ソフトウェアの
| ア | ソフトウェアの脆弱性に対する、ベンダーに依存しないオープンで汎用的な深刻度の評価方法 |
| イ | ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス、組織体制などをまとめたガイドライン |
| ウ | ソフトウェアを構成するコンポーネント、互いの依存関係などのリスト |
| エ | 米国の非営利団体MITREによって策定された、ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準 |
答え ウ
【解説】
| ア | ソフトウェアの脆弱性に対する、ベンダーに依存しないオープンで汎用的な深刻度の評価方法は、CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)です。(×) |
| イ | ソフトウェアのセキュリティアップデートを行うときに推奨される管理プロセス、組織体制などをまとめたガイドラインは、NIST SP 800-40です。(×) |
| ウ | ソフトウェアを構成するコンポーネント、互いの依存関係などのリストは、SBOMです。(〇) |
| エ | 米国の非営利団体MITREによって策定された、ソフトウェアにおけるセキュリティ上の弱点の種類を識別するための基準は、CWE(Common Weakness Enumeration、共通脆弱性タイプ一覧)です。(×) |
【キーワード】
・SBOM
- SBOM(Software Bill of Materials)
ソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化した一覧表で、OSS(Open Source Software)のライセンス管理や脆弱性の管理、ソフトウェアサプライチェーンのリスク管理等の用途で利用されます。
もっと、「SBOM」について調べてみよう。
戻る
一覧へ
次へ