欧州委員会 SBOMの最新状況に関する調査 (2025.12.19まで): まるちゃんの情報セキュリティ気まぐれ日記

January 2026
Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

2025.11.27

欧州委員会 SBOMの最新状況に関する調査 (2025.12.19まで)

こんにちは、丸山満彦です。

EUでは、サイバーレジリエンス法（CRA）をスムーズに実装するために、ENISAがSBOMの現状に関する調査を始めていますね...

主な目的は次のことを把握することのようです...

・SBOM導入の普及度と成熟度

・最も一般的なフォーマット、ツール、使用シナリオ

・認識されている価値、課題、SBOM生成と消費の間のギャップ

どうも、EUの企業でなくてもできるようですよ...

EUがどういうことを気にしているのか、つまり、どういうことに気をつけなければSBOMの導入がうまくいかなくなってしまうのか？ということを気にしているようです。

日本も経済産業省がSBOM導入（法律ではなく自主的に）をすすめていますが、どうなんでしょうかね.。。

・2023.07.28 「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定しました

・2024.08.29 サイバー攻撃への備えを！「SBOM」（ソフトウェア部品構成表）を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました

きっかけをつくるだけでなく、スムーズな導入、普及に向けた活動をしっかりしないと、勝手には普及しないでしょうね...あるいは、法律で強制するのであれば、しっかりと普及支援活動をしないと国家としての国際競争力に悪影響がでるのでしょうね...

