複数の政府サイバー機関が、AI向けのソフトウェア部品表(SBOM)の最小要素を定義し、AIサプライチェーンを強化するための新しいリソースを持っています。
目的は、公共および民間セクターの関係者が人工知能(AI)システムとサプライチェーンの透明性を向上させるのを支援することです。
このペーパー、Software Bill of Materials (SBOM) for Artificial Intelligence – Minimum Elementsは、5月12日に発行され、G7サイバーセキュリティワーキンググループによって作成されました。
これは、ワーキンググループが2025年6月に発行したAI向けSBOMの共有ビジョンに基づいています。
このドキュメント内のAI向けSBOMへのアプローチの核心は、AIシステムの生産者と利用者の両方が使用できるそれらのクラスタ内の7つの「クラスタ」と潜在的な要素です。
AI向けSBOMの7つのクラスタ
AI向けSBOMの7つのクラスタは以下の通りです:
- メタデータ:メタデータクラスタは、個別のコンポーネントまたはサブ要素ではなく、SBOM for AI自体に関連する情報を表すために使用されます
- システムレベルプロパティ(SLP):SLPクラスタには、AIシステム全体の情報を参照する要素が含まれています。このクラスタには、AIシステムで使用されるすべてのソフトウェア依存性とフレームワーク、およびAIシステムコンポーネントがどのようにやり取りし、ユーザーデータを処理するかに関する情報も含まれます
- モデル:モデルクラスタには、AIシステムで使用されるモデルを識別するための基本情報が含まれ、各モデルの重みがどのように生成されたかを説明し、それらのプロパティと制限をアウトラインします
- データセットプロパティ(DP): DPクラスタは、モデルの全ライフサイクル中に使用されるデータセットに関する情報を提供し、データのアイデンティティとプロベナンスを文書化する基本情報を含みます
- 主要業績評価指標(KPI):KPIクラスタには、AIシステムのKPIとそのコンポーネント(システムに統合されたAIモデルを含む)に関する情報を参照する要素が含まれ、ライフサイクルフェーズに焦点を当てます
- インフラストラクチャ:インフラストラクチャクラスタには、AIシステムの適切な動作とサポートに不可欠な物理的および仮想インフラストラクチャが含まれています。存在する場合は、専門的なAIハードウェアもカバーするためにハードウェア部品表(HBOM)へのリンクも含まれます
- セキュリティプロパティ(SP):SPクラスタは、AIモデルとシステムに適用されるサイバーセキュリティ対策に焦点を当てています
このペーパーは、SBOM for AI自体に関する情報を含むメタデータクラスタを除いて、すべてのクラスタが同等に重要であることを指摘しました。
SBOMだけでは不十分
重要なことに、ドキュメントは、これらのクラスタが必須ではなく、さらなる改良に開放されていることを述べています。
7つのクラスタのうち、2021年8月から2025年7月までCISAのSBOM取り組みをリードしたAllan Friedmanは、彼がそれらの「多くが好きだ」と述べました。しかし、彼は多くのクラスタが「測定するのが難しい、または特定の組織間で定義するのは難しい」とコメントしました。
ドキュメントはまた、AI向けSBOM自体がサプライチェーン全体のサイバーセキュリティを増加させるために「十分ではない」ことを指摘しています。
著者たちは、AIサプライチェーンの実質的な保護を確保するために、AI向けSBOMは脆弱性スキャンおよび管理ツール、セキュリティ勧告およびリリースノート、適応可能で進化的なツールメカニズムの開発促進などのサイバーセキュリティツールに接続する必要があると主張しています。
「最終的には、正しいサイバーセキュリティツールと一緒に展開されれば、AI向けSBOMはAIサプライチェーンのセキュリティを強化するのに役立つでしょう」と、ペーパーは述べています。
このガイダンスは、ドイツ連邦情報セキュリティ局(BSI)、イタリア国家サイバーセキュリティ機関(ACN)、フランス国家サイバーセキュリティ機関(ANSSI)、カナダ通信セキュリティ確立(CSE)、米国サイバーセキュリティインフラストラクチャセキュリティ局(CISA)、英国国家サイバーセキュリティセンター(NCSC)、および日本の国家サイバーセキュリティ事務所(NCO)が、EU委員会との協力のもと、共同で発行しました。
翻訳元: https://www.infosecurity-magazine.com/news/new-sboms-for-ai-guidance-2026/
