2σ Guide

SBOM作成とOSS管理の実務
契約・知財・セキュリティまで

ソフトウェア部品表を、OSSライセンス遵守、脆弱性管理、調達、M&A、内部統制、顧客説明へ接続するための実務論です。

ver.2.0 経済産業省手引
2027年12月 EU CRA主要義務
30/90/180/365日 段階導入の目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

SBOM作成とOSS管理の実務 契約・知財・セキュリティまで

ソフトウェア部品表を、OSSライセンス遵守、脆弱性管理、調達、M&A、内部統制、顧客説明へ接続するための実務論です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
SBOM作成とOSS管理の実務 契約・知財・セキュリティまで
ソフトウェア部品表を、OSSライセンス遵守、脆弱性管理、調達、M&A、内部統制、顧客説明へ接続するための実務論です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • SBOM作成とOSS管理の実務 契約・知財・セキュリティまで
  • ソフトウェア部品表を、OSSライセンス遵守、脆弱性管理、調達、M&A、内部統制、顧客説明へ接続するための実務論です。

POINT 1

  • SBOM作成とOSS管理の実務の全体像
  • SBOMは単発の提出物ではなく、契約・開発・調達・監査・インシデント対応をつなぐ統制基盤です。
  • 構成を説明できる状態
  • リスクへ接続する台帳
  • 部門横断の統制

POINT 2

  • SBOM作成とOSS管理の基本概念
  • SBOMはOSSだけでなく、商用部品、自社モジュール、コンテナ、AIモデル、データセットまで広げて考えます。
  • SBOMとは何か
  • OSS管理との違い
  • SBOMは、製造業における部品表の考え方をソフトウェアへ適用したものです。

POINT 3

  • SBOM作成とOSS管理に関わる標準・制度
  • 1. NTIAがSBOM最小要素を提示:米国でSBOMの基本項目が整理され、ソフトウェア構成情報を標準化して共有する考え方が広がりました。
  • 2. 経済産業省手引 ver.2.0:日本では、ソフトウェア供給者と利用者の双方を対象に、SBOM導入、脆弱性管理、取引モデルが整理されています。
  • 3. CISA最小要素案:2025年版はドラフトであり、任意ガイダンスとして意見募集の対象になっている点を区別して扱う必要があります。
  • 4. 米国連邦調達の新たな覚書
  • 5. EU Cyber Resilience Act:脆弱性報告等の一部義務は2026年9月11日から、主な義務は2027年12月11日から適用されるとされています。

POINT 4

  • SBOM作成とOSS管理で企業法務が見る主要リスク
  • 既知脆弱性の放置
  • 表明保証・補償責任
  • 知財非侵害、OSS利用制限、脆弱性通知、監査権、下請先管理義務などの条項とSBOMの正確性・更新義務が結びつきます。

POINT 5

  • SBOM作成の実務プロセスと品質基準
  • 1. リリースや重要変更時に作成:対象製品名、対象バージョン、ビルド番号、生成日時、ツール、対象範囲、除外範囲を記録します。
  • 2. 品質基準と照合:完全性、正確性、機械可読性、依存関係、ライセンス情報、版数対応を確認します。
  • 3. 成果物と紐付ける:CI/CDログ、リリースノート、コンテナダイジェスト、電子署名、アーティファクト管理システムと結び付けます。
  • 4. 契約と秘密保持に従って提供:顧客提出用は、NDA、目的外利用禁止、再開示範囲、保存期間、アクセス権限を定めて扱います。

POINT 6

  • SBOM作成とOSS管理のガバナンス設計
  • 1. 利用申請:開発者が利用目的、提供形態、配布有無、対象製品を登録します。
  • 2. 自動確認:ライセンス、既知脆弱性、メンテナンス状況、識別子をツールで確認します。
  • 3. リスク分類:低リスクは簡易承認、高リスクは法務・知財・セキュリティが確認します。
  • 4. 条件付き承認又は不採用:ソース提供義務、顧客契約、脆弱性、代替部品を確認します。
  • 5. SBOMと台帳へ反映:承認条件、版数、NOTICE、リリース前再スキャンへ接続します。
  • 6. リリース後監視:脆弱性、EOL、顧客提出、例外期限を継続的に確認します。

POINT 7

  • SBOM作成とOSS管理を契約条項へ落とし込む実務
  • 買主側は提出義務の中身を明確にし、売主側は無限定な保証にならないよう対象範囲と限界を定めます。
  • 買主側が定める事項
  • 売主側が限定すべき事項
  • 条項例で押さえる骨子

POINT 8

  • SBOM作成とOSS管理をM&A・インシデント対応で使う
  • デューデリジェンスと重大脆弱性対応では、SBOMの有無が初動速度と説明の精度を左右します。
  • M&A・投資・IPOの確認事項
  • 構成とライセンス
  • 脆弱性と履歴

まとめ

  • SBOM作成とOSS管理の実務 契約・知財・セキュリティまで
  • SBOM作成とOSS管理の実務の全体像:SBOMは単発の提出物ではなく、契約・開発・調達・監査・インシデント対応をつなぐ統制基盤です。
  • SBOM作成とOSS管理の基本概念:SBOMはOSSだけでなく、商用部品、自社モジュール、コンテナ、AIモデル、データセットまで広げて考えます。
  • SBOM作成とOSS管理に関わる標準・制度:国内外の制度は、SBOMを法令、調達、ガイドライン、標準形式の交点へ押し上げています。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

