ニュース

製造業で進むSBOM対応、形骸化を防ぐ「脆弱性管理との一貫運用」が鍵に

国内外の規制強化に伴い、ソフトウェア部品表「SBOM」の作成が急務となる中、作成後の形骸化を防ぎ、実効性のある脆弱性管理サイクルへ組み込むための実務上のポイントを解説します。

生産現場のシステムNAVI編集部
製造業で進むSBOM対応、形骸化を防ぐ「脆弱性管理との一貫運用」が鍵に

この記事の要点: 株式会社AndGoは、オールインワン型セキュリティサービス「Aikido Security」の国内代理店として、製造業や開発現場で関心が高まるソフトウェア部品表「SBOM(Software Bill of Materials)」の管理動向と実務課題を整理し、発表しました。国内外の規制やガイドライン整備を背景に、SBOMの作成だけでなく、その後の脆弱性管理と一貫した運用サイクルを構築することの重要性を提唱しています。

発表内容のポイント

  • 国内外の規制やガイドライン整備により、SBOMの作成・提出を求められる場面が急増
  • 作成しただけで更新されない「SBOMの形骸化」が、多くの開発現場で課題に
  • 部品表の自動生成から脆弱性の検出・優先度付けまでを一貫して回す運用が不可欠

発表の背景

近年、開発に使われるオープンソースソフトウェア(OSS)のパッケージを狙ったソフトウェアサプライチェーン攻撃が深刻化しています。これに対し、EUのサイバーレジリエンス法(CRA)や、国内における経済産業省の「SCS評価制度」の整備など、ソフトウェアの安全性を客観的に評価する動きが本格化しています。取引先や調達要件としてSBOMの提出を求められるケースが増える一方、多くの現場で「作って終わり」になり、実態と乖離した過去の記録として放置される課題が生じています。

何が発表されたのか

SBOMを実効性のあるものにするためには、まずビルドやCI/CDパイプラインの中で自動的に最新の部品表が生成される仕組みが必要です。さらに、生成したSBOMを既知の脆弱性情報と継続的に照合し、影響範囲を即座に把握するソフトウェア構成分析(SCA)との連携が欠かせません。また、照合によって発生する大量の検出結果から、実際の利用環境において悪用されやすい危険な脆弱性を絞り込む「優先度付け(トリアージ)」の設計も重要となります。

製造業・生産管理への見方

製造業におけるDXやIoT化の進展に伴い、組み込みソフトウェアや制御システムにおけるセキュリティ確保は極めて重要なテーマです。特に医療機器や自動車などの分野をはじめ、調達要件としてSBOMの提示を求められる動きが広がっています。生産管理や開発部門は、単に規制対応として部品表を形式的に作成するだけでなく、日々の運用の中で脆弱性を監視し、製品の安全性を継続的に担保する体制づくりが求められます。限られた人手で効率的にセキュリティ品質を維持する仕組みの構築が急務です。

現場で確認したいポイント

  • 自社の開発プロセスにおいて、SBOMの生成が手作業ではなく自動で組み込まれているか
  • 生成したSBOMと最新の脆弱性情報を継続的に照合し、更新し続ける体制があるか
  • 検出された大量の脆弱性警告から、対応すべき優先順位を判断する基準が定義されているか

確認しておきたい点

ツールを導入するだけで課題がすべて解決するわけではなく、自社ソフトウェアの管理対象範囲の決定や、取引先とのSBOM共有方法など、組織ごとの運用設計を個別に検討する必要があります。

関連リンク

出典情報

出典 PR TIMES
発表企業 株式会社AndGo
発表日時 2026-07-09 11:00:02
元記事 PR TIMESで読む

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です