● European Commission

・Survey on SBOM State of the Art

Survey on SBOM State of the Art	SBOMの最新状況に関する調査
The EU Cybersecurity Agency (ENISA) is launching a survey on the current state of SBOM adoption. This survey is part of ENISA’s activities to support the work of the European Commission on the implementation of the CRA.	欧州サイバーセキュリティ機関（ENISA）は、SBOM導入の現状に関する調査を開始する。本調査は、欧州委員会によるCRA実施支援活動の一環である。
The primary goal of this survey is to capture the current state of Software Bill of Materials (SBOM) practices across various organisations and industries. Your feedback will help us understand:	本調査の主目的は、様々な組織・業界におけるソフトウェア部品表（SBOM）の実践状況を把握することだ。皆様の回答により以下の点を理解できる：
・The level of SBOM adoption and maturity.	・ SBOM導入の普及度と成熟度。
・The most common formats, tooling, and usage scenarios.	・最も一般的なフォーマット、ツール、使用シナリオ。
・Perceived value, challenges, and the gap between SBOM generation and consumption.	・認識されている価値、課題、SBOM生成と消費の間のギャップ。
The survey is divided into four main sections and should take approximately 20–25 minutes to complete. Most questions are multiple-choice to save time, but a few open-ended questions are included to gather specific insights. All responses will be kept confidential and used only in aggregate.	調査は4つの主要セクションに分かれており、回答には約20～25分を要する。時間の節約のため大半の質問は選択式だが、特定の知見を得るための自由回答形式の質問も含まれる。全ての回答は機密扱いとし、集計データとしてのみ使用する。
Your candid feedback is invaluable! The survey will remain open until December 19, 2025.	率直なご意見は大変貴重だ。調査は2025年12月19日まで実施する。
note 1: Some survey questions are informed by research published in the Linux Foundation’s SBOM and Cybersecurity Readiness report (Jan 2022)	注1: 一部の質問はLinux Foundationの「SBOMとサイバーセキュリティ準備度レポート」（2022年1月）に基づく
note 2: If you want to be kept informed on the next steps of the CRA implementation, make sure you fill out your contact details here.	注2: CRA実施の今後の進捗情報を希望する場合は、必ず連絡先情報を記入すること。
Demographics	組織属性
What type of entity do you represent?	貴組織の代表者はどのタイプの事業体に該当するか？
・Companies/Groups	・企業／グループ
・Trade and business associations	・業界団体・商工会議所
・NGOs	・非政府組織（NGO）
・Public Authority	・公的機関
・Other public entity (international organisation)	・その他の公的団体（国際機関）
What is your organisation's estimated size?	貴組織の推定規模は？
・micro: fewer than 10 persons employed	・マイクロ：従業員10名未満
・small: 10 to 49 persons employed	・小規模：従業員10～49名
・medium-sized: 50 to 249 persons employed	・中規模：従業員50～249名
・large: 250 or more persons employed	・大企業：従業員250人以上
Which geographic region does your organisation primarily operate in (i.e., where ≥50% of staff, customers, or revenue are located)?	貴組織が主に活動する地域（従業員、顧客、収益の50％以上が所在する地域）は？
・European Union	・欧州連合
・Africa	・アフリカ
・Asia	・アジア
・Middle East	・中東
・North America	・北米
・Oceania	・オセアニア
・South America	・南米
・Global	・全世界
Does the EU Cyber Resilience Act (CRA) apply to products/software your organisation develops or sells?	EUサイバーレジリエンス法（CRA）は、貴組織が開発または販売する製品・ソフトウェアに適用されるか？
・Yes, we are directly impacted by the CRA, primarily by selling to final users/consumers	・はい、CRAの直接的影響を受ける。主にエンドユーザー/消費者への販売による
・Yes, we are directly impacted, primarily through our supply chain (supplying components to a manufacturer).	・はい、サプライチェーン経由で直接影響を受ける（製造事業者への部品供給による）
・No, we do not sell products with digital elements in the EU market.	・いいえ、EU市場でデジタル要素を含む製品を販売していない
Unsure/We are currently assessing the impact.	不明/現在影響を評価中
Risk Perception & Security Posture	リスク認識とセキュリティ態勢
