経産省 SBOM導入に関する手引きの意見募集

経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」（ソフトウェア部品表）に着目し、企業による利活用を推進するための検討を進めてきた。2023年7月には、ソフトウェアを供給する企業と調達する企業の双方を想定読者として、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定した。
その後もSBOMのより効率的な活用方法等の検討を継続し、今般、本手引書を改訂する予定。具体的には、（1）ソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方、（2）SBOM導入の効果及びコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワーク、（3）委託先との契約等においてSBOMに関して規定すべき事項（要求事項、責任、コスト負担、権利等）を追加している。本改訂案について、2024年4月26日（金曜日）から5月27日（月曜日）までの間で意見を募集中である。

意見募集の詳細

意見募集対象資料

ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0（案）
意見提出方法等の詳細は、意見公募要領を参照。

※ 意見公募要領は、こちら掲載。
（ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0（案）の意見公募について）

意見募集期間

2024年4月26日（金曜日）から5月27日（月曜日）まで

関連資料

• ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0（案）（PDF形式：3,889KB）
• ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0（案） 概要資料（PDF形式：1,392KB）

「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0（案）」の概要

「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0（案）」は、ソフトウェアを供給する企業と調達する企業の双方を想定読者としている。2023年7月に公表した「ソフトウェア管理に向けたSBOMの導入に関する手引ver1.0」の内容に加えて、以下の内容を盛り込んでいる。

（1）脆弱性管理プロセスの具体化（第7章）

SBOMを活用することで、ソフトウェアの脆弱性管理を通じた脆弱性リスクの低減が効果として見込まれていることから、SBOMを活用するプロセスの中でも、脆弱性管理に関するフェーズが特に重要である。本章では、ソフトウェアの脆弱性を管理する一連プロセスにおいてSBOMを効果的に活用するための具体的な手順と考え方をまとめることで、SBOM活用による効果を高めるための参考情報を提供している。

（2）「SBOM対応モデル」の追加（8.付録）

本モデルでは、SBOM導入の効果及びコストを勘案して実際にSBOMを導入することが妥当な範囲を検討するためのフレームワークを示している。当該フレームワークを用いることで、高度な管理を行えるソフトウェア、すなわちセキュアなソフトウェアが市場に適切に評価され、その流通が促進されることが期待できる。

（3）「SBOM取引モデル」の追加（9.付録）

本モデルでは、ソフトウェア部品の受発注において、調達者と供給者の間でSBOMに関して契約に規定すべき事項（要求事項、責任、コスト負担、権利等）について参考となる例を示している。

出典：経済産業省　サイバー攻撃への備えを！「SBOM」（ソフトウェア部品構成表）を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引（案）を公表します