2025年のSBOM(ソフトウェア部品表)を取り巻く状況は、大きな進展と深刻な混乱が背中合わせとなった激動の1年でした。
1. 米国:新基準「CISA 2025 Minimum Elements for a Software Bill of Materials (SBOM)」の発表と政治的停滞
昨今のSBOM議論を牽引してきた米国で、大きな動きがありました。NTIA の SBOM 最小構成要素(Minimum Elements)をアップデートする形で、CISA 2025 Minimum Elements for a SBOM が Open Source Summit Europe で発表されたのです。
発表直後からパブリックコメントが募集され、コミュニティからは 実効性や詳細な定義について膨大な質問・改善案が寄せられました。 しかし、パブリックコメント期間終了後、米国政府機関の予算執行停止などの政治的混乱が発生。現時点でも当局からの正式な回答や修正版の公開が停滞したまま年を越そうとしており、企業の対応準備に不透明感が漂っています。
2. 「仕様の乱立」がサプライヤーを圧迫
現在、世界中でSBOMに関するガイドラインが爆発的に増えています。
- 地域別: 米国(NTIA/CISA)、欧州(CRA/ETSI)、ドイツ(BSI)、さらにはインド、韓国、日本、中国 など
- 産業別: 通信(Telco)、医療(Medical)、自動車(Automotive)など
垂直統合された産業別の規制は特定業界には分かりやすい反面、サプライチェーンの中間に位置するサプライヤーは、「納品先ごとに少しずつ異なるルール」への対応を強いられています。この「多重規制」への対応コストは、現場の大きな負担となる可能性があります。
一方で地域別の規制も同様に、その地域内では分かりやすい反面、現在の世界中に広がるサプライチェーンを考えた場合、その対応にかかる負担は決して小さくありません。
3. ツール実装の遅れと「互換性」の壁
ルールが多すぎて、ツールの開発側も「何に準拠すべきか」の判断に苦慮しています。
結果として、ルールが明確なものから順次実装が進んでいますが、統一的な表記方法が確立されていないため、ツール間で出力結果がバラバラになる現象が起きています。
- SBOMに記載されている内容がまちまちであり、その正しさの検証が困難
- 異なるフォーマット間やツール間における互換性が不十分
「とりあえず書き出せる」段階から「正しく相互運用できる」段階への移行に、大きな課題を抱えています。
4. サプライチェーンの温度差:欧州CRA vs アジアの中小企業
欧州の サイバーレジリエンス法(CRA) の施行がいよいよ再来年に迫り、欧州企業は必死にシステム実装を進めています。
一方で、アジアを中心とした中小企業では、国内ビジネスが中心であることもあり、CRAへの危機感がまだ高くありません。これらアジア圏を中心とする企業にとって、「なぜSBOMを作る必要があるのか」というインセンティブが欠如している点も課題です。グローバル企業が対応を急ごうとしても、サプライチェーンの下流までその歩調が揃わない「供給網の断絶」が顕在化しつつあります。
資料が公開されていませんが、Open Compliance Summit 2025にて、SBOM Adoption in SMEs というセッションが行われました。現在のアジア圏の状況を良く表していましたので、もし資料が公開されたら読んでみてください。
5. 解決への一歩:OpenChain SBOM WGのガイドブック
こうした混沌とした状況を打破するため、OpenChainプロジェクトのSBOM Working Group が、2025年に活動を開始しました。
現在、サプライチェーン上の各エンティティ間で「具体的にどのような情報を取り交わすべきか」、そして「法制化に対応するために、実務上どのようなJSONファイルを作成すれば良いのか」という実践的な実例を集めたガイドブックを策定しています。
今年度中の発行を目指し、現在活発な議論が行われています。理論だけでなく「実例」に基づいたガイドであるため、実務担当者にとっての「正解」を示す道標となるはずです。ご興味のある方は是非ご参加ください。
それでは皆様、良いクリスマス、年末をお過ごしください。