SBOM作成とOSS管理の実務の全体像

SBOMは単発の提出物ではなく、契約・開発・調達・監査・インシデント対応をつなぐ統制基盤です。

現代のアプリケーション、組込み機器、クラウドサービス、AIサービス、業務システムは、OSS、商用ライブラリ、コンテナイメージ、OSパッケージ、ビルドツール、API、SaaS、機械学習モデル、データセットなどの集合体です。この構成を把握しないままでは、ライセンス義務、既知脆弱性、輸出管理、個人情報、知財侵害、契約責任、M&Aの隠れ債務、サプライチェーン攻撃への対応が難しくなります。

SBOMは Software Bill of Materials の略で、ソフトウェアの部品表です。どの製品・サービスに、どのコンポーネントが、どのバージョンで、どの依存関係をもって含まれているかを機械可読に記録します。企業法務では、契約上の説明責任、OSSライセンス遵守、セキュリティ通知、調達基準、内部統制、監査証跡、M&Aデューデリジェンス、顧客対応、規制対応の基礎資料になります。

このページでは、SBOMを社内制度へ落とし込むときに押さえるべき論点を、3つの視点に分けて整理します。読者は、SBOMを「作って終わり」のファイルではなく、継続的に生成し、検証し、更新し、共有し、リスク評価につなぐ仕組みとして読むことが重要です。

Pillar 01

構成を説明できる状態

コンポーネント名、バージョン、提供者、識別子、依存関係、ライセンス、ハッシュ、作成日時を、製品やリリース単位で追える状態にします。

Pillar 02

リスクへ接続する台帳

OSSライセンス、既知脆弱性、EOL、顧客影響、契約上の通知義務、VEX、修正状況を同じ部品情報から確認できるようにします。

Pillar 03

部門横断の統制

経営、法務、知財、セキュリティ、開発、調達、内部監査が同じ証跡を見て、受け入れるリスクと是正するリスクを判断します。

SBOM作成とOSS管理で最初に確認すべき問いは、法令上の一般的義務だけではありません。契約上、取引上、規制上、監査上、説明責任上、SBOMを持たないことがどの不利益につながるかを検討する必要があります。

  • SBOMとは何か、OSS管理と何が違い、どのようにつながるのか。
  • 日本企業にとって、SBOMは法律上の義務、契約上の義務、事実上の取引要件のどれに当たるのか。
  • 誰が、いつ、どの範囲で、どの標準形式により、どの品質でSBOMを作るべきか。
  • 取引先へSBOMを要求する場合、契約条項に何を入れるべきか。
  • OSS違反、脆弱性対応、M&A、製品事故、情報漏えい、不祥事調査でSBOMをどう使うべきか。
結論企業が整備すべきものは、単発のSBOMファイルではなく、SBOMを継続的に生成・検証・更新・共有し、リスク評価へ接続する管理体制です。
Section 01

SBOM作成とOSS管理の基本概念

SBOMはOSSだけでなく、商用部品、自社モジュール、コンテナ、AIモデル、データセットまで広げて考えます。

SBOMとは何か

SBOMは、製造業における部品表の考え方をソフトウェアへ適用したものです。自動車や医療機器で部品表がなければリコール対象部品を特定できないのと同じように、SBOMがなければ、特定の脆弱性を含むライブラリがどの製品に入っているかを迅速に把握できません。

次の一覧は、SBOMに含めるべき代表的な項目と、法務・実務上の意味を整理したものです。各列は、部品の特定、リスク評価、監査証跡という異なる目的に対応しており、抜けがあると契約説明や脆弱性判定の精度が下がります。

項目内容法務・実務上の意味
コンポーネント名ライブラリ、パッケージ、モジュール等の名称ライセンス確認、脆弱性照合、契約上の説明
バージョンコンポーネントのバージョン番号脆弱性の該当性判断、EOL確認
サプライヤー提供者、組織、プロジェクト責任分界、出所確認、信頼性評価
識別子purl、CPE、SPDX ID等自動照合、機械処理、誤同定防止
依存関係直接依存・間接依存の関係影響範囲分析、修正計画
ライセンスOSSライセンス、商用ライセンス、例外条項著作権表示、ソース開示、特許条項、利用制限
ハッシュ値ファイルやパッケージの暗号学的識別子改ざん検知、証跡、真正性確認
作成日時・作成者生成時点、生成ツール、責任者監査証跡、契約上の提出物管理

SBOMの本質は、自社が何を使っているかを説明できる状態を作ることです。大量のコンポーネントと脆弱性情報を自動的に突合し、製品別、顧客別、バージョン別に影響を判定するためには、SPDXやCycloneDXなどの機械可読な標準形式で管理することが望ましいです。

OSS管理との違い

OSSは、ソースコードの利用、複製、改変、再配布を一定条件のもとで許諾するライセンスに基づいて公開されるソフトウェアです。無料で使えることと、自由に何をしてもよいことは同じではありません。著作権者は権利を放棄しているのではなく、ライセンス条件に従う限りで利用を許諾しています。

次の比較は、OSS管理とSBOM管理の守備範囲の違いを示します。どちらか一方を選ぶのではなく、OSS管理を土台にしてSBOM管理へ広げると、ライセンス、脆弱性、調達、監査を同じ台帳で扱いやすくなります。

