情報セキュリティ

基本情報技術者試験ソフトウェアサプライチェーン」の問題

情報セキュリティ情報セキュリティ難易度:normal
D社の製品は多数のオープンソースライブラリを組み込んでいるが、どのバージョンの何を使っているかを正確に把握できておらず、新たな深刻な脆弱性が公表されても自社製品が影響を受けるか即座に判断できない。この状況を改善する取組みとして、最も適切なものはどれか。
外部ライブラリへの依存を解消し、必要な機能を順次自社実装へ置き換えていく。
取り込んだライブラリのバージョンを固定し、以後の更新は適用しない運用とする。
自社製品のソースコードを公開し、外部の有志に脆弱性の発見を委ねる。
製品を構成する全部品とその版数を機械可読な一覧にし、継続的に更新する。
正解
製品を構成する全部品とその版数を機械可読な一覧にし、継続的に更新する。

問題の核心は『使用している部品とバージョンが把握できていない』ことである。SBOM(ソフトウェア部品表)で全構成要素とバージョンを一覧化・維持すれば、新たな脆弱性が公表された際に自社製品が該当部品を含むかを即座に照合でき、影響判断と対応を迅速化できる。

?選択肢ごとの解説

ア ×全機能の自社再開発は膨大なコストと時間を要し非現実的で、構成を把握するという本来の課題への直接的な対策でもない。
イ ×バージョンを固定し更新しない方針は、既知の脆弱性が放置され続けることを意味し、むしろリスクを増大させるため逆効果である。
ウ ×ソースコード公開は脆弱性発見の一手段ではあるが、構成把握ができていないという本件の課題を解決せず、論点がずれている。
エ ○問題の核心は『使用している部品とバージョンが把握できていない』ことである。SBOM(ソフトウェア部品表)で全構成要素とバージョンを一覧化・維持すれば、新たな脆弱性が公表された際に自社製品が該当部品を含むかを即座に照合でき、影響判断と対応を迅速化できる。

くわしく

ソフトウェアサプライチェーンセキュリティでは、自社製品が依存する外部部品の透明性が要となる。SBOMは構成要素を機械可読な形で管理し、脆弱性情報との突合を自動化できるため、影響範囲の特定と是正を高速化する基盤となる。

本番での押さえどころ

試験のコツ

『何をどのバージョンで使っているか不明』が課題ならSBOM整備が正解。構成の可視化が脆弱性対応の前提になる。

覚え方

SBOMは『料理の原材料表示』。何が入っているか分かれば、危険な材料の混入を即座に確認できる。

よくある誤り

更新停止や利用停止といった『使わない』方向の対策を選ぶ。論点は利用の是非ではなく、何を使っているかを可視化することである。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0112

【基本情報技術者試験】ソフトウェアサプライチェーンの問題 — 解答・解説|ukamiru 過去問