EUサイバーレジリエンス法(CRA)の2027年12月の適用開始に向け、ソフトウェアサプライチェーンの可視化がプロダクトセキュリティ業務の重要な要素になりつつあります。ENISAが公表した「SBOM Adoption State of Play 2026」(SBOM導入現況報告2026年版)の調査結果によると、各組織はSBOMツールの導入や自動化、ソフトウェア開発プロセスの見直しを通じて、CRAへの対応準備を進めています。
組織規模別のSBOM導入状況(出典:ENISA)
SBOMがベストプラクティスから義務へ
CRAは、デジタル要素を含む製品のメーカーに対し、ソフトウェア部品表(SBOM)の作成・維持管理、および必要に応じた提供を義務付けています。この要件により、ソフトウェアサプライチェーンの透明性確保は製品セキュリティに関するその他の義務と並ぶ位置づけとなり、製品のライフサイクル全体を通じてソフトウェアコンポーネントと依存関係を追跡するための体系的な手段が各組織に与えられます。
SBOMはソフトウェア製品を構成するコンポーネント、ライブラリ、依存関係、ライセンス情報の目録として機能します。この可視性は、脆弱性管理、サプライヤーリスク評価、ライセンスコンプライアンス、技術文書化といった活動を支えるものです。
SBOMプログラムは、より広範なプロダクトセキュリティ活動の一部として定着しつつあります。特にCRAの適用範囲に含まれると想定している組織を中心に、ソフトウェアエコシステム全体で導入が進んでいます。
導入の加速
回答者の大多数は、自組織がすでにSBOM関連のプロセスや機能の実装に着手していると答えています。
この規制は投資判断にも影響を与えており、多くの組織がSBOMツールや自動化への支出を増やしています。回答者は、ソフトウェアサプライチェーンの透明性を開発・セキュリティプラクティスに組み込む取り組みを背景に、CRA適用前に大きな進展が見込めると期待しています。
主な活用用途としては、脆弱性管理、ソフトウェアインベントリ管理、サードパーティリスク評価、コンプライアンス対応などが挙げられます。
サプライヤーの可視性における課題
SBOMの生成はソフトウェア開発ワークフローへの統合が進んでいます。回答者の39%がソフトウェアビルド時にSBOMを生成しており、ビルド時生成が最も一般的なアプローチとなっています。
調査では、自動化への投資拡大も明らかになりました。回答者は、脆弱性対応、ソフトウェアインベントリ管理、コンプライアンス対応を支援するために、製品ライフサイクル全体でSBOMの生成・更新・維持管理を行うツールを活用していると報告しています。
一方、多くの回答者がサプライヤーからSBOMを入手することの難しさを指摘しており、特にサードパーティから調達した商用ソフトウェア製品において顕著です。サプライヤーのSBOMへのアクセスが制限されると、組織の開発環境の外部に由来するコンポーネントや依存関係の可視性が低下してしまいます。
こうした情報の欠落は、脆弱性分析、ソフトウェアインベントリ管理、インシデント対応、ソフトウェアサプライチェーンリスク評価など幅広い活動に影響を及ぼします。内製ソフトウェアに関する可視性は向上している一方、サプライヤーの透明性は依然として一貫性を欠いた状況が続いています。
完全なSBOM作成の難しさ
SBOMの生成はプロセスの一部にすぎません。組織はその情報がセキュリティおよびコンプライアンス活動に役立つよう、完全かつ正確なものであることを確認する必要があります。
回答者の62%が、高い完全性を持つSBOMの実現を「かなり難しい」または「非常に難しい」と評価しています。開発ライフサイクル全体にわたってソフトウェアコンポーネントと依存関係を追跡するには、特に複雑なソフトウェア環境においては多大な労力が必要です。
データ品質の問題、脆弱性のマッチング、社内の専門知識不足が導入の妨げとなっており、SBOMデータの有用性を低下させるとともに、新たに公開された脆弱性の影響を受けるソフトウェアコンポーネントの特定を困難にしています。
各組織はこれらの課題に対処するための実践的な支援を求めています。リファレンス実装の提供、ツール選定に関するガイダンス、適合性テスト、そしてSBOMをソフトウェア開発・リスク管理・コンプライアンスプロセスに統合するための共通プラクティスの確立が主な要望として挙げられています。
翻訳元: https://www.helpnetsecurity.com/2026/06/16/enisa-software-supply-chain-transparency/