観点OSS管理SBOM管理
主な対象OSSの利用申請、承認、ライセンス遵守OSS、商用部品、自社モジュール、コンテナ、OSパッケージ、AIモデル、データセット
主な目的著作権表示、ライセンス文、ソース提供義務、社内教育構成管理、脆弱性照合、取引先共有、監査証跡、顧客影響分析
運用上の課題誰が利用可否を判断し、例外を承認するかどの成果物に対応する情報か、どの品質で更新するか
実務上の接続OSS申請台帳やライセンスチェックを整備する申請台帳をSBOM生成、VEX、脆弱性監視、提出履歴へ接続する

OSS管理が未整備のままSBOMツールだけを導入すると、検出結果を誰が判断し、どのように是正するかが決まらず、運用が形骸化しやすくなります。制度設計では、技術検出、法的評価、契約判断、顧客説明を分けて考える必要があります。

Section 02

SBOM作成とOSS管理に関わる標準・制度

国内外の制度は、SBOMを法令、調達、ガイドライン、標準形式の交点へ押し上げています。

なぜ企業法務のテーマになるのか

ソフトウェアサプライチェーン攻撃は、単一企業の境界を超えて発生します。自社が直接書いたコードに問題がなくても、依存しているOSS、パッケージレジストリ、ビルド環境、CI/CD、署名鍵、委託先コード、アップデート配信経路に問題があれば、製品全体の信頼性が損なわれます。

SBOMは、法令上の一般的義務として全企業に一律に課されるものとは限りませんが、官公庁、重要インフラ、医療、金融、防衛、自動車、産業制御、SaaS、クラウドサービス、M&A、製品安全、品質保証、海外顧客との取引では、提出や説明を求められる場面が増えています。企業法務では、契約上、取引上、規制上、監査上、説明責任上の不利益を合わせて検討します。

次の時系列は、SBOMに関する制度・ガイダンスの進展を、企業が確認すべき節目として整理したものです。日付は適用時期やドラフト段階の違いを読み分けるために重要で、契約や製品計画では自社の販売先・顧客・調達基準との関係を確認します。

2021年

NTIAがSBOM最小要素を提示

米国でSBOMの基本項目が整理され、ソフトウェア構成情報を標準化して共有する考え方が広がりました。

2024年

経済産業省手引 ver.2.0

日本では、ソフトウェア供給者と利用者の双方を対象に、SBOM導入、脆弱性管理、取引モデルが整理されています。

2025年

CISA最小要素案

2025年版はドラフトであり、任意ガイダンスとして意見募集の対象になっている点を区別して扱う必要があります。

2026年

米国連邦調達の新たな覚書

リスクベースのソフトウェア・ハードウェアセキュリティに関する枠組みの中で、契約条件として必要に応じ最新SBOM提供を求め得る考え方が示されています。

2026年9月・2027年12月

EU Cyber Resilience Act

脆弱性報告等の一部義務は2026年9月11日から、主な義務は2027年12月11日から適用されるとされています。

SPDX、CycloneDX、OpenChain、VEX

標準や制度は、何を重視するかによって使いどころが異なります。次の比較表では、法務・知財、セキュリティ、組織管理、顧客説明のどこに効くかを読み取り、契約条項で形式だけでなく品質、範囲、更新時期まで定める必要があります。

標準・仕組み位置づけ実務上の使いどころ
SPDXISO/IEC 5962:2021として国際標準化されたSBOM形式ライセンス情報、著作権表示、ファイル単位の権利情報を精密に扱う場面
CycloneDXOWASPが推進するBOM標準脆弱性管理、コンテナ、SaaS、VEX、クラウド、AI、暗号資産棚卸しとの連携
OpenChain ISO/IEC 5230OSSライセンスコンプライアンスプログラムの要件OSSポリシー、責任体制、教育、記録管理、継続的改善を示す場面
OpenChain ISO/IEC 18974OSSセキュリティ保証プログラムの要件既知脆弱性、セキュリティ手順、役割責任、継続可能性を示す場面
VEX・CSAF脆弱性が特定製品に影響するかを構造化する考え方脆弱性データベース該当後に、到達可能性や影響有無を顧客へ説明する場面
CVE・NVD・KEV脆弱性識別子、脆弱性データ、実悪用情報SBOMと突合して初期スクリーニングを行い、実際の利用状態を確認する場面

SPDXとCycloneDXは単純な優劣では決まりません。ライセンス監査に重点を置く場合はSPDXが適する場面があり、脆弱性管理、コンテナ、クラウド、VEX連携に重点を置く場合はCycloneDXが適する場面があります。取引先の要求に応じ、両形式に変換できる体制を整えることも現実的です。

注意SBOMと脆弱性データベースの突合結果は、法務上も技術上も最終判断ではありません。登録遅延、誤検知、識別子の揺れ、パッケージ名の不一致を踏まえ、到達可能性、設定、顧客影響、修正可能性を確認します。
Section 03

SBOM作成とOSS管理で企業法務が見る主要リスク

ライセンス、脆弱性、契約、秘密情報、M&Aの各リスクは、同じ部品情報を起点に連鎖します。

OSSライセンス違反

OSSライセンス違反では、著作権表示やライセンス文の同梱漏れ、ソースコード提供義務の不履行、改変箇所の表示漏れ、ライセンス互換性の見落とし、禁止された商標使用、特許条項への無理解が問題になりやすいです。