How concerned is your organisation about the security of the software supply chain?	ソフトウェアサプライチェーンのセキュリティについて、貴組織はどの程度懸念しているか？
・Extremely concerned	・非常に懸念している
・Very concerned	・かなり懸念している
・Concerned	・懸念している
・Slightly concerned	・やや懸念している
・Not concerned	・懸念していない
・Don’t know	・わからない
To what extent does your organisation allocate resources (budget, staff, or tooling) to manage the security of the software it uses?	貴社は使用するソフトウェアのセキュリティ管理に、どの程度リソース（予算、人員、ツール）を割り当てているか？
・Extensive	・非常に多く
・Significant	・かなり多く
・Adequate	・十分
・Minimal	・ごくわずか
・None	・全く割り当てていない
How familiar are you with SBOMs?	SBOMについてどの程度理解しているか？
・Very familiar	・非常に詳しい
・Familiar	・詳しい
・Somewhat familiar	・やや詳しい
・Heard of the term	・用語は知っている
・Never heard of the term	・全く知らない
Are you and your organisation aware of the EU CRA obligations related to SBOMs?	貴社および貴組織は、SBOMに関連するEUのCRA義務について認識しているか？
・Yes	・はい
・No	・いいえ
・Don’t know	・わからない
Please rank the following activities by their importance to software supply chain security	以下の活動を、ソフトウェアサプライチェーンのセキュリティに対する重要度で順位付けしてください
Use drag&drop or the up/down buttons to change the order or accept the initial order.	ドラッグ＆ドロップまたは上下ボタンで順序を変更するか、初期順序をそのまま受け入れてください。
Initial order is as follows SBOMs Vulnerability reporting Secure development practices Software Product Identification Use of security testing tools (static and dynamic analysis) Training and awareness raising Other	初期順序は以下の通りであるSBOM脆弱性報告セキュア開発手法ソフトウェア製品識別セキュリティテストツールの使用（静的・動的解析）研修と意識向上その他
・SBOMs	・SBOM
・Vulnerability reporting	・脆弱性報告
・Secure development practices	・セキュア開発手法
・Software Product Identification	・ソフトウェア製品識別
・Use of security testing tools (static and dynamic analysis)	・セキュリティテストツールの使用（静的・動的解析）
・Training and awareness raising	・研修と意識向上
・Other	・その他
SBOM Adoption & Usage	SBOMの導入と利用
How does your organisation engage with SBOMs? (Select all that apply.)	御社はSBOMをどのように活用しているか？（該当するものを全て選択）
・Produce SBOMs for our software	・自社ソフトウェアのSBOMを生成する
・Consume SBOMs from vendors/partners	・ベンダー/パートナーからSBOMを利用する
・Provide SBOM tools/solutions/integration services	・SBOMツール/ソリューション/統合サービスを提供する
・Advise/consult on SBOM policy/compliance	・SBOMポリシー/コンプライアンスに関する助言/コンサルティングを行う
・Evaluate/pilot SBOM practices	・SBOM実践の評価/パイロット実施を行う
・No current involvement	・現在関与していない
・Other	・その他
How would you describe your organisation's current level of SBOM adoption?	貴組織の現在のSBOM導入レベルをどのように説明する？
・Not yet started: plans to generate or consume SBOMs have not yet been developed	・未着手：SBOMの生成または利用計画がまだ策定されていない
・Exploring/Planning: We are researching or defining an SBOM strategy	・検討中/計画中：SBOM戦略を調査または定義中
・Pilot/Limited Adoption: We are generating/consuming SBOMs for a small number of projects or teams.	・試験導入/限定導入：少数のプロジェクトまたはチーム向けにSBOMを生成/利用している
・Broad Adoption: SBOMs are generated/consumed for most or all relevant software/products.	・広範な導入：関連するソフトウェア/製品の大半または全てでSBOMが生成/消費されている
・Mature/Automated: SBOM generation/consumption is fully integrated, automated, and used for continuous analysis.	・成熟/自動化：SBOMの生成/消費が完全に統合・自動化され、継続的な分析に活用されている
How is the SBOM currently perceived within your organisation?	組織内でSBOMは現在どのように認識されているか？
・Competitive Asset: A key differentiator used to build customer trust.	・競争上の資産：顧客信頼構築の重要な差別化要素
・Defensive Necessity: A critical tool for proactive vulnerability and risk management.	・防御上の必要性：脆弱性・リスクマネジメントのための重要なツール
・Mandatory Burden: A requirement to comply with regulations	・義務的負担：規制遵守のための要件
