Merge pull request #422 from NorioKobota/update-section-57

add section 5.7

Author: NorioKobota

subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md

@@ -410,8 +410,34 @@ SBOMの信頼性と改ざん耐性を確保するために、以下の改善策
 - 人手介入の余地の最小化：なるべく自動化することでヒューマンエラーを排除し、必要最小限の人手による検証に留める。
 
 #### 5.7 記述範囲の明確化と責任所在の定義  
-担当: 小保田  
-- ソースコード、バイナリ、ファームウェア、ハードウェア情報など、SBOMに含める情報範囲を明確にするとともに、作成者（Creator）やパッケージ提供者（packageSupplier）など各責任所在を明示する。
+
+##### 5.7.1. 課題の概要
+SBOMドキュメントは提供者側の裁量に依存する部分が大きく、記載すべき情報の網羅性や正確性が一定していません。これにより、ソフトウェアサプライチェーン全体で必要な情報が欠落し、セキュリティやライセンスコンプライアンスの管理において混乱を招くリスクが生じる。  
+
+##### 5.7.2 課題の詳細  
+現在、SBOMドキュメントを提供する際に、依存関係を持つコンポーネントはどこまで含めるべきか、また、どこまで詳細に情報を記載すべきかの基準が明確ではない。そのため、以下のような具体的な問題が発生する。  
+
+- ソフトウェア依存関係の範囲やバージョン情報など、必要な項目が限定的にしか記載されない場合がある。  
+- 誰が各コンポーネントに対して責任を負っているのか、問い合わせ先や管理担当者が明示されていないため、問題発生時の迅速な対応が困難となる。  
+- 情報の不備により、ソフトウェア供給チェーン上の脆弱性やライセンス関連のリスクを十分に把握できず、結果的にセキュリティ対策に支障をきたす可能性がある。  
+
+##### 5.7.3 改善策  
+- SBOMドキュメントに記載すべき項目を、ソフトウェアサプライチェーン全体で統一した基準として明文化する。特に、記載する依存関係の範囲を明確化する。  
+- 各項目ごとに責任の所在を明確にし、具体的な担当者や問い合わせ先をドキュメント内に記載する。これにより、問題が発生した際の情報共有と迅速な対応を可能にする。  　
+
+例えば以下の図のように、オープンソースソフトウェア（OSS）とプロプライエタリソフトウェアなどの相互依存関係についてソフトウェアの配布者が依存関係についてどの範囲まで記述すべきかについて明確にする。  
+![](images/SBOM-5_7.jpg)
+
+##### 5.7.4. 評価方法  
+- ソフトウェアサプライチェーン全体で統一した基準として決定したSBOMドキュメントに記載すべき項目と内容が記載されているかどうかを確認する。  
+
+##### 5.7.5. リスクと留意事項  
+- 情報の更新遅延  
+ソフトウェアのバージョンアップや依存関係の変更に伴い、SBOMドキュメントが迅速に更新されない場合、古い情報に基づく判断が行われるリスクがある。  
+- 責任の不明確さ  
+担当者や問い合わせ先が明示されていない、間違って記載された場合、問題発生時に迅速な対応ができず、セキュリティリスクが増大する可能性がある。  
+- 基準の不統一  
+統一基準がサプライチェーンのどこかのエンティティで守られていなかった場合、異なるSBOMドキュメント間での情報の整合性が失われ、混乱を招く恐れがある。  
 
 #### 5.8 部品間関係性の統一的表現  
 担当: 大和田さん