ドイツ 情報セキュリティ庁 BSI TR-03183: 製造事業者および製品に対するサイバーレジリエンス要件 第2部：ソフトウェア部品表 (SBOM), 第3部：脆弱性報告および通知 (2025.09)

こんにちは、丸山満彦です。

ドイツの情報セキュリティ庁 (BSI) が技術ガイドラインである、TR-03183: 製造事業者および製品に対するサイバーレジリエンス要件の

• 第2部：ソフトウェア部品表 (SBOM)
• 第3部：脆弱性報告および通知

を更新していますね...

 

第2部：ソフトウェア部品表 (SBOM)の更新 (2.0 → 2.1) は、マイナーな更新

• 「用語」「ライセンス情報」「データフィールド」「説明」に定義と更新を追加；「データフィールド」を再構成
• CycloneDXの最低バージョン要件を1.5から1.6に更新、SPDXの最低バージョン要件を2.2.1から3.0.1に更新
• 論理コンポーネントと識別済みコンポーネントを導入・定義、BOM参照の使用方法を明確化
• 「個別データフィールドのマッピング」セクションを追加

 

第3部：脆弱性報告および通知は確定 (0.9 → 1.0) ですね...

 

● Bundesamt für Sicherheit in der Informationstechnik; BSI

・2025.09.03 BSI TR-03183-2: Cyber Resilience Requirements for Manufacturers and Products - Part 2: Software Bill of Materials (SBOM) Version 2.1.0

BSI TR-03183-2: Cyber Resilience Requirements for Manufacturers and Products - Part 2: Software Bill of Materials (SBOM) Version 2.1.0

BSI TR-03183-2: 製造事業者及び製品に対するサイバーレジリエンス要件 - 第2部: ソフトウェア部品表（SBOM）第2.1.0版

This Technical Guideline describes the requirements for a “Software Bill of Materials (SBOM)”. An SBOM is a machine-processable document and corresponds to an electronic bill of materials / parts list. It inventories a code base and thus contains information on all components used in a software. This information can be presented in different breadth and depths - ranging from a basic structure to a fine-granular breakdown of software products

この技術ガイドラインは、「ソフトウェア部品表（SBOM）」の要件を説明する。SBOMは機械処理可能な文書であり、電子部品表／部品リストに相当する。コードベースを一覧化し、ソフトウェアで使用される全コンポーネントに関する情報を含む。この情報は、基本構造からソフトウェア製品の細粒度分解に至るまで、異なる広さと深さで提示できる。

 

・[PDF]

・[DOCX][PDF] 仮訳

 

目次...

1 Introduction	1 序論
2 Requirements language	2 要件の表現方法
3 Basics	3 基本事項
3.1 Definition of SBOM	3.1 SBOMの定義
3.2 Terms used	3.2 使用用語
3.2.1 Component	3.2.1 コンポーネント
3.2.2 Logical component	3.2.2 論理コンポーネント
3.2.3 External component	3.2.3 外部コンポーネント
3.2.4 Identified component (without referencing another BOM)	3.2.4 識別されたコンポーネント（他のBOMを参照しない場合）
3.2.5 Component referenced by another BOM (referenced component)	3.2.5 他のBOMで参照されるコンポーネント（参照コンポーネント）
3.2.6 Executable file	3.2.6 実行可能ファイル
3.2.7 Dependency	3.2.7 依存関係
3.2.8 Licence information	3.2.8 ライセンス情報
3.2.9 Vendor/Supplier vs. creator	3.2.9 ベンダー/サプライヤーと作成者の区別
4 SBOM formats	4 SBOMフォーマット
5 Content requirements	5 内容要件
5.1 Level of detail	5.1 詳細レベル
5.2 Data fields	5.2 データフィールド
5.2.1 Required data fields for the SBOM itself	5.2.1 SBOM自体に必要な必須データフィールド
5.2.2 Required data fields for each component	5.2.2 各コンポーネントに必要なデータフィールド
5.2.3 Additional data fields for the SBOM itself	5.2.3 SBOM自体に関する追加データフィールド
5.2.4 Additional data fields for each component	5.2.4 各コンポーネントに対する追加データフィールド
5.2.5 Optional data fields for each component	5.2.5 各コンポーネントのオプションデータフィールド
6 Express specifications	6 表現仕様
6.1 Licence identifiers and expressions	6.1 ライセンス識別子と表現
7 Transitional system	7 移行システム
8 Appendix	8 附属書
8.1 Explanations	8.1 説明
8.1.1 Machine-processable	8.1.1 機械処理可能
8.1.2 Component	8.1.2 コンポーネント
8.1.3 Logical component	8.1.3 論理コンポーネント
8.1.4 Executable property	8.1.4 実行可能プロパティ
8.1.5 Archive property	8.1.5 アーカイブプロパティ
8.1.6 Structured property	8.1.6 構造化プロパティ
8.1.7 Examples for executable, archive and structured property	8.1.7 実行可能、アーカイブ、構造化プロパティの例
8.1.8 Component creator	8.1.8 コンポーネント作成者
8.1.9 Component version	8.1.9 コンポーネントのバージョン
8.1.10 Relationship between URI, IRI and Punycode	8.1.10 URI、IRI、Punycode の関係
8.1.11 Scope of delivery	8.1.11 納入範囲
8.1.12 Path to component	8.1.12 コンポーネントへのパス
8.1.13 Licence information	8.1.13 ライセンス情報
8.1.14 Vulnerability information	8.1.14 脆弱性情報
8.1.15 Digital signature	8.1.15 デジタル署名
8.1.16 References to another BOM	8.1.16 他のBOMへの参照
8.2 Mapping of the individual data fields	8.2 個々のデータフィールドのマッピング
8.3 Level of detail of an SBOM	8.3 SBOMの詳細レベル
8.3.1 Top-level SBOM	8.3.1 トップレベルSBOM
8.3.2 n-level SBOM	8.3.2 n階層SBOM
8.3.3 Transitive SBOM	8.3.3 推移的SBOM
8.3.4 Delivery item SBOM	8.3.4 納入品目SBOM
8.3.5 Complete SBOM	8.3.5 完全なSBOM
8.4 SBOM classification	8.4 SBOMの分類
8.4.1 Design SBOM	8.4.1 設計SBOM
8.4.2 Source SBOM	8.4.2 ソースSBOM
8.4.3 Build SBOM	8.4.3 ビルドSBOM
8.4.4 Analysed SBOM	8.4.4 解析済みSBOM
8.4.5 Deployed SBOM	8.4.5 展開済みSBOM
8.4.6 Runtime SBOM	8.4.6 ランタイムSBOM
8.5 Further information	8.5 詳細情報
8.5.1 Information from the NTIA	8.5.1 NTIAからの情報
8.5.2 Information from CISA	8.5.2 CISAからの情報
8.5.3 Information from CycloneDX	8.5.3 CycloneDXからの情報
8.5.4 Information from SPDX	8.5.4 SPDXからの情報