・Neutral/Inventory Tool: Just a list of components, neither a burden nor an asset.	・中立/在庫管理ツール：単なる部品リストであり、負担でも資産でもない
Formats, Tools & Lifecycle Integration	フォーマット、ツール、ライフサイクル統合
Which SBOM format(s) are you currently using?	現在使用しているSBOMフォーマットは？
・SPDX (Software Package Data Exchange)	・SPDX（ソフトウェアパッケージデータ交換）
・CycloneDX	・CycloneDX
・Proprietary format (i.e., custom csv)	・独自フォーマット（例：カスタムCSV）
・We do not currently generate/consume SBOMs in a standard format	・標準フォーマットでのSBOM生成/消費は現在行っていない
・Other	・その他
What is your primary method for generating SBOMs?	SBOM生成の主な方法は？
・Open-source tools (e.g., Syft, dependency-track)	・オープンソースツール（例：Syft、dependency-track）
・Commercial/Proprietary vendor tools	・商用／ベンダー固有ツール
・Build-system native features (e.g., Maven, Gradle, NuGet)	・ビルドシステム標準機能（例：Maven、Gradle、NuGet）
・Manual process	・手動プロセス
・We do not generate SBOMs for our software	・自社ソフトウェアのSBOMは生成しない
Where in the Software Development Life Cycle (SDLC) is your organisation producing SBOMs?	ソフトウェア開発ライフサイクル（SDLC）のどの段階でSBOMを生成しているか？
・During software deployment	・ソフトウェア展開時
・During software delivery to an artifact registry or repository	・アーティファクトレジストリまたはリポジトリへのソフトウェア納品時
・During software builds	・ソフトウェアビルド時
・During software delivery to staging	・ステージング環境へのソフトウェア納品時
・During software integration	・ソフトウェア統合時
・On decision to use external software	・外部ソフトウェアの使用決定時
・Don’t know	・わからない
As a consumer, where do you consume SBOMs?	消費者として、どこでSBOMを利用するのですか？
・During software builds	・ソフトウェアビルド時
・During software delivery to staging	・ステージング環境へのソフトウェア納品時
・During software deployment to production	・本番環境へのソフトウェア展開時
・On ingress of external software	・外部ソフトウェアの導入時
・During software delivery to an artifact or repository	・アーティファクトまたはリポジトリへのソフトウェア納品時
・During software integration	・ソフトウェア統合時
・On decision to use external software	・外部ソフトウェアの使用決定時
・Don’t know	・わからない
Regarding commercial-off-the-shelf (COTS), how often do you receive SBOMs from manufacturers?	市販品（COTS）に関して、製造事業者からSBOMをどの頻度で受け取るか？
・Always (Standard part of procurement)	・常に（調達の標準の一部）
・Frequently (Received upon request)	・頻繁に（要求時に受け取る）
・Rarely (Only received in specific regulated contexts)	・まれに（特定の規制対象環境でのみ受け取る）
・Never	・全く受け取らない
・Not applicable (We don't use COTS software)	・該当しない（COTSソフトウェアを使用しない）
・Other	・その他
What is the biggest driver for your choice of SBOM format/tooling?	SBOMフォーマット／ツール選定の最大の要因は何か？
Usage Patterns & Gaps	使用パターンとギャップ
What level of SBOM depth do you need?	必要なSBOMの詳細レベルは？
Definition Note: "Primary Components" refers to the top-level, directly-integrated software modules forming the product (e.g., your application, OS, major third-party frameworks).	定義注記：「主要コンポーネント」とは、製品を構成する最上位の直接統合ソフトウェアモジュールを指す（例：自社アプリケーション、OS、主要サードパーティ枠組み）。
・All Primary Components and their Direct Dependencies [Layer 1], with known components that cannot be identified (known unknowns) declared.	・すべての主要コンポーネントとその直接依存関係 [レイヤー1]。識別できない既知のコンポーネント（既知の未知）を宣言。
・All Primary Components and all Transitive Dependencies [Full Depth], with known components that cannot be identified (known unknowns) declared.	・すべての主要コンポーネントとすべての推移的依存関係 [完全深度]。識別できない既知のコンポーネント（既知の未知）を宣言。
・All Primary Components and all Transitive Dependencies [Full Depth], with no unidentified components (no known unknowns).	・すべての主要コンポーネントとすべての推移的依存関係 [完全深度]。未特定コンポーネントなし（既知の未知なし）。
・Don’t know	・わからない
What level of SBOM depth do you normally get?	通常どのレベルのSBOM深度を取得しているか？
