米国他主要国 サイバーセキュリティのためのソフトウェア部品表（SBOM）に関する共通ビジョン

こんにちは、丸山満彦です。

米国（CISA、NSA）、オーストラリア、カナダ、チェコ、フランス、ドイツ、インド、イタリア、日本、オランダ、ニュージーランド、ポーランド、シンガポール、スロバキア、韓国が、共同でSBOMに関する共通ビジョンを公表していますね...

あれ、英国がない...

 

● NSA

・2025.09.03 NSA, CISA, and Others Release a Shared Vision of Software Bill of Materials (SBOM)

NSA, CISA, and Others Release a Shared Vision of Software Bill of Materials (SBOM)	NSA、CISAなどがソフトウェア部品表（SBOM）の共通ビジョンを発表
FORT MEADE, Md  –   FORT MEADE, Md. - The National Security Agency (NSA) is joining the Cybersecurity and Infrastructure Security Agency (CISA) and others to release the Cybersecurity Information Sheet (CSI), “A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity,” to inform producers, choosers, and operators of software of the advantages of integrating SBOM generation, analysis, and sharing into existing security processes and practices.	メリーランド州フォートミード – メリーランド州フォートミード 国家安全保障局（NSA）は、サイバーセキュリティ・インフラセキュリティ庁（CISA）などと共に、サイバーセキュリティ情報シート（CSI）「サイバーセキュリティのためのソフトウェア部品表（SBOM）に関する共通ビジョン」を発表した。これは、ソフトウェアの生産者、選定者、運用者に対し、SBOMの生成、分析、共有を既存のセキュリティプロセスや慣行に統合することの利点を伝えるものである。
Understanding the risks in a software’s supply chain, including the risks of the software components, is fundamental for a more secure software ecosystem. SBOM enables greater visibility across an organization’s supply chain and enterprise system by documenting information about software dependencies.	ソフトウェアのサプライチェーンにおけるリスク（ソフトウェアコンポーネントのリスクを含む）を理解することは、より安全なソフトウェアエコシステム構築の基盤となる。SBOMはソフトウェア依存関係に関する情報を文書化することで、組織のサプライチェーンおよびエンタープライズシステム全体における可視性を高める。
The CSI outlines the value of increased software component and supply chain transparency in addressing these risks and securing the software ecosystem.	CSIは、これらのリスクに対処しソフトウェアエコシステムを保護する上で、ソフトウェアコンポーネントとサプライチェーンの透明性向上がもたらす価値を概説している。
Further, the report provides risk management practices for organizations to leverage the transparency associated with SBOMs and mitigate software supply chain vulnerabilities, along with examples of how they can be used to reduce risk. The CSI also explains the importance of SBOM as a part of the Secure by Design initiative.	さらに本報告書は、SBOMに関連する透明性を活用してソフトウェアサプライチェーンの脆弱性を緩和するためのリスクマネジメント手法と、リスク低減にSBOMを活用する具体例を提供。CSIはまた、SBOMが「設計段階からのセキュリティ確保（Secure by Design）」イニシアチブの一環として重要な役割を担うことを説明している。
The authoring agencies urge the adoption of a joint vision of SBOM throughout the cybersecurity community to improve effectiveness, while reducing costs and complexities, as differing implementations could hinder the widespread and sustainable implementation of SBOM.	作成機関は、サイバーセキュリティコミュニティ全体でSBOMの共通ビジョンを採用し、効果性を高めつつコストと複雑性を低減するよう強く推奨しています。実装方法の相違はSBOMの広範かつ持続的な導入を妨げる可能性があるためである
Read the full report here.	報告書全文はこちら。
Visit our full library for more cybersecurity information and technical guidance.	サイバーセキュリティ情報と技術ガイダンスの詳細は、当機関のライブラリを参照のこと。
[web]	[web]

 

 

● U.S. CISA

プレス

・2025.09.03 CISA, NSA and 19 International Partners Release Shared Vision of Software Bill of Materials for Cybersecurity Guide

 