 

 

---

 

・2025.09.04 BSI TR-03183-3: Cyber Resilience Requirements for Manufacturers and Products - Part 3: Vulnerability Reports and Notifications Version 1.0.0

 

BSI TR-03183-3: Cyber Resilience Requirements for Manufacturers and Products - Part 3: Vulnerability Reports and Notifications Version 1.0.0

BSI TR-03183-3: 製造事業者および製品に対するサイバーレジリエンス要件 - 第3部: 脆弱性報告および通知 第1.0.0版

Vulnerabilities have an impact on security and probably even safety of products, their users, and the environment. However, vulnerabilities cannot be avoided when developing software and hardware. The more complex a system is and the more dependencies it includes, the more frequently vulnerabilities will occur. Moreover, hardly ever all vulnerabilities are discovered before a product is placed on the market, even after intensive testing. Therefore, a vulnerability handling process is necessary before and during the time for each product in use. As such, this process requires at least the creation, release, secure distribution, and installation of updates or the implementation of other mitigation measures for affected products.

脆弱性は製品のセキュリティ、さらには安全性、ユーザー、環境に影響を及ぼす。しかしソフトウェアやハードウェアの開発において脆弱性を完全に回避することは不可能である。システムが複雑で依存関係が多いほど、脆弱性は頻繁に発生する。さらに、製品が上市する前に、徹底的なテストを経ても、すべての脆弱性が発見されることはまずない。したがって、各製品が使用されている期間の前と最中に、脆弱性対応プロセスが必要となる。このプロセスには、少なくとも、影響を受ける製品向けの更新プログラムの作成、リリース、安全な配布、インストール、またはその他の緩和策の実施が求められる。

 

・[PDF]

・[DOCX][PDF] 仮訳

 

目次...