・All primary components with all direct dependencies and known unknowns declared	・すべての主要コンポーネントと直接依存関係、既知の未知要素を宣言
・All primary components with all transitive dependencies and known unknowns declared	・すべての主要コンポーネントと推移的依存関係、既知の未知要素を宣言
・All primary components with all transitive dependencies and no unknowns declared	・すべての主要コンポーネントと推移的依存関係、未知要素なしを宣言
・Don’t know	・わからない
How are you primarily using SBOMs you generate/receive?	生成/受領したSBOMを主にどのように活用しているか？
・Vulnerability Management: Identifying and patching vulnerabilities (CVEs)	・脆弱性管理：脆弱性（CVE）の識別と修正
・License Compliance: Ensuring open-source licenses (OSS) are correctly used/declared	・ライセンスコンプライアンス：オープンソースライセンス（OSS）の適正使用・宣言の確保
・Compliance/Audit: Meeting regulatory requirements (e.g., EU CRA, US Executive Orders)	・コンプライアンス/監査：規制要件（例：EU CRA、米国大統領令）への対応
・Supply Chain Risk Assessment: Evaluating third-party software risks	・サプライチェーンリスク評価：サードパーティソフトウェアのリスク評価
・Internal Inventory: Maintaining a list of all components	・内部インベントリ：全コンポーネントリストの維持
・We are not actively using SBOMs for specific functions	・特定の機能に対してSBOMを積極的に活用していない
Which team(s) primarily consume SBOMs?	主にどのチームがSBOMを利用しているか？
・Development/Engineering	・開発/エンジニアリング
・Security/AppSec	・セキュリティ/アプリケーションセキュリティ
・Legal/Compliance	・法務/コンプライアンス
・Procurement/Vendor Management	・調達/ベンダー管理
・Operations/Infrastructure	・運用/インフラ
・None/Not Applicable	・該当なし/適用外
How has the CRA influenced your organisation's decision to invest in SBOM tooling and automation?	CRAは、SBOMツールと自動化への投資判断にどのような影響を与えたか？
・Frequency/Maintenance: Ensuring the SBOM is updated throughout the support period	・頻度/保守：サポート期間を通じてSBOMが更新されることを保証する
・Depth/Completeness: Documenting all primary components with all transitive dependencies and their metadata (achieving full completeness) in a machine-readable format.	・深度/完全性：すべての主要コンポーネントと推移的依存関係、およびそれらのメタデータを機械可読形式で文書化する（完全な完全性を達成する）
・Vulnerability Handling: Having a documented, auditable process for managing vulnerabilities identified via the SBOM	・脆弱性対応：SBOMを通じて特定された脆弱性を管理するための文書化され監査可能なプロセスを有している
・Technical Documentation: Including the SBOM in the product's technical documentation for market surveillance authorities	・技術文書：市場監視当局向けに製品技術文書にSBOMを含める
・Not Applicable: We are not preparing for the CRA.	・該当なし：CRA対応準備は行っていない
How would you rate the gap between generation and consumption/utility?	生成と消費／活用の間のギャップをどう評価するか？
・Significant Gap: We generate SBOMs, but rarely use them effectively.	・大きなギャップ：SBOMを生成するが、効果的に活用することは稀である
・Moderate Gap: We use some SBOM data, but integration is challenging.	・中程度のギャップ：一部のSBOMデータは利用するが、統合が課題である
・Small Gap: Generation and consumption are mostly aligned.	・小さなギャップ：生成と消費は概ね整合している
・No Gap: Generation feeds directly into automated consumption tools.	・ギャップなし：生成データが自動消費ツールに直接連携されている
・Not applicable/We don't generate SBOMs.	・該当なし／SBOMを生成していない
How do you intend to approach the following	以下の事項への対応方針は？
Not planned, Planning, Manual process, Partially automated, Fully automated	未計画、計画中、手動プロセス、部分自動化、完全自動化
・SBOM generation per release/build	・リリース／ビルドごとのSBOM生成
・SBOM updates across the support period	・サポート期間中のSBOM更新
・Minimum content (only top-level dependencies) in machine-readable format (SPDX/CycloneDX)	・機械可読形式（SPDX/CycloneDX）での最小限の内容（最上位依存関係のみ）
・SBOM inclusion in technical documentation	・技術文書へのSBOM組み込み
・Vulnerability handling workflow tied to SBOM	・SBOM連動型脆弱性対応ワークフロー
What are the main barriers to adopting SBOMs at scale in your organisation?	組織におけるSBOM大規模導入の主な障壁は何か？
