青と白のロボットのクローズアップ
標準化団体、オープンソースプロジェクト、商用ベンダーは、AI BOMの約束を実現するための意味のある勢いをすでに構築しています。
OWASPはCycloneDX SBOM標準により、Linux FoundationはSPDX標準により、ともにAI固有の拡張機能をリリースしています。OWASP AI SBOM Initiativeは週次のオープンミーティングを開催し、Hugging FaceモデルからCycloneDXフォーマットでAIBOMを自動生成する初のオープンソースツール、OWASP AI BOM Generatorを開発しました。SPDX標準はバージョン3.0でAIおよびデータセットプロファイルを追加し、モデルトレーニングおよびデータプロビナンスのためのフィールドマッピングを提供しています。一方、OpenSSF AI/ML Working Groupは2025年にモデル署名仕様を形式化し、Google、HiddenLayer、NVIDIAからの貢献を受けています。さらに、CISAのAI SBOM Tiger Teamは2025年に基礎的なガイダンスを公開しましたが、同庁の今年の著しい人員削減により、多くの進行中のイニシアティブに不確実性がもたらされています。
商用側では、ベンダーはプラットフォームにAI BOM機能を追加しています。Manifest Cyberは2025年夏にAIサプライチェーンセキュリティ製品をリリースし、主要なIT、防衛、自動車企業との提携で開発されたもので、18ヶ月以上AIBOMジェネレータを運用しています。Cycodeは2025年10月にアプリケーションセキュリティ態勢管理プラットフォームの一部としてAI&ML InventoryおよびAI BOM生成をリリースしました。JFrogはプラットフォームを拡張してAIモデルをソフトウェアアーティファクトと同じ厳密さで管理し、2026年3月にUniversal MCP Registryを発表します。Apiiroおよび他社は同様の統合を構築しています。学術的な作業も進展しており、2026年1月の論文はモデルトレーニング中に暗号署名されたAIBOMを生成するための概念実証プラットフォームであるAIBoMGenを紹介しました。
規制上の圧力も緊迫感を加えています。EU AI法は2026年8月に完全に発効し、AI BOMコンテンツと直接一致するドキュメント要件を持ちます。高リスクAIシステムを展開する組織は、その日までに適合性評価を完了し、技術文書を最終化し、EUデータベース登録を実施する必要があります。この法律は特に、システムがリスクを提示する可能性のある状況をカバーするロギング機能、市場投入後の監視のためのデータ、および展開者による運用監視を要求しており、これらすべてはAI BOMが取得するように設計されたプロビナンスおよびテレメトリードキュメントと一致しています。
米国の規制当局も動いています。FY26国防認可法の新しい言語は、DoD向けにソフトウェアを販売するベンダーにSBOMでAIコンポーネントを説明することを要求し、事実上防衛契約企業にAI BOMを義務付けています。さらに、SECは2026年の検査優先事項としてAIガバナンスを特定しており、検査官は新しい専用ルールなしでもAI方針およびガバナンスについて鋭い質問をしています。
さらに、サイバー保険会社は、ランサムウェアが2021年に引受を再形成した後に使用した同じプレイブックに従っています。保険会社はAIガバナンスドキュメントをカバレッジの条件として開始し、モデルインベントリの不在を単なる見落としではなくリスク信号として扱っています。CyberCubeの2026年4月グローバル脅威ブリーフィングは、引受人が「権限、APIスコープ制御、ロギング、および職務分離を含むAIエージェントのガバナンス」を評価することを推奨しています。これらは、エージェント対応AI BOMが組織がドキュメント化および実証するのを支援できる種類のコントロールです。
AI BOMの採用は、業界が規制期限が迫る前に標準を定義し、実用的なツーリングを構築するために急速に動いている中で、大部分が理想段階にあります。2026年はAI Bill of Materialsが現実になる年か?を読んで、セキュリティリーダーが現在の可視性の課題にどのように対処しているかを確認してください。
翻訳元: https://www.darkreading.com/cybersecurity-analytics/what-make-ai-bom-real