CISA, NSA and 19 International Partners Release Shared Vision of Software Bill of Materials for Cybersecurity Guide	CISA、NSA及び19の国際パートナーがサイバーセキュリティ向けソフトウェア部品表（SBOM）ガイドの共通ビジョンを発表
Informs global cyber community on the value of adopting and harmonizing SBOM practices	SBOM実践の採用と調和の価値についてグローバルサイバーコミュニティに周知
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) and 19 international partners released a joint guide today on the value that increased software component and supply chain transparency can offer to the global community by implementing software bill of materials (SBOM). This guide informs producers of software, organizations procuring software, and operators of software about the advantages of integrating SBOM generation, analysis, and sharing into security processes and practice.	ワシントン発 – 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、国家安全保障局（NSA）及び19の国際パートナーは本日、ソフトウェア部品表（SBOM）の導入によりソフトウェアコンポーネントとサプライチェーンの透明性を高めることが国際社会にもたらす価値に関する共同ガイドを発表した。本ガイドは、ソフトウェア製作者、ソフトウェア調達組織、ソフトウェア運用者に対し、SBOMの生成・分析・共有をセキュリティプロセスと実践に統合する利点を説明する。
As modern software increasingly relies on third-party and open source components, SBOMs offer a foundational step toward understanding and mitigating supply chain vulnerabilities. This guide emphasizes the importance of SBOMs in identifying risks within software components and encourages their integration into security practices. It encourages alignment of SBOM technical implementations across countries and sectors to help ensure interoperability, reduce complexity, and enable scalable adoption.	現代のソフトウェアがサードパーティおよびオープンソースコンポーネントへの依存度を高める中、SBOMはサプライチェーンの脆弱性を理解し緩和するための基盤的措置を提供する。本ガイドは、ソフトウェアコンポーネント内のリスク識別におけるSBOMの重要性を強調し、セキュリティ慣行への統合を推奨する。相互運用性の確保、複雑性の低減、拡張可能な導入を実現するため、国やセクターを超えたSBOM技術実装の調和を促す。
“The ever-evolving cyber threats facing government and industry underscore the critical importance of securing software supply chain and its components. Widespread adoption of SBOM is an indispensable milestone in advancing secure-by-design software, fortifying resilience, and measurably reducing risk and cost,” said Madhu Gottumukkala, Acting Director of CISA. “This guide exemplifies and underscores the power of international collaboration to deliver tangible outcomes that strengthen security and build trust. Together, we are driving efforts to advance software supply chain security and drive unparalleled transparency, fundamentally improving decision-making in software creation and utilization.”	CISAのMadhu Gottumukkala長官代行は次のように述べている。 「政府や産業が直面する絶えず進化するサイバー脅威は、ソフトウェアサプライチェーンとそのコンポーネントの保護が極めて重要であることを浮き彫りにしている。SBOMの広範な採用は、設計段階から安全性を考慮したソフトウェアの推進、レジリエンシーの強化、リスクとコストの測定可能な削減において不可欠なマイルストーンである。このガイドは、セキュリティを強化し信頼を構築する具体的な成果をもたらす国際協力の力を体現し、強調するものである。 我々は共同で、ソフトウェアサプライチェーンのセキュリティ向上と比類なき透明性の推進に取り組み、ソフトウェアの創出と利用における意思決定を根本的に改善していく」
An SBOM is a formal record detailing the components and supply chain relationships used in building software. SBOMs act as a software “ingredients list” providing organizations with essential visibility into software dependencies, enabling them to identify components, assess risks, and take proactive measures to mitigate vulnerabilities.	SBOMとは、ソフトウェア構築に使用されたコンポーネントとサプライチェーンの関係性を詳細に記録した正式な文書である。SBOMはソフトウェアの「原材料リスト」として機能し、組織にソフトウェア依存関係への必須の可視性を提供する。これによりコンポーネントの識別、リスクアセスメント、脆弱性緩和のための予防的措置が可能となる。
Software producers, purchasers, and operators are encouraged to review this guide and integrate SBOM generation, analysis and sharing into their security practices. A coordinated, global approach to SBOM will reduce complexity, improve effectiveness, and support secure-by-design software development.	ソフトウェアの生産者、購入者、運用者は、本ガイドを参照し、SBOMの生成・分析・共有をセキュリティ慣行に組み込むことが推奨される。SBOMに対する協調的なグローバルアプローチは、複雑性を低減し、効果性を向上させ、設計段階から安全性を考慮したソフトウェア開発を支援する。
This guide reflects and reinforces the importance of international cooperation that produces outcomes that reduce risk and strengthen trust. Leadership statements from co-authoring organizations are located at Statements of Support on A Shared Vision of SBOM for Cybersecurity.	本ガイドは、リスク低減と信頼強化につながる成果を生み出す国際協力の重要性を反映し、強化するものである。共同作成組織による支持声明は「サイバーセキュリティのためのSBOMに関する共通ビジョン」の支持声明ページに掲載されている。
For more information on CISA’s SBOM guidance and resources, visit the SBOM webpage on CISA.gov.	CISAのSBOMガイダンスおよびリソースに関する詳細は、CISA.govのSBOMウェブページを参照のこと。