Not planned, Planning, Manual process, Partially automated, Fully automated	未計画、計画中、手動プロセス、部分自動化、完全自動化
・SBOM generation per release/build	・リリース/ビルドごとのSBOM生成
・SBOM updates across the support period	・サポート期間を通じたSBOM更新
・Minimum content (only top-level dependencies) in machine-readable format (SPDX/CycloneDX)	・機械可読形式（SPDX/CycloneDX）での最小限の内容（最上位依存関係のみ）
・SBOM inclusion in technical documentation	・技術文書へのSBOM記載
・Vulnerability handling workflow tied to SBOM	・SBOM連動型脆弱性対応ワークフロー
How would you rate the following challenges in leveraging SBOMs today?	現在のSBOM活用における以下の課題をどの程度感じるか？
Not at all, Slightly, Moderate, Quite a lot, Extremely	全く感じない、やや感じる、中程度、かなり感じる、非常に感じる
・Lack of quality/completeness of vendor-supplied SBOMs (COTS)	・ベンダー提供SBOM（COTS）の品質/完全性の不足
・Difficulty integrating SBOM data into existing security tools (consumption challenge)	・既存セキュリティツールへのSBOMデータ統合の困難さ (利用上の課題)
・The technical challenge of achieving a high degree of SBOM completeness (i.e., successfully identifying and documenting all components).	・SBOMの高い完全性達成の技術的課題（全コンポーネントの識別・文書化成功）
・Lack of internal skills or dedicated staff	・社内スキルや専任スタッフの不足
・Uncertainty about regulatory requirements	・規制要件の不確実性
Barriers, Needs & External Supports	障壁、ニーズ、外部支援
What are the main barriers to adopting SBOMs at scale in your organisation?	組織におけるSBOMの大規模導入の主な障壁は何か？
Not at all, Slightly, Moderate, Quite a lot, Extremely	全くない、ややある、中程度、かなりある、極めてある
・Tooling gaps (SBOM generation in CI/CD)	・ツールの不足（CI/CDにおけるSBOM生成）
・Integration effort (build systems, package managers)	・統合の労力（ビルドシステム、パッケージマネージャー）
・Data quality (incomplete components, identifiers, licenses)	・データの品質（不完全なコンポーネント、識別、ライセンス）
・Lack of internal skills or dedicated staff	・内部スキルや専任スタッフの不足
・Supplier/third-party SBOM availability/quality	・サプライヤー/サードパーティのSBOMの可用性/品質
・Vulnerability matching (CPE/PURL alignment, false positives)	・脆弱性マッチング（CPE/PURLの整合性、誤検知）
・Process ownership/governance (who does what, when)	・プロセスの所有権/ガバナンス（誰が何を、いつ行うか）
・Performance/scale (large codebases, many products)	・パフォーマンス/スケール（大規模コードベース、多数の製品）
・Legal/IP concerns about SBOM disclosure	・SBOM開示に関する法的/知的財産上の懸念
Other	その他
What of the following would be useful to your organisation to improve its ability to produce and/or consume SBOMs?	以下のうち、SBOMの作成および/または消費能力を向上させるために、御社にとって有用なものはどれか？
Not at all, Slightly, Moderate, Quite a lot, Extremely	全く有用でない、やや有用、中程度、かなり有用、非常に有用
・Industry consensus for best practices to integrate producing / consuming SBOMs into software development practices	・SBOMの作成/消費をソフトウェア開発プロセスに統合するためのベストプラクティスに関する業界の合意
・Industry consensus for best practices to integrate producing / consuming SBOMs into risk and compliance processes	・SBOMの作成・利用をリスク管理・コンプライアンスプロセスに統合するベストプラクティスに関する業界の合意
・Industry consensus on how to produce/consume SBOMs and how these methods will evolve/improve over time	・SBOMの作成・利用方法、およびそれらの方法が時間とともに進化・改善する方法に関する業界の合意
・Knowing which vendors will be providing SBOM tools and capabilities	・SBOMツールや機能を提供するベンダーの把握
・Clarity on what industry SBOM standards should be supported	・業界がサポートすべきSBOM標準の明確化
・Clarity about the timeline and milestones for adopting/supporting SBOM	・SBOMの採用・サポートに関するタイムラインとマイルストーンの明確化
Other	その他
What would be useful to your organisation to improve its ability to produce and/or consume SBOMs? (Select up to 5)	SBOMの作成および／または消費能力を向上させるために、貴組織にとって有用なものは何か？（最大5つ選択）
