SBOM（エスボム）とは何ですか？

ソフトウェアに含まれるすべてのコンポーネント（ライブラリ、依存関係など）を一覧化した「部品表」。

SBOM（エスボム）のポイントは？

Software Bill of Materialsの略で、ソフトウェアの構成部品リスト。使用しているOSSやライブラリの脆弱性を素早く特定できる。EUサイバーレジリエンス法や米国大統領令で対応が義務化の流れ。経産省も手引きを公表し、日本でも2026年から評価制度が運用開始

【えすぼむ】

💡 ソフトウェアの「成分表示ラベル」

📌 このページのポイント

SBOM（ソフトウェア部品表）のイメージ

ひよこ

SBOMってなんで必要なの？

ペンギン先生

現代のソフトウェアは何百ものOSSライブラリを使っているよね。そのうち1つに脆弱性が見つかったとき、「うちのシステムにそのライブラリ使ってたっけ？」を即座に調べるための部品リストがSBOMなんだ

ひよこ

Log4jの事件みたいなとき？

ペンギン先生

まさにそう！Log4Shell脆弱性のとき、多くの企業が「自社のどのシステムにLog4jが使われているか」を把握できず対応に何週間もかかったんだ。SBOMがあれば数分で影響範囲を特定できるよ

ひよこ

法律で義務化されるの？

ペンギン先生

EUのサイバーレジリエンス法ではデジタル製品にSBOMの提供が義務化されるし、米国では政府調達のソフトウェアにSBOMが必須になった。日本でも経産省が手引きを出して、2026年度からセキュリティ評価制度にSBOMが組み込まれるよ

ひよこ

どうやって作るの？

ペンギン先生

Syft、Trivy、CycloneDXなどのツールで自動生成できるよ。CI/CDパイプラインに組み込んで、ビルドのたびにSBOMを自動更新するのがベストプラクティスだね。フォーマットはSPDXとCycloneDXの2つが主流だよ

まとめ：ざっくりこれだけ覚えればOK！

「SBOM」って出てきたら「ソフトウェアの部品リスト。脆弱性管理に必須」と思えればだいたいOK！

📖 おまけ：英語の意味

「Software Bill of Materials」＝ソフトウェア部品表

💬 製造業のBOM（部品表）をソフトウェアに応用した概念。食品の原材料表示のようなものだよ