欧州 ENISA パブコメ SBOMの現状分析 - 実装ガイドに向けて案 (2025.12.17)
こんにちは、丸山満彦です。
ENISAが、SBOMの実装ガイドを含む文書を公表し、意見募集をしていますね(2026.01.23まで...)
EUでは、サイバーレジリエンス法(CRA)をスムーズに実装するために、このような実装ガイドを公表しているのだろうと思います...
なかなか興味深いので、一読をおすすめします...特に2章、3章...
● ENISA
・2025.12.17 Call for Feedback: Advancing Software Supply Chain Security together!
| Call for Feedback: Advancing Software Supply Chain Security together! | フィードバック募集:ソフトウェア供給網のセキュリティ向上を共に推進しよう! |
| ENISA invites industry stakeholders and interested parties to provide their feedback on the draft SBOM Landscape Analysis and the Technical Advisory for Secure Use of Package Managers. | ENISAは業界関係者及び関心を持つ者に対し、SBOMランドスケープ分析ドラフト及びパッケージ管理ツールの安全な利用に関する技術的助言へのフィードバック提供を呼びかける。 |
| ENISA works to strengthen cybersecurity by promoting cybersecurity-by-design and cybersecurity-by-default in the EU market. The EU is prioritising the security of all digital products and the protection of end-users, safeguarding our shared connected ecosystem. Through the launch of the two new public consultations, the Agency aims to engage with professionals working in product security and development to provide meaningful guidance and support in advancing cybersecurity across the ecosystem. | ENISAは、EU市場における設計段階からのサイバーセキュリティ(Cybersecurity-by-design)とデフォルト設定によるサイバーセキュリティ(Cybersecurity-by-default)の推進を通じて、サイバーセキュリティの強化に取り組んでいる。EUは、すべてのデジタル製品のセキュリティとエンドユーザーの保護を優先し、我々が共有する接続されたエコシステムを保護している。2つの新たな公開協議を開始することで、当機関は製品セキュリティと開発に携わる専門家と連携し、エコシステム全体のサイバーセキュリティ推進に向けた有意義なガイダンスと支援を提供することを目指している。 |
| SBOM Landscape Analysis: Towards an Implementation Guide | SBOM ランドスケープ分析:実装ガイドに向けて |
| Software Bills of Materials (SBOM) implementation is a significant step for organisations to enhance management, transparency and resilience of their systems. ENISA has compiled a draft report of comprehensive yet practical guidance for implementing Software Bill of Materials practices within organisations of varying sizes and capabilities. | ソフトウェア部品表(SBOM)の実装は、組織がシステムの管理、透明性、レジリエンスを強化するための重要な一歩である。ENISA は、規模や能力の異なる組織内でソフトウェア部品表の実践を実装するための包括的かつ実践的なガイダンスのドラフト報告書をまとめた。 |
| You may provide your feedback by 23 January 2026 at 23:59 CET by taking part in the survey | 2026年1月23日23時59分(中央ヨーロッパ時間)までに、以下の調査に参加してフィードバックを提供できる |
| Additionally, the baseline survey to assess the state of Software Bills of Materials (SBOMs) across Europe is still open and running until the 19 December 2025. Provide your input here | さらに、欧州全域におけるソフトウェア部品表(SBOM)の現状を評価するベースライン調査は、2025年12月19日まで引き続き実施中である。こちらからご意見をお寄せください |
| ENISA Technical Advisory for Secure Use of Package Managers | ENISAによるパッケージ管理ツールの安全な利用に関する技術的助言 |
| ENISA will publish regular technical advisories on product security from 2026 onwards. The first of these technical advisories covers the use of package managers. Software development is largely driven by the use of package managers. Packages and package managers offer major benefits for software development, improving collaboration, efficiency, and consistency. Yet their interconnected nature and security risks can create a ripple effect across the software supply chain, affecting hundreds of thousands of dependent projects. | ENISAは2026年以降、製品セキュリティに関する技術アドバイザリーを定期的に公開する。最初のアドバイザリーはパッケージ管理ツールの使用に関するものだ。ソフトウェア開発は主にパッケージ管理ツールの使用によって推進されている。パッケージとパッケージ管理ツールは、コラボレーション、効率性、一貫性の向上を通じてソフトウェア開発に大きな利点をもたらす。しかし、それらの相互接続性とセキュリティリスクは、ソフトウェアサプライチェーン全体に波及効果をもたらし、数十万もの依存プロジェクトに影響を及ぼしうる。 |
