update 5.6

Author: moonkick64

subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md

@@ -300,15 +300,16 @@ CPE名に比べて表記揺れの可能性が低く、ソフトウェア開発
 担当: 平能さん  
 
 ##### 5.6.1. 課題の概要
-- SBOM生成直後のデジタル署名やハッシュ値の付与、変更履歴管理、自動監視システムによる改ざん検知の仕組みを具体策として提示する。
+SBOMの運用においては、ソフトウェアの更新とは異なるタイミングでSBOMが更新されることがある。また、SBOMの記述内容に誤りが含まれる可能性もある。
+しかし現状では、SBOMそのものが改変されたことを検出する仕組みが十分に整っておらず、ソフトウェアとの整合性を保証することが困難である。
 
-##### 5.6.2. 課題の概要
-SBOMは本来、ソフトウェアの構成要素や依存関係、既知の脆弱性などを正確に記述した重要ものである。しかし、以下のような理由でSBOMの真正性・完全性が損なわれるリスクがある。
+##### 5.6.2. 課題の詳細
 
-- 手動での修正・補完に起因する入力ミスや意図しない変更。
-- 複数ツールによる出力の差異やフォーマットの不整合。
-- 改変によって重要な脆弱性情報が欠落し、セキュリティ評価が不十分となる。
-- 改変履歴の管理がされていないことで信頼性の検証が困難になる。
+- 手動修正による情報の不整合：SBOMに対して後から人手で内容を修正・補完する運用がある場合、元のソフトウェア構成と一致しない内容になってしまうことがある。たとえば、不要なコンポーネント情報を加筆してしまうなど、意図しない改変が混入するリスクがある。
+
+- バージョン管理の未導入による改変履歴の不透明化：SBOMの内容が変更されたとしても、それが記録される仕組み（バージョン管理）がない場合、誰が・いつ・なぜ・どのように内容を変更したのかが追跡できず、意図的な改ざんと単なる更新の区別がつかない。また、過去のSBOMに戻すこともできないため、信頼性が著しく低下する。
+
+- フォーマットの不統一と情報の欠落：複数のツールでSBOMが自動生成された場合に、形式や記述内容の違いから、統合や編集時に依存関係など一部の情報が抜け落ちるリスクがある。これにより、SBOMを基に行うセキュリティ評価が不完全となる恐れがある。
 
 ##### 5.6.3. 改善策
 SBOMの信頼性と改ざん耐性を確保するために、以下の改善策を導入する。