はじめに
内閣官房国家サイバー統括室からSBOMについて以下のような発表がありました。
サイバーセキュリティのためのソフトウェア部品表(SBOM)の共有ビジョンに関する国際ガイダンスに共同署名しました
内閣官房国家サイバー統括室及び経済産業省は、9月3日、ソフトウェアの脆弱性管理等におけるSBOM(ソフトウェア部品表)の活用の重要性を示す国際ガイダンスである”A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity”(以下「本件文書」という。)に共同署名しました。
本件文書は、経済産業省及び米国サイバーセキュリティ・インフラ安全庁(CISA)の主導により、SBOMの活用の重要性を広く国際的に発信するともに、SBOM運用上の国際共同ガイダンスを整備することを目的として作成したものです。
今後、より技術的な内容を具体化したガイダンスの策定に向けて引き続き国際議論を進める予定です。
今後、SBOMを使用する組織が増加するかも?
SBOMを出力してみた!
SBOMを出力するツールは色々あるがGithubでSBOMを出力してみました。
出力したリポジトリ: https://github.com/soukadao/hello-typescript
{
"spdxVersion": "SPDX-2.3",
"dataLicense": "CC0-1.0",
"SPDXID": "SPDXRef-DOCUMENT",
"name": "com.github.soukadao/hello-typescript",
"documentNamespace": "https://spdx.org/spdxdocs/protobom/b3d422a2-6b54-4f19-9cbe-6b842d9b16cf",
"creationInfo": {
"creators": [
"Tool: protobom-v0.0.0-20250902230112-3b6330baf42b+dirty",
"Tool: GitHub.com-Dependency-Graph"
],
"created": "2025-09-05T09:10:11Z"
},
"packages": [
{
"name": "@types/node",
"SPDXID": "SPDXRef-npm-types-node-24.3.1-d1eecb",
"versionInfo": "24.3.1",
"downloadLocation": "NOASSERTION",
"filesAnalyzed": false,
"licenseConcluded": "MIT",
"copyrightText": "Copyright (c) Microsoft Corporation, Copyright Node.js contributors",
"externalRefs": [
{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:npm/%40types/node@24.3.1"
}
]
},
{
"name": "undici-types",
"SPDXID": "SPDXRef-npm-undici-types-7.10.0-f3728c",
"versionInfo": "7.10.0",
"downloadLocation": "NOASSERTION",
"filesAnalyzed": false,
"licenseConcluded": "MIT",
"copyrightText": "Copyright (c) Matteo Collina and Undici contributors",
"externalRefs": [
{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:npm/undici-types@7.10.0"
}
]
},
{
"name": "typescript",
"SPDXID": "SPDXRef-npm-typescript-5.9.2-63791a",
"versionInfo": "5.9.2",
"downloadLocation": "NOASSERTION",
"filesAnalyzed": false,
"licenseConcluded": "Apache-2.0",
"copyrightText": "(c) by W3C, Copyright (c) 1991-2017 Unicode, Inc., Copyright (c) 2018 The Khronos Group Inc., Copyright (c) 2018 WHATWG, Copyright (c) Microsoft Corporation, Copyright (c) YEAR W3C(r) (MIT, ERCIM, Keio, Beihang) Disclaimers",
"externalRefs": [
{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:npm/typescript@5.9.2"
}
]
},
{
"name": "com.github.soukadao/hello-typescript",
"SPDXID": "SPDXRef-github-soukadao-hello-typescript-main-dd27ef",
"versionInfo": "main",
"downloadLocation": "git+https://github.com/soukadao/hello-typescript",
"filesAnalyzed": false,
"externalRefs": [
{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:github/soukadao/hello-typescript@main"
}
]
}
],
"relationships": [
{
"spdxElementId": "SPDXRef-npm-types-node-24.3.1-d1eecb",
"relatedSpdxElement": "SPDXRef-npm-undici-types-7.10.0-f3728c",
"relationshipType": "DEPENDS_ON"
},
{
"spdxElementId": "SPDXRef-github-soukadao-hello-typescript-main-dd27ef",
"relatedSpdxElement": "SPDXRef-npm-types-node-24.3.1-d1eecb",
"relationshipType": "DEPENDS_ON"
},
{
"spdxElementId": "SPDXRef-github-soukadao-hello-typescript-main-dd27ef",
"relatedSpdxElement": "SPDXRef-npm-typescript-5.9.2-63791a",
"relationshipType": "DEPENDS_ON"
},
{
"spdxElementId": "SPDXRef-DOCUMENT",
"relatedSpdxElement": "SPDXRef-github-soukadao-hello-typescript-main-dd27ef",
"relationshipType": "DESCRIBES"
}
]
}