SBOM（ソフトウェア部品表）

Software Bill of Materials

えすびーおーえむ

ソフトウェアを構成するコンポーネント（ライブラリ、モジュールなど）の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。

情報システムの企画・設計・開発・運用でのセキュリティ確保の推進又は支援に関すること > 企画・要件定義（セキュリティの観点）

関連キーワードの用語

業務委託先の情報セキュリティ対策の実施状況を管理・監督すること。契約書へのセキュリティ要件の明記、定期的な監査・評価、再委託の管理、インシデント発生時の連絡体制の確認などを行う。

ソフトウェア等の脆弱性情報を適切にハンドリングするための官民連携の枠組み。発見者がIPAに届出を行い、JPCERT/CCが開発者との調整を行った上で、JVNを通じて脆弱性情報を公開する。

ソフトウェアやOS等の脆弱性を修正するパッチの適用を管理するプロセス。パッチの情報収集、影響評価、テスト、適用、検証を計画的に行い、製品・サービスのセキュアな導入・運用を維持する。

プログラムが確保したバッファ（メモリ領域）の境界を超えてデータを書き込むことで、隣接するメモリ領域を破壊する脆弱性。スタック上のリターンアドレスを書き換えて任意のコードを実行される可能性がある。対策としてバッファサイズのチェック、安全な関数の使用、ASLR、DEP/NXビットの活用がある。

システムやアプリケーションに存在する既知の脆弱性を検出するテスト。ネットワーク脆弱性診断とWebアプリケーション脆弱性診断に大別され、ツール（スキャナー）による自動診断と、専門家による手動診断がある。定期的な実施が推奨される。

プログラムの入力に大量の予期しないデータ（ファズ）を自動的に生成・投入し、異常動作やクラッシュを引き起こすことで未知の脆弱性を発見するテスト手法。バッファオーバーフローやフォーマットストリング脆弱性などの検出に有効。