」とユウタ。
「その通り!例えば、自転車を作るときにタイヤ、チェーン、ブレーキなどの部品リストが必要だよね。それと同じように、ソフトウェアにもどんなライブラリやコードが含まれているのかを一覧にするのがSBOMなんだ」
「なるほど、でもどうしてそんなリストが必要なんですか?」
「それは、ソフトウェアのセキュリティや品質を確保するためだよ。もし、使われている部品の中に古いライブラリや脆弱性のあるコードが含まれていれば、それが全体のセキュリティに影響を及ぼすことになる。SBOMを作成することで、どの部品が使われているかを正確に把握できるんだ」
ユウタはさらに質問しました。「SBOMと普通の開発ドキュメントは何が違うんですか?」
「開発ドキュメントは、主にソフトウェアの設計や機能に関する情報だね。それに対して、SBOMはソフトウェアの部品そのものに焦点を当てているんだ」
② 実際の事例: SBOMの使用例
SBOMは、特に政府機関や大手企業で重要視されています。
たとえば、アメリカでは、2021年に大統領令によってサイバーセキュリティの強化が求められ、SBOMの使用が義務化されました。この政策は、ソフトウェアサプライチェーンの透明性を高め、脆弱性が特定された際に迅速な対応が可能になることを目的としています。
また、企業でもSBOMの導入が進んでいます。特に、クラウドサービスを提供する企業では、SBOMを用いて使用するオープンソースのライブラリやコンポーネントの脆弱性を管理し、セキュリティリスクを低減しています。これにより、企業全体のセキュリティが向上し、顧客データの保護にも役立っています。
③ クイズや小テスト
クイズ1
SBOMの主な目的は何ですか?
A. ソフトウェアの動作速度を上げる
B. ソフトウェアの部品をリスト化して管理する
C. ウイルスを検出する
クイズ2
SBOMはどのような情報を含んでいますか?
A. ソフトウェアの設計図
B. ソフトウェアの機能一覧
C. ソフトウェアの部品リスト
クイズ3
SBOMの重要性が増している理由は何ですか?
A. コスト削減のため
B. セキュリティリスクを低減するため
C. 新しい機能を追加するため
回答
- B – SBOMはソフトウェアの部品をリスト化して管理することが目的です。
- C – SBOMはソフトウェアの部品リストを含み、どのライブラリやコンポーネントが使われているかを把握します。
- B – SBOMはセキュリティリスクの低減に寄与し、サプライチェーンの透明性を高めます。
応用情報技術者試験令和6年秋 午前問43