 

・2025.09.03 A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity

A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity	サイバーセキュリティのためのソフトウェア部品表（SBOM）に関する共通ビジョン
CISA and the National Security Agency (NSA) in collaboration with 19 international cybersecurity organizations, have released joint guidance outlining a shared global vision of Software Bill of Materials (SBOM). This milestone reflects a growing international consensus on the importance of software transparency in securing the digital supply chain.	CISAと国家安全保障局（NSA）は、19の国際サイバーセキュリティ組織と連携し、ソフトウェア部品表（SBOM）に関する共通のグローバルビジョンを概説した共同ガイダンスを発表した。この画期的な成果は、デジタルサプライチェーンの保護におけるソフトウェア透明性の重要性について、国際的な合意が拡大していることを反映している。
SBOMs act as a software “ingredients list,” enabling organizations to identify components, assess risks, and take informed action to protect critical systems. As modern software increasingly relies on third-party and open-source components, SBOMs are essential for managing vulnerabilities and supporting secure-by-design development.	SBOMはソフトウェアの「原材料リスト」として機能し、組織が構成要素を識別し、リスクを評価し、重要なシステムを防御するための情報に基づいた行動を可能にする。現代のソフトウェアがサードパーティおよびオープンソースの構成要素にますます依存する中、SBOMは脆弱性管理と設計段階からのセキュリティ確保（secure-by-design）開発を支えるために不可欠である。
This guidance encourages:	本ガイダンスは以下を推奨する：
・Widespread SBOM adoption across sectors and borders	・業界や国境を越えたSBOMの広範な採用
・Harmonized technical implementations to reduce complexity and cost	・複雑性とコスト削減のための技術的実装の調和
・Integration of SBOMs into security workflows for better risk management	・リスクマネジメント強化のためのSBOMとセキュリティワークフローの統合
Better software transparency leads to better decisions. When used globally, SBOMs illuminate the software supply chain, helping ensure that known risks are addressed early and consistently.	ソフトウェアの透明性向上は意思決定の質を高めます。SBOMが世界的に活用されれば、ソフトウェアサプライチェーンが可視化され、既知のリスクが早期かつ一貫して対処されることが保証される。
For leadership statements from co-authoring organizations, visit: Statements of Support on A Shared Vision of SBOM for Cybersecurity.	共同作成組織による支持声明は以下をご覧ください：サイバーセキュリティのためのSBOMに関する共通ビジョンへの支持声明

 

・[PDF] 

・[DOCX][PDF] 仮訳

 

 

