「SBOM」国際ガイダンス公開 日本、米国など15カ国が共同署名：SBOMの概要やメリットを整理

米国CISAは、SBOMの概要や重要性をまとめ、各国の共通認識を整理した国際ガイダンスを公開した。日本や米国を含む15カ国が共同署名しており、ソフトウェア開発から運用、調達に関わるステークホルダー、政府機関向けに、SBOMの概要やメリットを明らかにしている。

[＠IT]

　米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は2025年9月3日（米国時間）、「SBOM」（Software Bill of Materials：ソフトウェア部品表）の概要や重要性をまとめ、各国の共通認識を整理した国際ガイダンスを公開した。

　同ガイダンスは、日本と米国が主導し、ドイツ、フランス、イタリア、オランダ、カナダ、オーストラリア、ニュージーランド、インド、シンガポール、韓国、ポーランド、チェコ、スロバキアの計15カ国（19のサイバーセキュリティ機関）が共同署名している。

SBOMの概要と企業が取り組むべき理由を整理

　SBOMとは、ソフトウェアを構成するOSS（オープンソースソフトウェア）や商用ソフトウェアなどのライブラリやモジュールといった構成情報を記録したリストだ。

　あるOSSに脆弱（ぜいじゃく）性が発見された場合、SBOMを活用して、自社製品に影響を及ぼすか否かを迅速に把握できるようになる。加えて、自社製品の構成要素をSBOMを通じて説明可能になることから、ソフトウェアサプライチェーンの透明性向上にもつながる取り組みといえる。

　同ガイダンスでは、SBOMのステークホルダーとなるソフトウェア開発者、調達者、運用者、政府機関向けに、それぞれSBOMをどのように活用すべきか、SBOMの概要や導入のメリットとともに指針を示している。加えて、「セキュア・バイ・デザイン」の原則に基づき、設計・開発段階からセキュリティを組み込むことの重要性を強調している。

　SBOMの普及、相互運用性の向上に向けて、各国が協働して技術的な実装を推進する必要性にも触れており、今後、SBOMの普及に向けた議論、国際的な標準化に向けた動きが加速するとみられる。

　セキュリティインシデントが企業の信頼失墜に直結する今、SBOMの導入はシステムの透明性を高めるだけでなく、システムの安全性を確保していることを証明する手段としても極めて重要だ。IPA（情報処理推進機構）が公開している「SBOM導入・運用の手引き」、あるいは経済産業省が公開している「ソフトウェア管理に向けたSBOMの導入に関する手引ver 2.0」などの各種ガイドラインを参考にしながら、導入に向けた取り組みを検討すべきだろう。