NEWSkillSec — AI Skill のセキュリティを「マルウェア検知」から「能力監査」へSkillSec詳しく見る →
技術解説

SBOM 完全ガイド:フォーマット、規制、そして導入ロードマップ

Sectrend リサーチ·2026.06.21·5 分で読了

SBOM(Software Bill of Materials、ソフトウェア部品表)はソフトウェアの「原材料表示」だ。製品がどのコンポーネントで構成され、どのバージョンで、どこから来て、どのライセンスで配布されているかを列挙する。Log4Shell(CVE-2021-44228)が炸裂した夜、SBOM を持つ組織は「うちはどこで log4j を使っているか」にクエリ一発で答え、持たない組織は 2 週間の人海戦術で答えた。これが SBOM の価値の一文要約である。

3 つの標準フォーマットの選び方

  • SPDX——Linux Foundation 主導、ISO/IEC 5962 として国際標準化済み。ライセンス・コンプライアンス表現力が最も豊かで、オープンソースコンプライアンス業務の事実上の標準。
  • CycloneDX——OWASP 発、2024 年に Ecma 国際標準化。セキュリティ志向の設計で VEX をネイティブサポートし、DevSecOps ツールチェーンとの統合が最も広い。
  • SWID——ISO/IEC 19770-2 のソフトウェア識別タグ。主に資産管理用で、新規プログラムの第一選択にはなりにくい。

実務上の助言:ツールは SPDX と CycloneDX の両方をエクスポートできなければならない。顧客や規制ごとに指名するフォーマットが異なり、フォーマット論争に肩入れする価値はない。内容面では NTIA の 7 つの最小要素——サプライヤー、コンポーネント名、バージョン、一意識別子、依存関係、SBOM 作成者、タイムスタンプ——を最低限カバーすること。

世界中の規制当局が SBOM を求めている

米国:大統領令 14028(2021)が連邦調達に SBOM を持ち込み、FDA は 2023 年以降、SBOM のない通信機能付き医療機器の市販前申請を受理しない。EU:CRA が機械可読 SBOM を法定義務とし、2027 年末に全面適用——CRA タイムラインを参照。中国:中国人民銀行など 5 当局が金融機関にオープンソース利用状況の把握を要求(2021)し、CAICT 主導の SBOM 標準とパイロットが進行中。自動車・医療の調達契約では SBOM 条項がすでに常態化している。

4 ステップの導入パス

ステップ 1:生成。SCA ツールでコードと成果物から SBOM を自動生成する。要となる意思決定は検出深度——マニフェストレベルかスニペットレベルかで、SBOM が「宣言された構成」を記録するのか「実際の構成」を記録するのかが決まる。両者の比較を参照。ソースのない外部納品物とファームウェアはバイナリ成分分析で埋める。

ステップ 2:エンリッチ。裸のインベントリの価値は限定的だ。コンポーネントを脆弱性インテリジェンス(CVE/CNVD/CNNVD/EUVD)とライセンス義務に紐付け、「存在するが悪用不可能」を VEX でマークする——文書が意思決定のインプットに変わる瞬間である。

ステップ 3:納品。顧客・規制が指名するフォーマットでエクスポートし、署名し、リリースごとに SBOM スナップショットをアーカイブする。

ステップ 4:運用。SBOM は生きた文書だ。新しい脆弱性が公開されたとき、「うちは影響を受けるか」への回答は分単位のクエリであるべきで、対策本部の仕事ではない。このステップこそが CleanSource SCA のようなプラットフォームと一回きりの生成スクリプトを分ける境界線である。

SBOM の品質をどう見極めるか

フォーマットが同じでも中身は桁で違う。測定可能な 3 基準——カバレッジの深さ(直接依存のみか推移的依存までか。静的リンク、vendored コード、コピーされたスニペットは見えているか。マニフェスト由来の SBOM は「宣言された構成」の記録であり、実態と大きく乖離しうる)、正確性(名前とバージョンの誤りは下流で増幅する。バージョンが 1 桁違えば脆弱性マッピング全体が歪む)、鮮度(ビルドごとに再生成されているか。陳腐化した目録は、真実が必要な瞬間にこそ偽りの安心を製造する)。

そして VEX と対にすること。SBOM は「どのコンポーネントがあるか」に答え、VEX は「その脆弱性のうちどれが実際に悪用可能か」に答える——not_affected、affected、fixed、under_investigation。VEX なしで SBOM を納品するのは、数千件の CVE トリアージ判断を顧客にそのまま転嫁する行為だ。

最後に 3 つの注意。トップレベルの正確性より先に最大深度を追わないこと。SBOM を手作業で維持しないこと——その鮮度は週単位で失われる。そして規制が自分に届くまで待たないこと——体制構築に要する時間は、コンプライアンス期限が与える時間より長い。

SBOMソフトウェア部品表SPDXCycloneDXオープンソースコンプライアンス

関連記事

ディープダイブ

SBOM はコンプライアンスのチェックリスト以上のものだ

多くのチームは SBOM を「提出する書類」として扱う。だが価値ある SBOM は意思決定を駆動する——どの脆弱性が悪用可能か、どの依存を最初に直すべきか、どのライセンスがリスクを抱えるか。