・2025.09.03 Statements of Support on A Shared Vision of SBOM for Cybersecurity

Statements of Support on A Shared Vision of SBOM for Cybersecurity	サイバーセキュリティのためのSBOMに関する共通ビジョンへの支持声明
A coordinated, global approach to Software Bill of Materials (SBOM) will reduce complexity, improve effectiveness, and support secure-by-design software development. A Shared Vision of SBOM for Cybersecurity reflects and reinforces the importance of international cooperation that produces outcomes that reduce risk and strengthen trust. Below, find leadership statements from co-authoring organizations.	ソフトウェア部品表（SBOM）に対する協調的なグローバルアプローチは、複雑性を低減し、効果性を向上させ、設計段階から安全性を考慮したソフトウェア開発を支援する。「サイバーセキュリティのためのSBOMに関する共通ビジョン」は、リスク低減と信頼強化につながる成果を生み出す国際協力の重要性を反映し、強化するものである。以下に、共同作成組織によるリーダーシップ声明を掲載する。
Trust, transparency, and resilience are essential pillars of cybersecurity in today’s interconnected digital landscape. Adopting SBOM across digital systems, platforms and supply chains empowers organisations and stakeholders to identify vulnerabilities, manage risks and build resilience while strengthening the security of our digital ecosystem."	信頼性、透明性、レジリエンスは、今日の相互接続されたデジタル環境におけるサイバーセキュリティの不可欠な基盤です。デジタルシステム、プラットフォーム、サプライチェーン全体でSBOMを採用することは、組織や関係者が脆弱性を識別し、リスクマネジメントを行い、レジリエンスを構築すると同時に、デジタルエコシステムのセキュリティを強化することを可能にします。
Dr. Sanjay Bahl, Director General, Indian Computer Emergency Response Team (CERT-In)	サンジェイ・バール博士、インドコンピュータ緊急対応チーム（CERT-In）事務局長
We are pleased to see that the importance of SBOM is being internationally recognized through this guideline. Last year, Japan released SBOM Guidance 2.0, and we will continue to raise awareness of SBOM among relevant stakeholders while actively contributing to international discussions on the topic."	本ガイドラインを通じSBOMの重要性が国際的に認識されることを歓迎します。昨年、日本はSBOMガイダンス2.0を公表しました。今後も関係ステークホルダーへのSBOM認知度向上を図るとともに、本テーマに関する国際的議論に積極的に貢献してまいります。
Mr. Nobutaka TAKEO, Director, Cybersecurity Division Commerce and Information Policy Bureau, Ministry of Economy, Trade and Industry (METI), Japan	武尾伸隆氏（経済産業省商務情報政策局サイバーセキュリティディビジョン課長）
KISA extends its sincere congratulations on the publication of the joint document under the leadership of CISA. This milestone is expected to strengthen transparency in the global digital product and service supply chain, raise security awareness, and accelerate practical adoption of supply chain security frameworks. KISA will contribute by strengthening Korea’s framework and sharing best practices with the global community.”	KISAは、CISA主導による共同文書の公表に心よりお祝いを申し上げます。この画期的な成果は、グローバルなデジタル製品・サービスサプライチェーンの透明性強化、セキュリティ意識の向上、サプライチェーンセキュリティ枠組みの実践的導入促進に寄与すると期待されます。KISAは韓国の枠組み強化と国際社会へのベストプラクティス共有を通じて貢献してまいります。
Mr. Lee Sang Jung, President of the Korea Internet & Security Agency (KISA). Korea Internet & Security Agency(KISA) is an agency under the Ministry of Science and ICT of the Republic of Korea	韓国インターネットセキュリティ庁（KISA）イ・サンジョン長官 韓国インターネット・セキュリティ庁（KISA）は、大韓民国科学技術情報通信省傘下の機関
The recent hacking using the software supply chains has highlighted the importance of supply chain security. In this context, we at NCSC find it meaningful to participate in 'A Shared Vision of SBOM for Cybersecurity' and join the global movement to strengthen supply chain security policies.”	ソフトウェア供給チェーンを利用した最近のハッキング事件は、サプライチェーンセキュリティの重要性を浮き彫りにしました。こうした状況下で、NCSCとして『サイバーセキュリティのためのSBOMに関する共有ビジョン』に参加し、サプライチェーンセキュリティ政策強化に向けた国際的な動きに加わることは意義深いと考えています。」
Chief of NCSC, Republic of KOREA	大韓民国NCSC長官
New Zealand has a great reputation for technology innovation and as innovators and users of offshore software vendors we want to ensure security is built into products at the point of origin, not as an optional add-on. Having a software bill of materials incorporated in the released product gives system operators and users assurance that security is an integral component in the product’s supply chain. Products should be securely designed, and customers should have clarity in what they’re purchasing.”	ニュージーランドは技術革新で高い評価を得ており、海外ソフトウェアベンダーの革新者かつ利用者として、セキュリティが製品の発生源で組み込まれることを望んでいます。オプションの追加機能としてではなく。リリース製品にソフトウェア部品表（SBOM）を組み込むことで、システム運用者やユーザーは、セキュリティが製品のサプライチェーンに不可欠な要素であることを確信できます。製品は安全に設計されるべきであり、顧客は購入する製品の内容を明確に把握できる必要があります。」
Grace Campbell Macdonald, New Zealand’s National Cyber Security Centre’s Director of Regulatory and Advisory	グレース・キャンベル・マクドナルド、ニュージーランド国家サイバーセキュリティセンター 規制・助言部門ディレクター
Today’s software is becoming increasingly complex and often consists of hundreds of components originating from various sources and libraries. SBOM brings essential transparency into this complex environment and clearly shows what the software is made of. I regard SBOM as a key step toward creating truly secure and resilient software – already from its design. At the same time, this approach contributes to building an environment in which citizens and institutions can rely with greater confidence on the technologies that power modern software.”	現代のソフトウェアはますます複雑化し、様々なソースやライブラリに由来する数百のコンポーネントで構成されることが多くなっています。SBOMはこの複雑な環境に不可欠な透明性をもたらし、ソフトウェアの構成要素を明確に示します。私はSBOMを、設計段階から真に安全でレジリエンスのあるソフトウェアを創出するための重要な一歩と捉えています。同時にこのアプローチは、市民や機構が現代ソフトウェアを支える技術をより確信を持って信頼できる環境構築に貢献します。」
Lukáš Kintr, NÚKIB’s Director	ルカシュ・キントル、NÚKIB局長
Improving traceability and knowledge about where software components come from is key to improving products and supply chain security. This guidance provides an insightful vision on the value of SBOM to strengthen software transparency and enhance risk management practices.”	ソフトウェアコンポーネントの由来に関するトレーサビリティと知識の向上は、製品とサプライチェーンのセキュリティ強化の鍵です。本ガイダンスは、ソフトウェアの透明性を強化しリスクマネジメント実践を向上させるSBOMの価値について洞察に富んだ見解を提供しています。」
Vincent Strubel, Director General of the French Cybersecurity Agency (ANSSI)	ヴィンセント・ストルーベル、フランス国家情報セキュリティ庁（ANSSI）長官
Supply chain security is a fundamental element for the protection and resilience of digital infrastructure. The adoption of a shared vision on Software Bill of Materials (SBOM) is a significant achievement to which ACN has contributed alongside international partners. Cooperation on SBOM aims to reduce cyber risk by increasing software transparency and cybersecurity."	サプライチェーンのセキュリティは、デジタルインフラの保護とレジリエンスにとって不可欠な要素です。ソフトウェア部品表（SBOM）に関する共通のビジョンを確立したことは、ACNが国際的なパートナーと共に貢献した重要な成果です。SBOMに関する協力は、ソフトウェアの透明性とサイバーセキュリティを高めることでサイバーリスクを低減することを目的としています。」
Bruno Frattasi, Director General of the Italian National Cybersecurity Agency	ブルーノ・フラタシ、イタリア国家サイバーセキュリティ庁長官
As software supply chains become more complex, the need for transparency has never been greater. Software bills of materials give organizations the insight to identify risks and take action to mitigate them. This joint vision reflects our common commitment to advancing SBOM as a practical tool for building resilience and trust in the digital technologies that power our world."	ソフトウェアのサプライチェーンが複雑化する中、透明性への必要性はかつてないほど高まっています。ソフトウェア部品表は、組織がリスクを識別し、それを緩和するための措置を講じるための洞察を提供します。この共同ビジョンは、私たちの世界を動かすデジタル技術に対するレジリエンシーと信頼を構築するための実用的なツールとしてSBOMを推進するという、私たちの共通の取り組みを反映しています。
Rajiv Gupta, Head of the Canadian Centre for Cyber Security	ラジブ・グプタ、カナダサイバーセキュリティセンター所長