| This draft document aims to support software developers in the software development lifecycle and particularly in the secure use of package managers. In particular, this document outlines common risks involved in the use of third-party packages, presents secure practices for selecting, integrating, and monitoring packages and how to address vulnerabilities found in dependencies. | この草案文書は、ソフトウェア開発ライフサイクルにおける開発者を支援し、特にパッケージ管理ツールの安全な利用を目的とする。具体的には、サードパーティ製パッケージ利用に伴う一般的なリスクを概説し、パッケージの選定・統合・監視における安全な実践方法、依存関係で発見された脆弱性への対処法を提示する。 |
| You may take part in the consultation for the Technical Advisory by 23 January 2026, 23:59 CET through the following link | 技術アドバイザリーに関する意見募集には、2026年1月23日23時59分(中央ヨーロッパ時間)までに以下のリンクから参加できる |
| Following the analysis of the public consultations, the final publications will be available on ENISA website in Q2 2026. | 公開意見募集の分析を経て、最終版は2026年第2四半期にENISAウェブサイトで公開される予定だ。 |
| Further Information | 追加情報 |
| SBOM Landscape Analysis | SBOM ランドスケープ分析 |
| Survey SBOM Landscape Analysis | SBOM ランドスケープ分析に関する調査 |
| ENISA Technical Advisory for Secure Use of Package Managers | パッケージ管理ツールの安全な利用に関する ENISA 技術アドバイザリー |
| Survey for the Technical Advisory for Secure Use of Package Managers | パッケージ管理ツールの安全な利用に関する技術アドバイザリー調査 |
| Survey on SBOM State of the Art | SBOM の現状に関する調査 |
ドラフト。。。
・2025.12.17 [PDF] SBOM LANDSCAPE ANALYSIS - TOWARDS AN IMPLEMENTATION GUIDE
目次...
| 1. INTRODUCTION | 1. 序論 |
| 1.1 PURPOSE AND SCOPE | 1.1 目的と範囲 |
| 1.1.1 WHY SBOM MATTERS? | 1.1.1 SBOMが重要な理由 |
| 1.2 DEFINITIONS | 1.2 定義 |
| 1.2.1 SOFTWARE BILL OF MATERIALS (SBOM) | 1.2.1 ソフトウェア部品表(SBOM) |
| 1.2.2 PRODUCT, SOFTWARE, COMPONENT | 1.2.2 製品、ソフトウェア、コンポーネント |
| 1.2.3 SUPPLY CHAIN | 1.2.3 サプライチェーン |
| 1.3 STRUCTURE OF THE REPORT | 1.3 レポートの構成 |
| 2. SBOM IMPLEMENTATION GUIDE | 2. SBOM 実装ガイド |
| 2.1 INITIATION PHASE | 2.1 開始フェーズ |
| 2.2 PLANNING PHASE | 2.2 計画フェーズ |
| 2.2.1 SPECIFICATIONS AND FORMAT | 2.2.1 仕様とフォーマット |
| 2.2.2 BASELINE SBOM ELEMENT REQUIREMENTS | 2.2.2 基本SBOM要素要件 |
| 2.2.3 AVAILABLE TOOLS AND AUTOMATION | 2.2.3 利用可能なツールと自動化 |
| 2.2.4 VALIDATION AND SIGNING | 2.2.4 妥当性確認と署名 |
| 2.3 EXECUTION PHASE | 2.3 実行フェーズ |
| 2.3.1 SBOM GENERATION | 2.3.1 SBOM生成 |
| 2.3.2 SBOM UTILISATION | 2.3.2 SBOM活用 |
| 2.3.3 SBOM QUALITY | 2.3.3 SBOM品質 |
| 2.3.4 SECURITY CONTROLS | 2.3.4 セキュリティ管理 |
| 2.3.5 INTEGRATION AND AUTOMATION | 2.3.5 統合と自動化 |
| 2.4 MONITORING AND CONTROLING PHASE | 2.4 監視と制御フェーズ |
| 2.4.1 VERSIONING AND UPDATES | 2.4.1 バージョン管理と更新 |
| 2.4.2 COMPONENT HEALTH ASSESSMENT | 2.4.2 コンポーネント健全性アセスメント |
| 2.5 CLOSURE PHASE | 2.5 終了フェーズ |
| 3. PRACTICAL TIPS AND EXAMPLES | 3. 実践的なヒントと事例 |
| 3.1 SBOM IMPLEMENTATION PATTERNS | 3.1 SBOM実装パターン |
| 3.2 IMPLEMENTATION CASE: MULTI-REPOSITORY SBOM AGGREGATION | 3.2 実装事例:マルチリポジトリSBOM集約 |
| 3.2.1 TECHNICAL ARCHITECTURE | 3.2.1 技術アーキテクチャ |
| 3.2.2 DEPENDENCY GRAPH CONSTRUCTION | 3.2.2 依存関係グラフ構築 |
| 3.2.3 DATA PIPELINE IMPLEMENTATION | 3.2.3 データパイプライン実装 |
| 3.2.4 OPERATIONAL WORKFLOWS | 3.2.4 運用ワークフロー |
| 3.2.5 ADVANCED TECHNICAL CAPABILITIES | 3.2.5 高度な技術的機能 |
| 3.2.6 PRACTICAL DEPLOYMENT CONSIDERATIONS | 3.2.6 実践的な展開上の考慮事項 |
| A GLOSSARY & ACRONYMS | A 用語集と略語 |
| B BIBLIOGRAPHY / REFERENCES | B 参考文献 |
