米国 CISA パブコメ 2025 年ソフトウェア部品表（SBOM）の最小要素

こんにちは、丸山満彦です。

CISAが公表したガイド案は、米国連邦政府機関における SBOM の実装ガイドである2021 年版の国家電気通信情報局（NTIA）の SBOM 最小要素改訂に関するものです...

 

● CISA

・2025.08.22 CISA Requests Public Comment for Updated Guidance on Software Bill of Materials

CISA Requests Public Comment for Updated Guidance on Software Bill of Materials	CISA、ソフトウェア部品表に関する最新ガイダンスについてパブリックコメントを募集
CISA released updated guidance for the Minimum Elements for a Software Bill of Materials (SBOM) for public comment—comment period begins today and concludes on October 3, 2025. These updates build on the 2021 version of the National Telecommunications and Information Administration SBOM Minimum Elements to reflect advancements in tooling and implementation.	CISA は、ソフトウェア部品表（SBOM）の最小要素に関する最新ガイダンスをパブリックコメントのために公開した。コメントの受付期間は、本日より 2025 年 10 月 3 日まで。この更新は、ツールと実装の進歩を反映するため、2021 年版の国家電気通信情報局（NTIA）の SBOM 最小要素に基づいて作成されている。
An SBOM serves as a vital inventory of software components, enabling organizations to identify vulnerabilities, manage dependencies, and mitigate risks. The update refines data fields, automation support, and operational practices to ensure SBOMs are scalable, interoperable, and comprehensive.	SBOMは、ソフトウェアコンポーネントの重要な在庫リストとして機能し、組織が脆弱性を識別し、依存関係を管理し、リスクを緩和するのを支援する。今回の更新では、データフィールド、自動化支援、運用手順を精緻化し、SBOMがスケーラブル、相互運用可能、かつ包括的であることを確保する。
Stakeholders are encouraged to provide feedback via the Federal Register during the public comment period. This feedback will contribute to refining SBOM practices, enabling CISA to release an updated version of the minimum elements.	関係者は、公聴会期間中に連邦官報を通じてフィードバックを提供することを奨励されている。このフィードバックはSBOMの実践を精緻化し、CISAが最小要素の改訂版を公表する際に活用される。

 

 

・2025.08.22 2025 Minimum Elements for a Software Bill of Materials (SBOM)

 

2025 Minimum Elements for a Software Bill of Materials (SBOM)	2025 年ソフトウェア部品表（SBOM）の最小要素
CISA is requesting public comment on its updated guidance on Software Bill of Materials (SBOM) to reflect the current state of maturity in software transparency and supply chain security. Building on the 2021 NTIA SBOM Minimum Elements, this update aims to help agencies and organizations to manage software risk more effectively.	CISA は、ソフトウェアの透明性とサプライチェーンのセキュリティの現在の成熟度を反映するため、ソフトウェア部品表（SBOM）に関する更新されたガイダンスについてパブリックコメントを募集している。2021 年の NTIA SBOM 最小要素を基に、この更新は、政府機関や組織がソフトウェアのリスクをより効果的に管理することを目的としている。
SBOMs provide a detailed inventory of software components, enabling organizations to identify vulnerabilities, assess risk, and make informed decisions about the software they use and deploy. As adoption of SBOMs has grown across the public and private sectors, so too has the need for  machine-processable formats that support scalable implementation and integration into broader cybersecurity practices.	SBOMは、ソフトウェアコンポーネントの詳細な一覧を提供し、組織が脆弱性を識別し、リスクを評価し、使用するソフトウェアに関する情報に基づいた意思決定を行うことを可能にする。公共部門と民間部門でSBOMの採用が拡大するにつれ、スケーラブルな実装と広範なサイバーセキュリティ実践への統合を支援する機械処理可能なフォーマットの必要性も高まっている。
The draft offers the public an opportunity to provide their knowledge to improve the guidance before it is finalized. The public comment period begins today and concludes on October 3, 2025. During the comment period, members of the public are asked to provide comments and feedback via the Federal Register.	このドラフトは、最終化前に一般から知見を提供し、指針の改善に役立てる機会を提供している。パブリックコメント期間は本日より開始され、2025年10月3日に終了する。コメント期間中、一般の方は連邦官報を通じてコメントやフィードバックを提出するよう求められている。

 

・[PDF] 

・[DOCX][PDF] 仮訳

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.08.13 G7 人工知能のためのソフトウェア部品表に関する G7 の共通ビジョン (2025.06.12)

・2025.03.14 シンガポール オープンソースソフトウェアとサードパーティ依存のSBOMとリアルタイム脆弱性監視に関するアドバイザリー (2025.02.20)

・2024.11.25 欧州 サイバーレジリエンス法、官報に掲載　(2024.11.20)

・2024.11.12 インド政府 CERT-In SBOM技術ガイド 第１版 (2024.10.03)

・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183： 製造者及び製品に対するサイバーレジリエンス要件（一般要求事項、SBOM、脆弱性報告）

・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0 (2024.08.29)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保： ソフトウェア部品表の開示に関する推奨事項

・2023.10.13 米国 CISA FBI NSA DOT 運用技術 (OT) および産業制御システム (ICS) におけるオープンソースソフトウェアのセキュリティ向上

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D（初期公開ドラフト）DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.30 日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183：製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引

・2023.07.09 米国 NSA CISA 継続的インテグレーション/継続的デリバリー（CI/CD）環境の防御に関する共同ガイダンス (2023.06.28)

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令