ソフトウェアコンポジション分析(SCA)とは?自分ごと体験で覚えるITパスポート対策
🎬 こんなシーン、想像してみて
セキュリティ担当の自分。「自社製品のOSSに既知CVE発見→コードベース全体の依存関係を自動スキャンで影響特定」するツール。SAST?
❓ 2問問題:あなたならどっち?
次の状況に当てはまるのは?
- ✅ SCA(Software Composition Analysis)
- ❌ SAST(Static Application Security Testing)→ SASTは自社コード解析。「OSS依存関係の既知脆弱性+ライセンス検出」がSCA
✅ 正解:SCA(Software Composition Analysis)
📘 ソフトウェアコンポジション分析(SCA)とは何か
OSSの脆弱性・ライセンス違反を依存関係ごと自動スキャンSCA(Software Composition Analysis)は製品に使われるサードパーティライブラリ・OSSの一覧(SBOM:ソフトウェア部品表)を生成し、各コンポーネントの既知脆弱性(NVD/CVEデータベースと照合)とライセンス違反(GPL等のコピーレフト汚染)を自動検出するツール。
🎯 試験のキモ
SBOMの重要性:2021年のLog4Shell脆弱性では、Log4jを使っているか把握していない企業が多発した。SBOMにより使用OSSを把握→新たな脆弱性発見時に即座に影響範囲を特定できる。米国大統領令(EO 14028, 2021)でソフトウェアサプライチェーンセキュリティの一環としてSBOM提供が求められている。代表ツール:Snyk・FOSSA・Black Duck。 **覚え方** 🎯 **SAST(自社コード解析)/SCA(OSS依存関係解析)/DAST(実行時テスト)**。**SBOM**で部品表把握。
⚠️ 間違いやすいポイント
混同注意:SAST・SCA・DASTの三択は頻出ひっかけ。SASTは自社が書いたソースコードの静的解析、SCAはサードパーティOSSの依存関係スキャン、DASTはアプリを実際に動かした動的テスト。OSSの脆弱性やライセンス問題を問われたら必ずSCA。SBOMは「ソフトウェア部品表」でSCAの成果物。Log4ShellのようなサプライチェーンリスクへのアプローチとしてSBOM整備が求められる文脈で登場する。
🧠 覚え方
**SAST(自社コード解析)/SCA(OSS依存関係解析)/DAST(実行時テスト)**。**SBOM**で部品表把握。
📚 ITパスポートの試験対策・勉強方法
ソフトウェアコンポジション分析(SCA)はITパスポートのIT全般分野で頻出(mid)。ITパスポート 過去問・勉強方法・独学・何時間に取り組むなら、自分ごとシナリオで一度体験してから問題を解くのが定着の鍵。何度も繰り返して覚え方フレーズを口に出すと記憶に残りやすい。
知識をクイズで確認しよう!
🏆 用語4択チャレンジ →