次の表は、ライセンス類型ごとの典型的な注意点を整理したものです。ライセンス名だけでリスクを決めず、配布有無、改変有無、リンク方法、SaaS提供、組込み製品、顧客提供物か社内利用かを合わせて確認します。

類型実務上の注意点
パーミッシブ型MIT, BSD, Apache-2.0表示義務、ライセンス文同梱、Apache-2.0の特許条項
弱いコピーレフト型LGPL, MPLリンク方法、改変ファイル、ソース提供範囲
強いコピーレフト型GPL派生物、配布、ソース開示、ビルド情報
ネットワーク型AGPLSaaS提供時のソース提供義務が問題になり得る
デュアルライセンスGPL又は商用ライセンス等商用ライセンス購入によりリスクを下げられる場合がある

部品情報から派生するリスク

次の一覧は、SBOMで把握した部品情報がどのリスクに波及するかを示します。見出しごとに問題の性質が異なるため、読者は「検出した事実」と「法的評価」と「顧客説明」を分けて読むことが重要です。

既知脆弱性の放置

重大脆弱性を認識しながら調査、優先順位付け、修正、緩和、通知を行わない場合、契約上のセキュリティ義務、製品安全、取締役のリスク管理義務に波及し得ます。

表明保証・補償責任

知財非侵害、OSS利用制限、脆弱性通知、監査権、下請先管理義務などの条項とSBOMの正確性・更新義務が結びつきます。

秘密情報性と攻撃面

SBOMは透明性を高める一方、製品内部の構成や利用ライブラリを示すため、NDA、目的外利用禁止、再開示制限、アクセス制御が必要です。

M&A・IPOの隠れたリスク

未管理のGPLコード、商用利用不可ライセンス、古い脆弱なライブラリ、委託開発の権利帰属不備は、価格調整や補償交渉の対象になり得ます。

脆弱性対応では、CVSSの点数だけでなく、実際に製品へ含まれるか、脆弱なコードパスへ到達可能か、ネットワークから攻撃可能か、攻撃コードが公開されているか、実際に悪用されているか、顧客環境で有効な設定か、代替緩和策があるか、修正による互換性リスクがあるかを確認します。

重要VEXを責任逃れの文書として扱ってはいけません。技術的根拠に基づく影響有無の説明であり、誤った内容は契約上の表示保証、虚偽説明、品質保証、セキュリティ通知義務の問題になり得ます。
Section 04

SBOM作成の実務プロセスと品質基準

目的、対象範囲、生成方法、メタデータ、品質、保管、更新頻度を先に決めることが失敗防止になります。

目的と対象範囲を決める

SBOM作成の最初の失敗は、目的を決めないままツールを導入することです。次の表は、目的によって必要な深さ、形式、頻度、共有範囲が変わることを示します。左列で利用場面を確認し、右列で求められるSBOMの性質を読み取ります。

目的必要なSBOMの特徴
OSSライセンス遵守ライセンス、著作権表示、ファイル単位情報、配布物との対応
脆弱性管理バージョン、識別子、依存関係、VEX、修正状況
顧客提出契約で定めた形式、対象範囲、提出時点、秘密保持
製品リコール・インシデント対応製品版数、顧客別導入状況、影響範囲検索
M&Aデューデリジェンス網羅性、過去履歴、権利帰属、例外リスク
内部監査承認手順、証跡、例外承認、KPI

対象範囲も明確にします。製品版、ソースコードリポジトリ、ビルド成果物、コンテナイメージ、クラウド実行環境、SaaSの本番環境、開発ツール、テスト用依存関係のどこまで含めるかを決める必要があります。組込み機器ではファームウェア、OS、ドライバ、ミドルウェア、更新配信パッケージまで含めるかが問題になります。

生成方法を組み合わせる

SBOMの生成方法には複数のアプローチがあります。次の表では、各方法の長所と限界を並べています。読者は、単一手法に依存せず、ソース、依存マニフェスト、ビルド成果物、コンテナ、ベンダー提供情報をどう組み合わせるかを検討します。

生成方法内容長所限界
マニフェスト解析package.json, pom.xml, go.mod等を解析導入しやすい実際のビルド成果物と差異が出る
ロックファイル解析package-lock.json, yarn.lock等を解析バージョン確定に強いロックファイル未整備だと弱い
ビルド時生成CI/CDで生成実態に近いパイプライン設計が必要
コンテナ解析イメージ内のOSパッケージ等を解析実行環境に近いソース由来情報が不足することがある
バイナリ解析成果物をスキャン配布物確認に有効誤検知・検出漏れがある
ソースコード解析リポジトリをスキャンファイル単位ライセンスに強いビルド対象外コードも拾う
取引先提出ベンダーからSBOMを受領サプライチェーン把握に必要信頼性検証が必要
手動補完未検出部品を人が補う精度向上継続運用が重い

メタデータと品質基準

SBOMの実務価値は、後から「このSBOMは、どの製品の、どの版の、どの成果物に対応していたのか」を証明できる点にあります。次の一覧では、受入基準として確認すべき品質観点を示します。不備の例まで見ることで、監査や顧客提出で弱点になりやすい箇所が分かります。

