こんにちは。SBOMスペシャリストの渡邊です。職業柄、お客さまのSBOMに関するご相談をうかがう機会が多いのですが、SBOMようわからん!という方の多くが「最小要素」「フォーマット」あたりで躓いていらっしゃる気がいたします。LF Japan Community Days2日目のSBOMフォーマットのセッションでは、持ち時間の関係上あまり詳しいお話をすることができなかったので、今日は補足を交えつつ、当日お話しした内容を振り返ってみます。
SBOM Minimum Elements by NTIA(2021年)
これまで「SBOMの基本」のような形で引用することが多かったのが、2021年7月に米国National Telecommunications and Information Administration (NTIA)から発行されたThe Minimum Elements For a Software Bill of Materials (SBOM)というドキュメントです。これは、2021年5月に署名された米国大統領令(EO #14028)に呼応する形で公開されたもので、this report defines the scope of how to think about minimum elements, describes SBOM use cases for greater transparency in the software supply chain, and lays out options for future evolution.(このレポートは、最小要素の考え方の範囲を定義し、ソフトウェアサプライチェーンの透明性向上のためのSBOMのユースケースを説明し、将来の発展のための選択肢を提示しています。)という説明のとおり、脆弱性の管理、ソフトウェア・インベントリ、ライセンス管理などの基本的なユースケースを可能にする最小限の要素について説明しています。
SBOMの要素についてはData Fieldとして、Supplier Name, Component Name, Version of the Component, Other Unique Identifiers, Dependency Relationship, Author of SBOM Data, Timestampの7項目が挙げられており、OSSのライセンス情報はRecommended Data Fields(追加項目)のひとつとして言及されています。
SBOMファイルのフォーマット(記述ルール)については、Automation Supportの中でSupport automation, including via automatic generation and machine-readability to allow for scaling across the software ecosystem. Data formats used to generate and consume SBOMs include SPDX, CycloneDX, and SWID tags.(自動生成や機械可読性を通じた自動化をサポートし、ソフトウェアエコシステム全体でのスケーリングを可能にします。SBOMの生成および消費に使用されるデータ形式には、SPDX、CycloneDX、SWIDタグが含まれます。)と述べられています。
SBOM Minimum Elements by CISA(2025年)
で、今年8月に米国Cybersecurity and Infrastructure Security Agency (CISA)から発表されたのが、2025 Minimum Elements for a Software Bill of Materials (SBOM)という文書(のドラフト)です。2025年10月3日までパブリックコメントを受け付けており、その後年内に正式発行されるとうかがっていたのですが、色々あってまだリリースされていない状況で、もちろん内容が変わる可能性があります(原稿を書いている今日から公開日までの間に事態が進行するかどうか、ドキドキ)。
2021年版との内容の差分はわりとありまして、例えばData Fieldの変更点は以下のとおりです。
2025年版Minimum Elementsのポイント!
ここでは、私が個人的に重要だと捉えているポイントをいくつかご紹介します。
必須項目の追加
2025年版では、新しい必須項目として、Component Hash、License、Tool Name、Generation Contextの4種類が追加されました。ライセンスやハッシュ値、ライフサイクルフェーズについては2021年版でもRecommended Data Fieldsとして挙げられていましたし、SBOMの活用やサプライチェーンの透明性の観点で重要な情報ですので、これまでも活用されていた方は多いと思います。ツール名(SBOM生成者がSBOMを生成するために使用したツールの名前)は・・・コメント難しいですね。
(推奨)ファイルフォーマットの変更
ファイルフォーマットに関しては、SWIDが対象外となり、SPDXとCycloneDXの2種が残りましたが、SBOM情報を記述するにあたりSWIDを用いる方はあまり多くなかった印象ですので、この変更はあまり実務には影響はない気がします。それよりも、However, agencies should avoid accepting SBOMs for new software generated in deprecated versions of any format to maintain compatibility with SBOM consumption and management tools.(ただし、SBOMの消費および管理ツールとの互換性を維持するため、各機関は、廃止されたバージョンの形式で生成された新規ソフトウェアのSBOMを受け入れることは避けるべきである。)という説明が加わったことのほうがインパクトが大きいです。ファイルフォーマットのバージョンを固定して運用している(特に古めのバージョンをまだ使っている)方々にとっては、注意するべきポイントです。
依存関係の把握
「依存関係どこまで頑張る問題」について、2021年版ではDepthという用語が用いられていた、いわゆる「範囲」の議論では、2025年版ではCoverageという用語が使われるようになりました(タテヨコのニュアンスですかね)。また、An SBOM should include information for all components that make up the target software, including transitive dependencies. There is no minimum depth. (SBOMには、対象ソフトウェアを構成するすべてのコンポーネント(推移的依存関係を含む)に関する情報を含める必要があります。最小深度はありません。)と具体的に言及されており、ハードルは高めです。
将来的な更新の可能性の示唆
また、「更新され得る」ということが明確になったというのも、重要なポイントです。Executive Summaryに下記のような文章があります。SBOM implementation practices have advanced significantly since the 2021 document was published. Increased adoption and implementation from stakeholders across the software ecosystem has uncovered new use cases and applications for SBOM data. SBOM tooling, in response to the increased adoption and implementation of SBOM, has matured far beyond the capabilities and functionalities of tools available in 2021. These advancements allow organizations requesting SBOMs to demand more information about their software components and supply chain than they could have in 2021.(SBOMの実装手法は、2021年の文書公開以降、著しく進歩しました。ソフトウェアエコシステム全体のステークホルダーによる採用と実装の増加により、SBOMデータの新たなユースケースや応用分野が明らかになりました。SBOMの採用と実装の増加に対応し、SBOMツールは2021年に利用可能だったツールの能力や機能をはるかに超えて成熟しています。これらの進歩により、SBOMを要求する組織は、2021年時点では得られなかったソフトウェアコンポーネントやサプライチェーンに関するより詳細な情報を求めることが可能になりました。)
要は、市場が成熟し、皆さんのレベルも上がってきたので、要求レベルを上げますよ、ということです。必ずそうなるということではありませんが、この先、何年か後にまたMinimum Elementsが更新される可能性がある、そのためには今回の2025年版にもタイムリーに追従していかないと、というスタンスで受け取るべきもの、と個人的には捉えています。一緒に頑張りましょう。(パブコメを経て、正式リリースの内容が大きく変わったら、この投稿も修正しますね)