サプライチェーン攻撃の脅威とSBOMの登場

ソフトウェアサプライチェーン攻撃は、現代のサイバーセキュリティにおける最も深刻な脅威の一つとなっている。2020年のSolarWinds事件、2021年のLog4Shell脆弱性は、単一のコンポーネントの問題が数万の組織に連鎖的な被害をもたらすことを実証した。オープンソースソフトウェア(OSS)への依存度が高まるなか、自組織が利用するソフトウェアの構成要素を正確に把握することは、もはや任意ではなく必須の課題である。

こうした背景から注目を集めているのが、SBOM(Software Bill of Materials)である。SBOMとは、ソフトウェア製品に含まれるすべてのコンポーネント、ライブラリ、依存関係を機械可読な形式で一覧化したものである。医薬品における成分表示や食品における原材料表示と同様に、ソフトウェアの「部品表」として機能し、脆弱性管理とインシデント対応の基盤となる。SBOMの整備により、既知の脆弱性が自組織のシステムに影響するか否かを迅速に判定できるようになる。

規制の国際潮流──米国・EU・日本の動向

SBOM義務化の流れを決定づけたのは、2021年5月に発令された米国大統領令14028(Executive Order 14028)である。同令は連邦政府機関に納入されるソフトウェアに対してSBOMの提出を求め、サプライチェーン透明性を国家安全保障の文脈に位置づけた。2025年にはCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)がSBOMの最低要素を更新し、必須メタデータの範囲を拡大している。

欧州では、EU Cyber Resilience Act(CRA)が2024年12月に発効し、2026年後半から全面適用される予定である。CRAはデジタル製品全般にSBOMの作成・維持を義務づけるもので、その影響範囲は米国の連邦調達を超えて広範である。ENISAはSBOM実務に関するドラフトレポートを公開しており、最終版は2026年第2四半期に公表される見通しである。

国際的な連携も加速している。CISAとNSAは19の国際パートナーとともにSBOMに関する共同ガイダンスを公表した。この取り組みにはオーストラリア、カナダ、フランス、ドイツ、インド、日本、韓国が参加しており、SBOMの標準化と普及が多国間の協調課題として認識されている。日本においても経済産業省がSBOM導入手引書を公開するなど、制度整備が進行中である。

SBOMの現実──理想と実装のギャップ

しかし、SBOMの義務化が進む一方で、その実効性には重大な課題が存在する。Chainguard CEOのDan Lorenc氏は、大多数の企業がSBOMをビルドプロセスの最終ステップとして生成しており、その結果として不正確なSBOMが量産されていると指摘している。ビルド後に生成されたSBOMは、実際にバイナリに含まれるコンポーネントと乖離する可能性があり、セキュリティ上の判断を誤らせるリスクがある。

さらに深刻な問題は、上流のOSSプロジェクト自体がSBOMを生成していないケースが多いことである。企業が自社製品のSBOMを作成しようとしても、依存するOSSコンポーネントの情報が不完全であれば、結果として生成されるSBOMも不完全なものとなる。この「SBOM格差」は、サプライチェーン全体の透明性を損なう構造的問題である。SBOMの品質向上には、エコシステム全体での取り組みが不可欠である。

主要ツールと技術標準の最前線

SBOMの機械可読フォーマットとしては、Linux FoundationのSPDXとOWASPのCycloneDXが事実上の標準となっている。2025年10月にリリースされたCycloneDX 1.7は、従来のソフトウェア部品表に加え、HBOM(ハードウェア部品表)、ML-BOM(機械学習部品表)、CBOM(暗号部品表)への対応を実現した。これにより、SBOMの概念はソフトウェアの枠を超えて拡張されつつある。

SBOM管理ツールの市場も急速に成熟している。Chainguardはセキュアなコンテナイメージとビルド時SBOM生成に特化し、AnchorはSBOM分析とポリシー管理を提供する。Semgrep Supply ChainやXygeni、JFrog Xrayといったツールも依存関係の可視化と脆弱性管理を支援している。特にSemgrepのリーチャビリティ分析は、依存関係の脆弱性のうち実際に攻略可能なものはわずか約2%に過ぎないことを示しており、脆弱性の優先順位付けに重要な知見を提供する。

SBOMの補完技術として注目されるのがVEX(Vulnerability Exploitability eXchange)である。VEXは特定の脆弱性が当該製品において実際に悪用可能かどうかを示す情報を提供し、SBOMに記載された脆弱性のトリアージを効率化する。SBOMとVEXの組み合わせにより、「脆弱性が存在するか」だけでなく「脆弱性が影響するか」という実質的な判断が可能となる。

2026年以降の展望──義務化がもたらす変化

2026年はSBOM義務化の実質的な転換点となる。EU CRAの全面適用により、欧州市場に製品を投入するすべてのベンダーがSBOMの作成・維持を求められるようになる。ENISAの最終レポート公表も相まって、欧州における実務基準が明確化される見込みである。米国においても、CISAの更新されたガイダンスに基づき、連邦調達におけるSBOM要件はさらに厳格化されると予想される。

しかし、義務化それ自体は手段であり目的ではない。形式的なSBOM提出がコンプライアンスの儀式に堕する可能性は十分にある。真に実効性のあるサプライチェーンセキュリティを実現するには、SBOMの品質保証メカニズム、VEXとの統合、リーチャビリティ分析の普及、そしてOSSエコシステム全体でのSBOM生成の標準化が不可欠である。技術と制度の両面において、2026年以降の動向を注視する必要がある。

FAQ

SBOMとは何か?

ソフトウェアを構成するすべてのコンポーネントや依存関係を機械可読形式で一覧化した「部品表」であり、脆弱性管理の基盤となるものである。

SBOMのフォーマットにはどのような種類があるか?

主要な機械可読フォーマットとしてLinux FoundationのSPDXとOWASPのCycloneDXがあり、いずれも国際的に広く採用されている。

日本企業はSBOM対応が必要か?

EU CRAの域外適用や米国連邦調達要件により、海外市場に展開する日本企業は事実上の対応が求められる状況にある。

VEXとは何か?SBOMとどう異なるのか?

VEXは脆弱性が当該製品で実際に悪用可能かを示す補完情報であり、SBOMの脆弱性情報をトリアージするために使用される。

SBOM生成における最大の課題は何か?

ビルド最終段階での生成による不正確さと、上流OSSプロジェクトのSBOM未整備による情報の不完全さが主要な課題である。

参考文献

  1. The White House, "Executive Order on Improving the Nation's Cybersecurity (EO 14028)," May 2021.
  2. CISA, "Software Bill of Materials (SBOM)," 2025 Updated Minimum Elements.
  3. European Commission, "Cyber Resilience Act (CRA)," December 2024.
  4. CISA, NSA, and International Partners, "Securing the Software Supply Chain," Joint Guidance, 2025.
  5. ENISA, "SBOM Practices in the EU – Draft Report," 2025.
  6. OWASP, "CycloneDX 1.7 Specification," October 2025.
  7. Semgrep, "Semgrep Supply Chain – Reachability Analysis," 2025.
  8. 経済産業省, 「ソフトウェア管理に向けたSBOMの導入に関する手引」, 2024年改訂版.