品質観点確認事項不備の例
完全性対象成果物の主要コンポーネントを含むか直接依存のみで間接依存がない
正確性名称、バージョン、識別子が正しいかパッケージ名の揺れ、バージョン不明
一貫性同一製品の版数とSBOMが対応するか製品v2.1にv2.0のSBOMを添付
機械可読性標準形式としてパース可能か独自Excelのみ
ライセンス情報ライセンス識別子が標準化されているか“free”, “unknown”が多い
依存関係親子関係が表現されているかフラットな一覧のみ
証跡性生成日時、生成ツール、作成者があるかいつ誰が作ったか不明
更新性リリースや依存変更時に更新されるか初回作成後に放置
検証可能性署名、ハッシュ、CIログと紐付くか改ざん有無が不明
共有制御秘密情報として管理されているかメール添付で無制限転送

SBOMは、製品リリース時、重要な依存関係を変更した時、コンテナベースイメージを更新した時、セキュリティパッチを適用した時、委託先・サプライヤーから新たなコンポーネントを受領した時、顧客提供版を変更した時、M&A・監査・インシデント調査の対象になった時に更新します。

更新タイミングは、作業順序として把握すると抜け漏れを防ぎやすくなります。次の時系列は、生成・保管・共有・見直しの順番を示しており、各段階で証跡を残すことが後日の監査や事故調査に効いてきます。

生成

リリースや重要変更時に作成

対象製品名、対象バージョン、ビルド番号、生成日時、ツール、対象範囲、除外範囲を記録します。

検証

品質基準と照合

完全性、正確性、機械可読性、依存関係、ライセンス情報、版数対応を確認します。

保管

成果物と紐付ける

CI/CDログ、リリースノート、コンテナダイジェスト、電子署名、アーティファクト管理システムと結び付けます。

共有

契約と秘密保持に従って提供

顧客提出用は、NDA、目的外利用禁止、再開示範囲、保存期間、アクセス権限を定めて扱います。

Section 05

SBOM作成とOSS管理のガバナンス設計

OSSポリシー、審査手順、ライセンス分類、NOTICE管理、脆弱性対応を一体で設計します。

OSSポリシーと審査手順

OSS管理の中心は社内ポリシーです。ポリシーには、OSS利用の基本方針、申請が必要な場合、高リスクライセンスの取扱い、脆弱性を含むOSSの取扱い、改変・再配布・組込み・SaaS提供時のルール、著作権表示、NOTICEファイル、コントリビューション、外部コードのコピー禁止、生成AIコード、例外承認、違反発見時の報告、SBOM生成・保管・提供を含めます。

次の判断の流れは、OSS利用申請からリリース後の監視までの順番を示します。各段階の担当を決めることで、低リスクOSSを過度に重く扱わず、高リスクOSSと重大脆弱性に審査資源を集中できます。

OSS利用からSBOM反映までの判断の流れ

利用申請

開発者が利用目的、提供形態、配布有無、対象製品を登録します。

自動確認

ライセンス、既知脆弱性、メンテナンス状況、識別子をツールで確認します。

リスク分類

低リスクは簡易承認、高リスクは法務・知財・セキュリティが確認します。

要審査
条件付き承認又は不採用

ソース提供義務、顧客契約、脆弱性、代替部品を確認します。

簡易承認
SBOMと台帳へ反映

承認条件、版数、NOTICE、リリース前再スキャンへ接続します。

リリース後監視

脆弱性、EOL、顧客提出、例外期限を継続的に確認します。

ライセンスリスク分類

社内では、OSSライセンスをリスク分類しておくと実務に落とし込みやすくなります。次の表では、例示されたライセンスと取扱い方針を並べ、どこから法務審査や権利者確認が必要になりやすいかを確認します。

分類取扱い方針
低リスクMIT, BSD, ISC表示義務を確認し原則承認
中リスクApache-2.0, MPL特許条項、ファイル単位義務、NOTICEを確認
高リスクGPL, LGPL配布形態、リンク方法、ソース提供義務を個別審査
特別高リスクAGPL, 商用利用制限付きライセンスSaaS提供、商用利用、顧客契約との整合を法務審査
使用禁止候補出所不明、独自制限、非OSI、ライセンス不明原則禁止又は権利者確認

著作権表示とNOTICE管理は、OSSコンプライアンスで最も頻繁に不備が起きる領域です。パーミッシブライセンスでも表示義務やライセンス文の保持が条件となることが多いため、リリースビルド時にSBOMからNOTICEファイルやThird Party Noticesを生成し、製品画面、説明書、Webサイト、同梱媒体、サポートページのどこで表示するかを決めます。

役割分担

SBOM作成とOSS管理は、法務部だけでも開発部だけでも完結しません。次の一覧は、業務ごとに誰が最終責任を持ち、誰が実行し、誰へ協議・報告するかを整理するための例です。RACIの記号を読むことで、意思決定の詰まりを早期に見つけられます。

業務経営法務知財セキュリティ開発調達内部監査
OSSポリシー承認ARCCCCC
OSS利用申請ICCCRII
高リスクライセンス判断IA/RRCCII
SBOM生成ICCCRII
SBOM品質基準ARCRRCC
脆弱性トリアージICIA/RRII
顧客へのSBOM提供IA/RCCCCI
サプライヤー契約条項IA/RCCCRI
重大インシデント対応ARCRRCC
内部監査ICCCCCA/R