Between 1 and 5 selections	1～5つ選択
・Industry consensus for best practices to integrate producing / consuming SBOMs into software development practices	・ソフトウェア開発プロセスへのSBOM作成／消費の統合に関するベストプラクティスについての業界の合意
・Industry consensus for best practices to integrate producing / consuming SBOMs into risk and compliance processes	・SBOMの作成・利用をリスク管理・コンプライアンスプロセスに統合するベストプラクティスに関する業界の合意
・Industry consensus on how to produce/consume SBOMs and how these methods will evolve/improve over time	・SBOMの作成・利用方法、およびそれらの方法が時間とともに進化・改善する方法に関する業界の合意
・Knowing which vendors will be providing SBOM tools and capabilities	・SBOMツールや機能を提供するベンダーを把握すること
・Clarity on what industry SBOM standards should be supported	・業界がサポートすべきSBOM標準の明確化
・Clarity about the timeline and milestones for adopting/supporting SBOM	・SBOMの採用・サポートに関するタイムラインとマイルストーンの明確化
・Others	・その他
How important is it for your organization to receive vulnerability status or exploitability claims from suppliers for SBOM components?	SBOMコンポーネントについて、サプライヤーから脆弱性ステータスや悪用可能性に関する主張を受け取ることは、御社にとってどの程度重要か？
・Critical	・極めて重要
・Important	・重要
・Somewhat important	・やや重要
・Not important	・重要でない
・Don't know	・わからない
What is your preferred method for receiving vulnerability claims from suppliers? (Select all that apply)	サプライヤーからの脆弱性主張の受領方法として、どの手段を好むか？（該当するものを全て選択）
・Upon request (supplier provides declarations when asked)	・要請時（サプライヤーが求められた際に宣言を提供する）
・Automatically, as vulnerabilities are found (supplier notifies proactively)	・脆弱性発見時（サプライヤーが積極的に通知する）
・Via a standardized API that provides up-to-date vulnerability status for each SBOM component	・各SBOMコンポーネントの最新脆弱性ステータスを提供する標準API経由
・Other	・その他
How has the CRA influenced your organisation's decision to invest in SBOM tooling and automation?	CRAは、貴組織のSBOMツールおよび自動化への投資決定にどのような影響を与えたか？
・It has significantly accelerated our investment and adoption timeline	・投資と導入のタイムラインを大幅に加速させた
・It has moderately influenced our strategy but not changed our timeline much	・戦略に中程度の影響を与えたが、タイムラインはほとんど変わらなかった
・It has had no discernible influence; our SBOM work is driven by other factors (e.g. customer demand, etc.)	・明らかな影響はなかった。SBOM作業は他の要因（例：顧客要求など）によって推進されている
・Not applicable/We are not impacted by the CRA	・該当なし／CRAの影響を受けていない
How important is SBOM interoperability for your organization?	SBOMの相互運用性は組織にとってどれほど重要か？
・Critical	・極めて重要
・Important	・重要
・Somewhat important	・やや重要
・Not important	・重要ではない
What SBOM delivery or interoperability methods do you value most? (Select all that apply)	最も重視するSBOM提供／相互運用方法（該当するものを全て選択）
・Emailed and/or hosted/archived by the supplier	・サプライヤーによるメール送信および／またはホスティング／アーカイブ
・Bundled with every product version and archived by the supplier	・製品バージョンごとに同梱されサプライヤーがアーカイブ
・Delivered through machine interfaces (e.g., API)	・機械インターフェース（例：API）経由での提供
・Support for conversion or compatibility between formats like SPDX and CycloneDX	・SPDXとCycloneDXなどのフォーマット間の変換・互換性サポート
・Other	・その他
Which areas would most benefit from guidance or templates? (Pick up to 3)	ガイダンスやテンプレートが最も有益な分野は？（最大3つ選択）
Between 1 and 3 selections	1～3つ選択
・“Good enough” SBOM content/profile for CRA compliance	・CRA準拠のための「十分な」SBOM内容/プロファイル
・Format specifics (SPDX vs. CycloneDX) and required fields	・フォーマット詳細（SPDX vs. CycloneDX）と必須項目
・Vendor/SaaS SBOM request language & acceptance criteria CI/CD reference patterns (example pipelines, sample configs)	・ベンダー/SaaS向けSBOM要求言語と受入規準・CI/CD参照パターン（例：パイプライン、設定サンプル）