1 Introduction	1 序論
2 Requirements Language	2 要件言語
3 Basics	3 基本事項
3.1 Terms used	3.1 使用用語
3.1.1 Manufacturer	3.1.1 製造事業者
3.1.2 Vulnerability	3.1.2 脆弱性
3.1.3 Valid, validated, verified and actively exploited vulnerability	3.1.3 有効、妥当性確認済み、確認済み、および積極的に悪用されている脆弱性
3.1.4 Vulnerability notification	3.1.4 脆弱性通知
3.1.5 Security advisory	3.1.5 セキュリティアドバイザリ
3.1.6 Vulnerability Report	3.1.6 脆弱性レポート
3.1.7 Corresponding national CSIRT	3.1.7 対応する国内CSIRT
3.1.8 Anonymous reporting option	3.1.8 匿名報告オプション
4 Cybersecurity requirements for receiving vulnerability reports	4 脆弱性報告の受領に関するサイバーセキュリティ要件
4.1 Website of the manufacturer	4.1 製造事業者のウェブサイト
4.1.1 General	4.1.1 概要
4.2 Security.txt file in accordance with RFC 9116	4.2 RFC 9116に準拠したSecurity.txtファイル
4.2.1 Localisation of security.txt	4.2.1 security.txt の配置場所
4.2.2 Canonical URI	4.2.2 正規URI
4.2.3 Contact information	4.2.3 連絡先情報
4.2.4 OpenPGP keys	4.2.4 OpenPGP 鍵
4.2.5 Acknowledgements	4.2.5 謝辞
4.2.6 Preferred languages	4.2.6 優先言語
4.2.7 CVD policy	4.2.7 CVD ポリシー
4.2.8 Security advisories	4.2.8 セキュリティ勧告
4.2.9 Expiry date	4.2.9 有効期限
4.2.10 Digital signature	4.2.10 デジタル署名
4.2.11 Visibility for web crawlers	4.2.11 ウェブクローラーの可視性
4.3 Preliminary measures for a CVD process	4.3 CVDプロセスの事前措置
4.3.1 Roles of responsible cybersecurity contacts	4.3.1 責任あるサイバーセキュリティ連絡担当者の役割
4.3.2 Providing encryption options of security contacts	4.3.2 セキュリティ連絡先の暗号化オプションのプロバイダ
4.3.3 Web form for vulnerability reports	4.3.3 脆弱性報告用ウェブフォーム
4.3.4 Web page for incoming vulnerability reports	4.3.4 脆弱性報告受付用ウェブページ
4.4 CVD policy	4.4 CVDポリシー
4.4.1 General	4.4.1 概要
4.4.2 Corresponding national CSIRT	4.4.2 対応する国内CSIRT
4.4.3 Contact details	4.4.3 連絡先詳細
4.4.4 Assurances of the manufacturer to the reporting entity	4.4.4 報告事業体に対する製造事業者の保証
4.4.5 Vulnerability guideline	4.4.5 脆弱性ガイドライン
4.4.6 Code of conduct for the reporting entity	4.4.6 報告事業体のための行動規範
4.4.7 Good communication	4.4.7 良好なコミュニケーション
4.4.8 Guaranteed response times	4.4.8 保証された応答時間
4.4.9 Anonymous reporting option	4.4.9 匿名報告オプション
4.4.10 Vulnerability disclosure	4.4.10 脆弱性の開示
4.4.11 End of CVD process	4.4.11 CVDプロセスの終了
4.5 Web page for incoming vulnerability reports	4.5 脆弱性報告受付用ウェブページ
4.5.1 General	4.5.1 概要
4.5.2 Publication of the CVD policy	4.5.2 CVDポリシーの公開
4.5.3 Publication of contact options	4.5.3 連絡先オプションの公開
5. Annex	5. 附属書
5.1 Further information	5.1 追加情報
5.1.1 “Handhabung von Schwachstellen v2.0 – Empfehlungen für Hersteller”	5.1.1 「脆弱性管理 v2.0 – メーカー向け推奨事項」
5.1.2 Good Practice Guide on Vulnerability Disclosure	5.1.2 脆弱性開示に関するベストプラクティスガイド
5.1.3 The CERT Guide to Coordinated Vulnerability Disclosure	5.1.3 脆弱性開示の調整に関するCERTガイド
5.1.4 DIN EN ISO/IEC 29147:2020-08 or ISO/IEC 29147:2018	5.1.4 DIN EN ISO/IEC 29147:2020-08 または ISO/IEC 29147:2018
5.1.5 DIN EN ISO/IEC 30111:2020-07 or ISO/IEC 30111:2019	5.1.5 DIN EN ISO/IEC 30111:2020-07 または ISO/IEC 30111:2019
5.1.6 ISO/IEC 20153:2025	5.1.6 ISO/IEC 20153:2025
5.1.7 SecureDrop	5.1.7 SecureDrop
5.1.8 CSAF Provider	5.1.8 CSAF プロバイダ

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

SBOM

・2025.09.18 ドイツ 情報セキュリティ庁 BSI TR-03183: 製造事業者および製品に対するサイバーレジリエンス要件 第2部：ソフトウェア部品表 (SBOM), 第3部：脆弱性報告および通知 (2025.09)

・2025.09.08 米国他主要国 サイバーセキュリティのためのソフトウェア部品表（SBOM）に関する共通ビジョン

・2025.08.25 米国 CISA パブコメ 2025 年ソフトウェア部品表（SBOM）の最小要素

・2025.08.13 G7 人工知能のためのソフトウェア部品表に関する G7 の共通ビジョン (2025.06.12)

・2025.03.14 シンガポール オープンソースソフトウェアとサードパーティ依存のSBOMとリアルタイム脆弱性監視に関するアドバイザリー (2025.02.20)

・2024.11.25 欧州 サイバーレジリエンス法、官報に掲載　(2024.11.20)

・2024.11.12 インド政府 CERT-In SBOM技術ガイド 第１版 (2024.10.03)

・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183： 製造者及び製品に対するサイバーレジリエンス要件（一般要求事項、SBOM、脆弱性報告）

・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0 (2024.08.29)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保： ソフトウェア部品表の開示に関する推奨事項

・2023.10.13 米国 CISA FBI NSA DOT 運用技術 (OT) および産業制御システム (ICS) におけるオープンソースソフトウェアのセキュリティ向上

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D（初期公開ドラフト）DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.30 日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183：製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引

・2023.07.09 米国 NSA CISA 継続的インテグレーション/継続的デリバリー（CI/CD）環境の防御に関する共同ガイダンス (2023.06.28)

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令