Aは最終責任、Rは実行責任、Cは協議先、Iは報告先です。役割分担は形式ではなく、顧客通知、VEX発行、例外承認、重大リスク受容の場面で誰が止める権限を持つかまで決めておくことが重要です。

Section 06

SBOM作成とOSS管理を契約条項へ落とし込む実務

買主側は提出義務の中身を明確にし、売主側は無限定な保証にならないよう対象範囲と限界を定めます。

買主側が定める事項

買主側が「SBOMを提出すること」とだけ定めても、形式、範囲、品質、更新時期が曖昧なら紛争時に役に立ちません。次の一覧は、契約で明確化すべき事項を並べたものです。左から順に、提出物、情報項目、運用、責任分担へ広がるように確認します。

01

提出条件

提出時期、対象製品、サービス、バージョン、モジュール、直接依存・間接依存の範囲を定めます。

範囲
02

形式と必須項目

SPDX 2.3以上又はCycloneDX 1.5以上等、合意する機械可読形式、ライセンス情報、VEX提供方法を定めます。

形式
03

更新と訂正

更新頻度、誤り発見時の訂正義務、重大脆弱性やライセンス違反疑いの通知期限を定めます。

通知
04

共有制御

秘密保持、再開示範囲、当局・監査人・顧客・保険会社への開示例外、アクセス管理を定めます。

NDA
05

違反時対応

下請先への同等義務、監査権、費用負担、是正、解除、損害賠償、補償の関係を定めます。

責任

売主側が限定すべき事項

売主側は、SBOMを完全無欠の保証として扱われないように注意します。次の比較表は、買主が求めやすい事項と、売主側が明確化すべき限定を対比しています。過度な拒絶ではなく、対象時点・対象範囲・合理的努力・第三者情報への依存を明らかにすることが実務的です。

論点買主側の関心売主側の確認事項
時点常に最新の構成を知りたい納品時点、指定リリース時点、月次・四半期など提出時点を明記
対象範囲全ての依存関係を把握したい開発・テスト用依存関係、第三者提供SBOM、除外範囲を明記
保証水準完全性・正確性を保証してほしい合理的な商業上の努力義務か、絶対保証かを区別
脆弱性修正重大度に応じた迅速な修正を求めたい悪用状況、到達可能性、互換性リスク、修正SLAの条件を明記
開示範囲監査・顧客説明へ利用したい秘密保持、目的外利用禁止、再開示制限、攻撃リスクへの配慮を明記
補償OSS違反時の負担を求めたい補償範囲、責任上限、代替部品、ライセンス取得、表示是正を整理

条項例で押さえる骨子

条項例を作る場合は、抽象的な「提出義務」だけでなく、SBOMの内容、訂正、脆弱性通知、利用目的、保証の限界、OSS・第三者コンポーネントの扱いを一連の条項にします。次の重要ポイントは、実際の契約類型、業界、法域、製品特性、交渉力に応じて修正する前提で読むものです。

SBOM提供受託者が、合意したSPDX又はCycloneDXその他の機械可読形式でSBOMを作成し、納品時及び重要な更新時に提供することを定めます。コンポーネント名、バージョン、サプライヤー、識別子、依存関係、ライセンス、生成日時、生成ツール、対象製品バージョンを含めることが基本です。
訂正・通知重大な誤り又は欠落を発見した場合の訂正版提供、重大な既知脆弱性又はライセンス違反疑いを認識した場合の通知、影響範囲、暫定緩和策、修正予定、必要に応じたVEX等の補足情報を定めます。
OSS利用OSS又は第三者コンポーネントを含める場合のライセンス確認、顧客コードへのソース開示義務等を生じさせるおそれのあるOSSの事前承諾、著作権表示、ライセンス文、NOTICEの提供を定めます。
Section 07

SBOM作成とOSS管理をM&A・インシデント対応で使う

デューデリジェンスと重大脆弱性対応では、SBOMの有無が初動速度と説明の精度を左右します。

M&A・投資・IPOの確認事項

ソフトウェア企業やデジタル製品を有する企業のM&Aでは、OSS管理の不備が企業価値に影響します。次の一覧は、買主側が技術・法務デューデリジェンスで確認すべき資料を分類したものです。製品別SBOMだけでなく、ポリシー、契約、過去の警告、生成AI利用ルールまで確認することで、隠れたリスクを発見しやすくなります。

DD 01

構成とライセンス

製品別SBOM、OSS利用申請台帳、OSSポリシー、ライセンススキャン結果、Third Party Noticesを確認します。

DD 02

脆弱性と履歴

脆弱性スキャン結果、重大脆弱性の修正履歴、EOLコンポーネント、過去のOSS違反通知や紛争履歴を確認します。

DD 03

契約と権利帰属

顧客契約上のOSS制限、委託開発契約、権利帰属条項、コントリビューションポリシー、生成AI利用ルールを確認します。

DD 04

リリース実態

ビルド・リリース手順、コンテナ・クラウド環境の構成情報、開発者が持ち込んだ外部コードの管理記録を確認します。

レッドフラッグとして、SBOMが存在しない又は製品版と対応していない、ライセンス不明のコンポーネントが多い、GPL・AGPL・商用利用制限付きライセンスが主要製品に含まれるのに法務判断がない、NOTICEがない、重大脆弱性が長期間放置されている、委託先の責任が不明確、セキュリティ質問票への回答と実態が一致しない、といった事情があります。

