基本情報技術者試験「ソフトウェアサプライチェーン」の問題
D社の製品は多数のオープンソースライブラリを組み込んでいるが、どのバージョンの何を使っているかを正確に把握できておらず、新たな深刻な脆弱性が公表されても自社製品が影響を受けるか即座に判断できない。この状況を改善する取組みとして、最も適切なものはどれか。
ア外部ライブラリへの依存を解消し、必要な機能を順次自社実装へ置き換えていく。
イ取り込んだライブラリのバージョンを固定し、以後の更新は適用しない運用とする。
ウ自社製品のソースコードを公開し、外部の有志に脆弱性の発見を委ねる。
エ製品を構成する全部品とその版数を機械可読な一覧にし、継続的に更新する。
正解
エ.製品を構成する全部品とその版数を機械可読な一覧にし、継続的に更新する。
問題の核心は『使用している部品とバージョンが把握できていない』ことである。SBOM(ソフトウェア部品表)で全構成要素とバージョンを一覧化・維持すれば、新たな脆弱性が公表された際に自社製品が該当部品を含むかを即座に照合でき、影響判断と対応を迅速化できる。
?選択肢ごとの解説
ア ×全機能の自社再開発は膨大なコストと時間を要し非現実的で、構成を把握するという本来の課題への直接的な対策でもない。
イ ×バージョンを固定し更新しない方針は、既知の脆弱性が放置され続けることを意味し、むしろリスクを増大させるため逆効果である。
ウ ×ソースコード公開は脆弱性発見の一手段ではあるが、構成把握ができていないという本件の課題を解決せず、論点がずれている。
エ ○問題の核心は『使用している部品とバージョンが把握できていない』ことである。SBOM(ソフトウェア部品表)で全構成要素とバージョンを一覧化・維持すれば、新たな脆弱性が公表された際に自社製品が該当部品を含むかを即座に照合でき、影響判断と対応を迅速化できる。
✎くわしく
ソフトウェアサプライチェーンセキュリティでは、自社製品が依存する外部部品の透明性が要となる。SBOMは構成要素を機械可読な形で管理し、脆弱性情報との突合を自動化できるため、影響範囲の特定と是正を高速化する基盤となる。
✓本番での押さえどころ
試験のコツ
『何をどのバージョンで使っているか不明』が課題ならSBOM整備が正解。構成の可視化が脆弱性対応の前提になる。
覚え方
SBOMは『料理の原材料表示』。何が入っているか分かれば、危険な材料の混入を即座に確認できる。
よくある誤り
更新停止や利用停止といった『使わない』方向の対策を選ぶ。論点は利用の是非ではなく、何を使っているかを可視化することである。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0112