| C EXAMPLE FOR CAPACITY BUILDING AND STAFF SKI | C 能力構築とスタッフスキルの開発例 |
| DEVELOPMENT | C.1 役割適応フレームワーク |
| C.1 ROLE ADAPTATION FRAMEWORK | C.1 役割適応枠組み |
| C.2 COMPETENCY DEVELOPMENT MATRIX | C.2 能力開発マトリックス |
| C.3 IMPLEMENTATION TIMELINE EXAMPLE | C.3 実装タイムラインの例 |
| C.4 SUCCESS METRICS AND KPIS | C.4 成功指標とKPI |
| C.5 LESSONS LEARNED FROM IMPLEMENTATION | C.5 実装から得た教訓 |
| D STAKEHOLDER CATEGORIES | D ステークホルダーのカテゴリー |
| D.1 SOFTWARE PRODUCERS/MANUFACTURERS | D.1 ソフトウェア生産者/製造事業者 |
| D.2 SOFTWARE PROCUREMENT EVALUATOR | D.2 ソフトウェア調達評価者 |
| D.3 SOFTWARE OPERATORS | D.3 ソフトウェア運用者 |
| D.4 STANDARDISATION BODIES | D.4 標準化団体 |
| D.5 CYBERSECURITY AGENCIES AND ENTITIES | D.5 サイバーセキュリティ機関及び事業体 |
| D.6 SUPPORTING STAKEHOLDERS (ENABLING ECOSYSTEM DEVELOPMENT) | D.6 支援ステークホルダー(エコシステム開発の促進) |
| E ADDITIONAL INFORMATION ABOUT SBOM FORMATS | E SBOMフォーマットに関する追加情報 |
| E.1 SPDX (SYSTEM PACKAGE DATA EXCHANGE) | E.1 SPDX(システムパッケージデータ交換) |
| E.2 CYCLONEDX | E.2 CYCLONEDX |
| F DETAILED MAPPING AND COMPATINILITY BETWEEN FORMATS | F フォーマット間の詳細なマッピングと互換性 |
| F.1 COMPATIBILITY OVERVIEW | F.1 互換性の概要 |
| F.2 CORE FIELD MAPPING | F.2 コアフィールドのマッピング |
| F.3 INFORMATION LOSS SCENARIOS | F.3 情報損失シナリオ |
| G TOOLS FOR CONVERTING AND TRANSLATING BETWEEN SBOM STANDARDS | G SBOM標準間の変換・翻訳ツール |
| G.1 TOOL CATEGORIES AND CHARACTERISTICS | G.1 ツールカテゴリーと特性 |
| G.2 REQUIRED CAPABILITIES ASSESSMENT | G.2 必要機能の評価 |
| H SBOM VALIDATION AND QUALITY CHECKLIST | H SBOM妥当性確認と品質チェックリスト |
| H.1 PRE-DEPLOYMENT VALIDATION GATE | H.1 展開前妥当性確認ゲート |
| H.2 RUNTIME VERIFICATION POINTS | H.2 実行時検証ポイント |
| H.3 PERIODIC QUALITY ASSESSMENT | H.3 定期的な品質アセスメント |
| H.4 INCIDENT RESPONSE VALIDATION | H.4 インシデント対応検証 |
| H.5 CRITICAL CONTROL POINTS | H.5 重要管理ポイント |
| H.6 VALIDATION TOOLCHAIN REQUIREMENTS | H.6 検証ツールチェーン要件 |
| H.7 PIPELINE INTEGRATION CHECKPOINTS | H.7 パイプライン統合チェックポイント |
| I CI/CD INTEGRATION EXAMPLES | I CI/CD 統合事例 |
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| Software Bills of Materials (SBOMs) represent a fundamental shift in how organisations understand, manage, and secure their software estates. Beyond immediate compliance drivers, SBOM adoption establishes the foundation for a transparent, resilient, and strategically managed software supply chain that transforms reactive security practices into proactive risk management capabilities. | ソフトウェア部品表(SBOM)は、組織がソフトウェア資産を理解し、管理し、保護する方法を根本的に変えるものである。即時のコンプライアンス要件を超えて、SBOMの導入は、透明性が高く、レジリエンスに富み、戦略的に管理されたソフトウェアサプライチェーンの基盤を確立する。これにより、事後対応型のセキュリティ慣行が、事前予防型のリスクマネジメント能力へと変革される。 |
| This report provides comprehensive implementation guidance for European Entities navigating SBOM adoption, with particular emphasis on practical approaches for resource-constrained environments. The frameworks presented enable organisations to progress from minimal compliance to operational excellence through structured, incremental adoption pathways. | 本報告書は、SBOM導入を進める欧州事業体向けに包括的な実装ガイダンスを提供する。特にリソース制約環境における実践的アプローチに重点を置く。提示された枠組みにより、組織は構造化された段階的導入経路を通じて、最低限のコンプライアンスから運用上の卓越性へと進展できる。 |