DDで見つかったSBOM・OSSリスクは、株式譲渡契約や事業譲渡契約の表明保証、誓約、クロージング条件、価格調整、特別補償、エスクロー、クロージング後の是正計画に反映します。売主側では、認識限定、重要性限定、開示資料による例外、対象期間の限定を交渉することがあり、SBOMが整備されているほど事実ベースの整理がしやすくなります。

重大脆弱性公表時の初動

Log4Shellのような重大脆弱性が公表された場合、SBOMがある企業は該当コンポーネントを含む製品、バージョン、顧客、環境を検索し、影響有無を迅速に判断できます。次の時系列は、初動から事後改善までの実施事項と関与部門を整理したものです。時間軸ごとに、技術調査と法務レビューの両方を進める必要があります。

時間軸実施事項関与部門
0〜24時間脆弱性情報の確認、SBOM検索、影響候補製品の特定、暫定リスク評価セキュリティ、開発、法務
24〜72時間到達可能性確認、緩和策、修正方針、顧客通知要否、VEX方針セキュリティ、開発、品質、法務、広報
3〜7日パッチ提供、顧客説明、契約SLA確認、当局報告要否確認事業部、法務、CSIRT、営業
事後原因分析、SBOM品質改善、契約条項見直し、再発防止経営、内部監査、法務、開発

顧客通知では、対象製品、対象バージョン、脆弱性識別子、影響有無、悪用可能性、緩和策、修正予定、顧客が実施すべき措置、問い合わせ先を整理します。法務レビューでは、契約上の通知期限、通知先、SLA、秘密保持、当局報告、個人情報漏えい該当性、製品安全、適時開示、保険通知、弁護士秘匿特権の扱いを確認します。

Section 08

SBOM作成とOSS管理の段階導入ロードマップ

中小企業・スタートアップでも、30日、90日、180日、365日の順で現実的に整備できます。

短期導入の目安

SBOMとOSS管理は大企業だけの課題ではありません。顧客から突然SBOM提出を求められたときに対応できないと、商談、資金調達、M&Aで不利益を受けることがあります。次の時系列は、初期段階で大企業並みの体制を一度に作らず、実務上必要な証跡から積み上げる順番を示します。

30日

棚卸しと初回確認

主要製品・主要リポジトリを棚卸しし、パッケージマネージャを確認し、SCAツールで初回スキャンを行い、高リスクライセンスと重大脆弱性を把握します。

90日

CI/CDと承認手順

SBOM生成をCI/CDに組み込み、SPDX又はCycloneDXを標準形式として決め、高リスクライセンス承認、重大脆弱性対応期限、顧客提出用テンプレートを整えます。

180日

版数管理とサプライヤー

製品別SBOMを版数管理し、脆弱性監視と接続し、NOTICE生成を自動化し、主要サプライヤーからSBOMを取得し、顧客質問票への標準回答を作ります。

365日

標準適合と経営報告

OpenChain等の標準に沿った体制を評価し、VEX又はセキュリティアドバイザリ発行体制、署名、保管、アクセス制御、経営会議へのKPI報告を整えます。

会社制度への組込み

段階導入の後は、会社制度として継続する仕組みへ移します。次の一覧は、現状把握から継続改善までの5段階を示します。各段階は順番に進みますが、契約・調達で先に顧客要求が来る場合は、必要部分を前倒しして整備します。

1

現状把握

主要製品、主要リポジトリ、主要サプライヤー、主要顧客要求、既存台帳、スキャン、契約条項、開発手順を確認します。

把握
2

ポリシーと責任体制

OSSポリシー、SBOMポリシー、RACI、例外承認、重大脆弱性対応基準を定め、経営層の承認を得ます。

統制
3

ツールと自動化

SCA、SBOM生成、脆弱性監視、ライセンス管理、NOTICE生成、アーティファクト管理を目的に応じて導入します。

自動化
4

契約・調達への組込み

顧客契約、サプライヤー契約、委託開発契約、クラウド利用契約、M&A契約雛形にSBOM・OSS条項を組み込みます。

契約
5

監査と継続改善

KPIを設定し、内部監査又は自己点検を行い、重大な不備、例外滞留、ライセンス不明、EOL、重大脆弱性放置を経営へ報告します。

改善
Section 09

SBOM作成とOSS管理のKPI・監査チェックリスト

導入して終わりではなく、リリース、例外承認、顧客提出、脆弱性修正の実態を測定します。

KPIで測る

SBOMとOSS管理は、継続的に測定して初めて統制になります。次の表は、経営会議や内部監査で見るべきKPIをまとめたものです。各指標は、部品表の存在だけでなく、リリースとの一致、未識別ライセンス、例外承認、サプライヤーからの受領状況まで確認するために使います。

KPI意味
主要製品のSBOM整備率管理対象製品のうちSBOMがある割合
リリース時SBOM生成率リリースごとにSBOMが生成されている割合
未識別ライセンス率“unknown”又は不明ライセンスの割合
高リスクOSS承認率高リスクOSSが承認手順を通っている割合
重大脆弱性平均修正期間CVSS高スコア又はKEV該当の修正期間
EOLコンポーネント数保守終了コンポーネントの残存数
NOTICE生成率対象製品で通知文が整備されている割合
SBOM受領率主要サプライヤーからSBOMを受け取っている割合
SBOM品質不備件数必須項目不足、版数不一致、形式不備の件数
例外承認の期限超過件数一時承認が放置されている件数