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

SBOM

・2025.09.08 米国他主要国 サイバーセキュリティのためのソフトウェア部品表（SBOM）に関する共通ビジョン

・2025.08.25 米国 CISA パブコメ 2025 年ソフトウェア部品表（SBOM）の最小要素

・2025.08.13 G7 人工知能のためのソフトウェア部品表に関する G7 の共通ビジョン (2025.06.12)

・2025.03.14 シンガポール オープンソースソフトウェアとサードパーティ依存のSBOMとリアルタイム脆弱性監視に関するアドバイザリー (2025.02.20)

・2024.11.25 欧州 サイバーレジリエンス法、官報に掲載　(2024.11.20)

・2024.11.12 インド政府 CERT-In SBOM技術ガイド 第１版 (2024.10.03)

・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183： 製造者及び製品に対するサイバーレジリエンス要件（一般要求事項、SBOM、脆弱性報告）

・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0 (2024.08.29)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保： ソフトウェア部品表の開示に関する推奨事項

・2023.10.13 米国 CISA FBI NSA DOT 運用技術 (OT) および産業制御システム (ICS) におけるオープンソースソフトウェアのセキュリティ向上

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D（初期公開ドラフト）DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.30 日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183：製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引

・2023.07.09 米国 NSA CISA 継続的インテグレーション/継続的デリバリー（CI/CD）環境の防御に関する共同ガイダンス (2023.06.28)

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令