| SBOMs are not just static compliance artifacts, their data can also become the basis of dynamic operational intelligence assets. Organisations implementing comprehensive SBOM practices today position themselves to leverage automated security response, predictive supply chain analytics, and evidence-based architectural decisions. The transparency gained through systematic component tracking enables informed technology choices, optimised vendor relationships, and demonstrable security maturity that increasingly determines market competitiveness. | SBOMは単なる静的なコンプライアンス文書ではない。そのデータは動的な運用インテリジェンス資産の基盤ともなり得る。今日、包括的なSBOM実践を導入する組織は、自動化されたセキュリティ対応、予測型サプライチェーン分析、証拠に基づくアーキテクチャ決定を活用する立場を確立している。体系的なコンポーネント追跡によって得られる透明性は、情報に基づいた技術選択、最適化されたベンダー関係、そして市場競争力をますます決定づける実証可能なセキュリティ成熟度を可能にする。 |
| Mature SBOM capabilities deliver compound benefits across technical, operational, and business dimensions. Technical teams gain precise vulnerability impact assessment and accelerated incident response. Operational functions achieve streamlined compliance demonstration and reduced audit burden. Business leadership obtains quantifiable supply chain risk metrics and enhanced negotiation leverage with suppliers. These capabilities collectively transform software from an opaque operational risk into a transparent, manageable asset class. | 成熟したSBOM能力は、技術的、運用的、ビジネス的次元において複合的な利益をもたらす。技術チームは、正確な脆弱性影響評価と迅速化されたインシデント対応を獲得する。運用機能は、効率化されたコンプライアンス実証と監査負担の軽減を達成する。経営陣は定量化可能なサプライチェーンリスク指標と、サプライヤーとの交渉力強化を得られる。これらの能力が相まって、ソフトウェアは不透明な運用リスクから、透明性が高く管理可能な資産クラスへと変容する。 |
| The guidance acknowledges that successful SBOM implementation requires more than technical deployment—it demands organisational capability development, process integration, and cultural adaptation. By following the structured approaches detailed within, organisations can establish sustainable SBOM practices that deliver immediate security improvements whilst building towards comprehensive supply chain governance. | 本ガイダンスは、SBOM導入の成功には技術的展開以上のものが必要であることを認めている。組織能力の開発、プロセス統合、文化の適応が求められるのだ。ここに詳述された構造化されたアプローチに従うことで、組織は持続可能なSBOM実践を確立できる。これにより即時のセキュリティ改善を実現しつつ、包括的なサプライチェーンガバナンス構築へと向かうことができる。 |
● まるちゃんの情報セキュリティ気まぐれ日記
SBOM
・2025.11.27 欧州委員会 SBOMの最新状況に関する調査 (2025.12.19まで)
・2025.09.18 ドイツ 情報セキュリティ庁 BSI TR-03183: 製造事業者および製品に対するサイバーレジリエンス要件 第2部:ソフトウェア部品表 (SBOM), 第3部:脆弱性報告および通知 (2025.09)
・2025.09.08 米国他主要国 サイバーセキュリティのためのソフトウェア部品表(SBOM)に関する共通ビジョン
・2025.08.25 米国 CISA パブコメ 2025 年ソフトウェア部品表(SBOM)の最小要素
・2025.08.13 G7 人工知能のためのソフトウェア部品表に関する G7 の共通ビジョン (2025.06.12)
・2025.03.14 シンガポール オープンソースソフトウェアとサードパーティ依存のSBOMとリアルタイム脆弱性監視に関するアドバイザリー (2025.02.20)
・2024.11.25 欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)
・2024.11.12 インド政府 CERT-In SBOM技術ガイド 第1版 (2024.10.03)
・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183: 製造者及び製品に対するサイバーレジリエンス要件(一般要求事項、SBOM、脆弱性報告)
・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)
・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)
・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項
・2023.10.13 米国 CISA FBI NSA DOT 運用技術 (OT) および産業制御システム (ICS) におけるオープンソースソフトウェアのセキュリティ向上
・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ
・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略
・2023.08.30 日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」
・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)
・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引
・2023.07.09 米国 NSA CISA 継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関する共同ガイダンス (2023.06.28)
・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)
・2023.04.25 米国 CISA SBOM関連の二文書
・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
Comments