・Risk scoring/prioritization using SBOM data	・SBOMデータを用いたリスク評価/優先順位付け
・Internal policy & RACI templates	・内部ポリシーとRACIテンプレート
・Other	・その他
When do you expect to meet your target SBOM maturity for CRA?	CRA対応の目標SBOM成熟度達成時期はいつか？
・0 – 12 months	・0～12ヶ月
・12 – 18 months	・12～18ヶ月
・18 – 24 months	・18～24ヶ月
・>24 months	・24ヶ月超
・Don't know	・不明
Which external supports would accelerate your progress? (Pick up to 3)	進捗を加速させる外部支援は？（最大3つ選択）
Between 1 and 3 selections	1～3項目選択
・Reference implementation (open sample repo + pipeline)	・リファレンス実装（公開サンプルリポジトリ＋パイプライン）
・Tool evaluations/benchmarks and buyer’s guide	・ツール評価／ベンチマーク及びバイヤーズガイド
・Conformance checks/validators & acceptance test suite	・適合性チェック／妥当性確認及び受入テストスイート
・Procurement clauses	・調達条項
・Training/workshops for engineers & compliance teams	・エンジニア及びコンプライアンスチーム向けトレーニング／ワークショップ
・Community samples (SBOMs, policies, SOPs)	・コミュニティサンプル（SBOM、ポリシー、標準手順書）
・Advisory hours	・アドバイザリー時間
・Other	・その他
Which external supports would accelerate your progress?	どの外部支援があなたの進捗を加速させるか？
Not at all, Slightly, Moderate, Quite a lot, Extremely	全くない、ややある、中程度、かなりある、非常に
・Reference implementation (open sample repo + pipeline)	・リファレンス実装（公開サンプルリポジトリ＋パイプライン）
・Tool evaluations/benchmarks and buyer’s guide	・ツール評価／ベンチマークとバイヤーズガイド
・Revenue/Sales Enablement: Meeting customer contractual requirements, gaining a competitive edge in bids.	・収益／営業支援：顧客契約要件の達成、入札での競争優位性の獲得
・Conformance checks/validators & acceptance test suite	・適合性チェック／妥当性確認及び受入テストスイート
・Procurement clauses	・調達条項
・Training/workshops for engineers & compliance teams	・エンジニア及びコンプライアンスチーム向けトレーニング／ワークショップ
Other	その他
Where does your organisation realize the greatest measurable value from using SBOMs?	御社はSBOM利用により、どの領域で最大の測定可能な価値を実現しているか？
Not at all, Slightly, Moderate, Quite a lot, Extremely	全くない、ややある、中程度、かなりある、非常に大きい
・Risk Reduction/Cost Avoidance: Faster CVE triage, avoiding security breaches, reduced fines.	・リスク低減／コスト回避：CVEの迅速なトリアージ、セキュリティ侵害の回避、罰金削減
・Operational Efficiency: Streamlining developer workflows, faster release cycles, automated compliance checks.	・業務効率化：開発者ワークフローの合理化、リリースサイクルの短縮、コンプライアンスチェックの自動化。
・Revenue/Sales Enablement: Meeting customer contractual requirements, gaining a competitive edge in bids.	・収益/営業支援：顧客の契約要件を満たし、入札で競争優位性を獲得。
・Compliance/Audit Ease: Simply meeting mandatory regulatory or internal audit requirements.	・コンプライアンス/監査容易性：必須の規制要件や内部監査要件を単純に満たす。
Other	その他
Supplier Requirements (for SBOM consumers)	サプライヤー要件（SBOM利用者向け）
Do you enforce SBOM requirements in contracts?	契約でSBOM要件を義務付けているか？
・Yes, mandatory	・はい、必須
・Yes, best effort	・はい、最善努力
・Not yet, planning	・未実施、計画中
・No	・いいえ
・Don't know	・わからない
What percentage of your suppliers provide SBOMs that meet your profile?	御社のプロファイルを満たすSBOMを提供するサプライヤーの割合は？
・0% - 25%	・0%～25%
・26% - 50%	・26%～50%
・51% - 75%	・51%～75%
・76% -100%	・76%～100%
・Don't know	・わからない
What are the main gaps in suppliers' SBOMs? (Pick up to 3)	サプライヤーのSBOMにおける主な不足点は？（最大3つ選択）
Between 1 and 3 selections	1～3個選択
・Timeliness	・適時性
・Completeness	・完全性
・Identifier accuracy	・識別正確性
・Format mismatch	・フォーマットの不一致
・License data	・ライセンスデータ
・Vulnerability references	・脆弱性参照情報
・Signature/attestation	・署名/認証
・Alignment to acceptance criteria	・受入規準への適合性
・Other	・その他
Final remarks	最終所見
What single feature or capability would you add to make SBOMs more valuable to your organisation?	SBOMを組織にとってより価値あるものにするために追加したい単一の特徴や機能は何か？
Other comments or suggestions	その他のコメントや提案