- ホーム
- ニュースリリース
- ニュースリリースアーカイブ
- 2025年度9月一覧
- サイバーセキュリティのためのソフトウェア部品表(SBOM)の共有ビジョンに関する国際ガイダンスに共同署名しました
サイバーセキュリティのためのソフトウェア部品表(SBOM)の共有ビジョンに関する国際ガイダンスに共同署名しました
2025年9月4日
同時発表:内閣官房国家サイバー統括室
内閣官房国家サイバー統括室及び経済産業省は、9月3日、ソフトウェアの脆弱性管理等におけるSBOM(ソフトウェア部品表)の活用の重要性を示す国際ガイダンスである”A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity”(以下「本件文書」という。)に共同署名しました。
本件文書は、経済産業省及び米国サイバーセキュリティ・インフラ安全庁(CISA)の主導により、SBOMの活用の重要性を広く国際的に発信するともに、SBOM運用上の国際共同ガイダンスを整備することを目的として作成したものです。
今後、より技術的な内容を具体化したガイダンスの策定に向けて引き続き国際議論を進める予定です。
1.背景・趣旨
近年、ソフトウェアの脆弱性管理に関し、ソフトウェアの開発組織と利用組織双方の課題を解決する一手法として、「ソフトウェア部品表」とも呼ばれるSBOM(Software Bill of Materials)を用いた管理手法が注目されています。米国サイバーセキュリティ・インフラ安全庁(CISA)等が策定し、内閣官房国家サイバー統括室(当時:内閣官房内閣サイバーセキュリティセンター)も共同署名をしたセキュア・バイ・デザイン(IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていること)の考え方においては、ソフトウェアの製造業者が製品ごとにSBOMを構築・管理し、ユーザーがSBOMを利用できるようにすることが奨励されています。
我が国においても、経済産業省「産業サイバーセキュリティ研究会ワーキンググループ1(実効性強化・国際連携)サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」において、有識者や様々な分野の業界団体関係者を交えながら、SBOMの利活用等について実証や議論を行ってきました。同タスクフォースでの議論も踏まえ、経済産業省では、企業がSBOMを導入するメリットや実際に導入するにあたって実施すべきポイントをまとめた手引書として、2023年7月に「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver1.0」を、2024年8月に「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0」を公表しています。
2024年より、経済産業省及び米国CISAの主導により、SBOMの活用の重要性を広く国際的に発信するとともに、SBOM運用上の国際共同ガイダンスを整備することを目的として、国際的な文書の作成作業を進めてきました。本件文書は、その成果物として、SBOM活用の重要性について各国の共通認識を整理したガイダンスです。
共同署名に参加するのは、日本とアメリカ合衆国のほか、ドイツ連邦共和国、フランス共和国、イタリア共和国、オランダ王国、カナダ、オーストラリア連邦、ニュージーランド、インド共和国、シンガポール共和国、大韓民国、ポーランド共和国、チェコ共和国及びスロバキア共和国の計15か国のサイバーセキュリティ当局等です。日本からは、内閣官房国家サイバー統括室及び経済産業省が共同署名に参加しました。
2.本件文書の概要
本件文書は、SBOMデータの透明性を高めることでソフトウェアのエコシステムから恩恵を受けるソフトウェアの開発者、調達者、運用者、サイバーセキュリティ部門の政府機関を想定読者とし、以下の内容を盛り込んでいます。
(1)SBOMとは何か
SBOMとは、ソフトウェアの構築に使用される、構成要素の詳細及びサプライチェーン関係についての正式な記録である。
(2)SBOM導入のメリット
- ソフトウェアにおける脆弱性管理の効率化
- サプライチェーンリスク管理(安全なソフトウェアの選択/ユーザー・サプライヤーの円滑なコミュニケーション)
- ソフトウェア開発プロセスの改善
- ソフトウェアライセンス管理の効率化
(3)SBOMにおけるステークホルダーとその影響
- ソフトウェア開発者:ニーズに最適な構成要素の選択/脆弱性情報への適切な対応が可能になる。
- 調達者:ソフトウェア情報の透明化により、リスク情報に基づいた調達の決定が可能になる。
- 運用者:新しい脆弱性情報について、どのソフトウェアに対処するべきか、より容易な判断が可能になる。
- 政府機関:調達プロセスでの活用等を通じた国全体でのセキュリティリスク体制の改善が可能になる。
(4)セキュア・バイ・デザインにおけるSBOMの重要性
- SBOMの活用は、ソフトウェアの製造者・開発者がサプライチェーンの透明性を確保するとともに、説明責任を受け入れるというセキュア・バイ・デザイン原則に合致するものである。
3.今後の予定
本件文書はSBOM活用の重要性について各国の共通認識を整理した簡単なガイダンスであり、次いで、より技術的な内容を具体化したガイダンスの策定に向けて、引き続き国際議論を進める予定です。
関連資料
※ 日本語仮訳は追って公表予定です。
関連リンク
- 共同署名リーダシップコメント(米国サイバーセキュリティ・インフラ安全庁(CISA))
- ソフトウェア管理に向けたSBOM導入に関する手引
- サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース
- サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました(2024年8月29日)
- 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました(2023年7月28日)
担当
商務情報政策局 サイバーセキュリティ課長 武尾
担当者:北島、大久保、関戸、木村
電話:03-3501-1511(内線 3964)
メール:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。
ダウンロード(Adobeサイトへ)