“経産省のSBOM導入手引き Ver2.0”を専門家がわかりやすく解説する
ー 背景と導入のポイント

公開日：2026年6月23日

SBOMはなぜ今、注目されているのか

近年、ソフトウェアサプライチェーンの透明性を高める手段として「SBOM（Software Bill of Materials）」の関心が急速に高まっています。
そのきっかけの一つとなったのが、米国商務省の電気通信情報局（NTIA）が2018年7月から開始した実証活動です。
この取り組みによりSBOMの概念が整理され、実務面での検討が進められました。
さらに、2021年5月にバイデン米大統領が署名した大統領令を契機として、SBOMは国家レベルの重要課題として位置づけられ、世界的な普及が加速しました。
こうした流れは、実際の導入状況にも表れています。Linux Foundationが2021年第3四半期に実施したグローバル調査（412組織対象）では、すでに48%の組織がSBOMを導入していることが明らかになっています。さらに同団体は、各組織の準備状況や導入計画を踏まえ、2022年には78%、2023年には88%に達する可能性があると予測しており、SBOMが標準的な取り組みへと移行しつつあることがうかがえます。
加えて、欧州における法規制の動きも、SBOMの重要性を高めています。2026年9月11日から一部施行されるサイバーレジリエンス法（CRA）では、製品のセキュリティ確保に関する要求が強化され、SBOMに関する対応も実質的に必須となります。
その影響は欧州市場向けに製品を出荷する日本企業にも及び、SBOMはもはや一部の先進企業だけの取り組みではなく、広く対応が求められる「身近な課題」となっています。

SBOM導入の広がりと実務課題への対応

このように、SBOMの認知は着実に広がり、法規制やガイドラインの整備を背景に、実際にSBOMを作成・導入する企業も増加しています。
従来は一部の先進的な企業の取り組みとされていたSBOMですが、現在では多くの企業にとって、対応が必要となりつつあります。

しかしその一方で、SBOM導入には依然としてさまざまな課題があることも指摘されています。例えば、導入範囲の判断、運用負荷の増大、サプライチェーン全体での情報共有の難しさなど、実務における具体的な悩みは少なくありません。こうした状況を踏まえ、中小企業を含むあらゆる企業がSBOMをより効率的に活用できるよう、その指針を整理した「ソフトウェア管理に向けたSBOM導入に関する手引」が改訂されました。
今回の改訂では、単なる概念説明にとどまらず、実務に直結した内容が強化されています。主なポイントは以下の3点です。

(1)脆弱性管理プロセスの具体化

ソフトウェアの脆弱性を管理する一連のプロセスの中で、SBOMをどのように活用すべきかについて、具体的な手順と考え方を整理。

(2)SBOM対応モデルの策定

SBOM導入に伴う効果とコストを踏まえ、どの範囲で導入することが適切かを検討するためのフレームワークを提示。

(3)SBOM取引モデルの提示

委託先やサプライヤーとの契約において、SBOMに関して規定すべき事項（要求事項、責任分担、コスト負担、権利など）を明確化。

これらの改訂内容は、SBOMを「作るだけのもの」から「実際の運用で価値を生み出すもの」へと進化させるための重要な指針と言えます。
今後は、こうした実務的な枠組みを活用しながら、自社の開発・運用プロセスに適合した形でSBOMを取り入れていくことが求められるでしょう。

本コラムでは、改訂のポイントについて記載しました。
次回は、(1)脆弱性管理プロセスの詳細について解説していきます。

著者プロフィール

阪間　基秀

組込／制御ビジネスユニットインダストリー事業本部
インダストリービジネス事業部
データエンジニアリング部第３技術グループ
主任

2006年、富士ソフト入社。モバイル機器の開発、ゲーム機向けのSDK開発を行う。その後、メーカーの研究開発の現場に携わり、主に低遅延伝送技術をテーマに、ルーターのNAT特性解析を自動で行うシステムの開発を経験。
研究開発の成果をPoCや、製品に移行する際、SBOMの生成が必要になり、開発の現場にて、SBOMを手動で作成し、SBOMの必要性を学ぶ。現在は、SBOM管理エンジニアとして、若手の教育とSCAツールの導入支援を中心に活動している。

保有資格：情報処理安全確保支援士

～技術者目線でSBOM徹底解説～

「SBOMは、リリース成果物に含まれるか」

「SBOMをどうやって作るか」

「設計工程から作成した時のSBOMの有用性について」

「SBOMフォーマット詳細解説」

「“経産省のSBOM導入手引き Ver2.0”を専門家がわかりやすく解説する」