専門担当別に確認する

監査ではKPIだけでなく、実際のサンプルを確認します。次の一覧は、契約法務、知財、コンプライアンス、内部監査、M&A、経営がそれぞれ見るべき点を整理したものです。各担当が同じSBOMを起点に見ることで、重複管理を減らし、見落としを防げます。

契約法務

提出義務と責任範囲

SBOM提供義務、形式、範囲、提出時期、更新義務、秘密保持、脆弱性通知、VEX、修正SLA、補償範囲を確認します。

知財法務

ライセンスと権利境界

OSSライセンス、自社特許戦略、Apache-2.0等の特許条項、ファイル単位の著作権表示、商標使用を確認します。

コンプライアンス

社内規程と教育

OSSポリシー、例外承認、開発者教育、違反報告ルート、経営会議への重大リスク報告を確認します。

内部監査

証跡と一致

SBOMとリリース版の一致、重大事項の放置、顧客提出SBOMの承認記録、委託先SBOMの受入検証を確認します。

M&A法務

価格調整につながる事項

製品別SBOM、高リスクOSS、ライセンス不明OSS、顧客契約上のOSS制限、重大脆弱性、EOLコンポーネントを確認します。

経営者

事業継続と説明可能性

重要製品の構成を説明できるか、サプライチェーン攻撃時に影響範囲を迅速に特定できるか、重要顧客要求に対応できるかを確認します。

内部監査では、ある製品のリリース版を選び、リポジトリ、ビルドログ、SBOM、NOTICE、脆弱性スキャン、顧客提出記録が相互に一致するかを確認します。このサンプル確認により、台帳上の整備率だけでは見えない運用不備を発見できます。

Section 10

SBOM作成とOSS管理のFAQ

よくある疑問を、一般的な制度説明として整理します。個別事情により結論は変わります。

SBOMは全企業に一律の法律上の義務ですか

一般的には、SBOMは全企業へ一律に課される単独の一般義務というより、規制、調達、契約、監査、顧客説明、業界基準の中で求められる場面が増えているものとされています。ただし、販売先、顧客業界、製品分野、海外規制、契約条項によって結論が変わる可能性があります。具体的な対応は、事実関係と適用法令を整理したうえで弁護士等の専門家へ相談する必要があります。

OSSを直接使っていなければSBOM上のリスクは小さいですか

一般的には、直接依存だけでなく、直接依存するライブラリがさらに依存する間接依存も確認対象になるとされています。顧客へ提供する製品に当該コンポーネントが含まれる場合、ライセンス義務や脆弱性対応の対象となる可能性があります。ただし、配布形態、利用箇所、改変有無、契約条件によって判断は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

SBOMを顧客へそのまま渡してよいですか

一般的には、SBOMは製品内部の構成、利用ライブラリ、バージョンを含むため、秘密情報としての管理が必要になる場合があります。NDA、利用目的制限、再開示制限、保存期間、アクセス権限、当局・監査人・保険会社への開示例外を設計することが考えられます。ただし、契約、顧客要求、規制対応、攻撃リスクによって共有範囲は変わります。具体的には弁護士等の専門家に相談する必要があります。

SBOMツールを導入すればOSS管理は完了しますか

一般的には、ツール導入だけではOSS管理は完了しないとされています。検出結果を誰が判断し、誰が修正し、誰が顧客へ説明し、どの例外を経営判断として受け入れるかを決める必要があります。ただし、企業規模、製品特性、開発体制、顧客要求によって必要な制度の深さは変わります。具体的な体制設計は、関係部門と専門家を交えて検討する必要があります。

VEXで「影響なし」と書けば責任を避けられますか

一般的には、VEXは責任回避の文書ではなく、技術的根拠に基づいて特定製品への影響有無を説明するための証跡とされています。誤ったVEXは、契約上の表示保証、虚偽説明、品質保証、セキュリティ通知義務の問題になる可能性があります。ただし、影響評価は製品構成、設定、到達可能性、顧客環境により変わります。具体的な発行方針は、技術部門と法務部門が資料を整理したうえで弁護士等の専門家へ相談する必要があります。

Section 11

SBOM作成とOSS管理の失敗例・今後の論点・結論

ツール導入で終わらせず、AI、SaaS、暗号資産棚卸し、国際規制へ広げて考えます。

よくある失敗と対策

実務では、制度を作ったつもりでも運用が止まることがあります。次の一覧は、失敗例と対策を対応させたものです。各項目は、誰が判断し、誰が更新し、誰が説明するかを決めているかを確認するための点検項目です。

ツール導入だけで満足する

検出結果の判断者、修正担当、顧客説明担当が未定だと機能しません。承認手順、例外管理、KPI、契約条項、教育を同時に整備します。

SBOMが古い

初回作成後に放置すると、顧客へ古いSBOMを提出するおそれがあります。CI/CDと連動し、製品版数とSBOM版数を紐付けます。

法務が抱え込みすぎる

全OSSを手動審査すると現場が詰まります。低リスクは簡易承認、高リスクは法務審査、重大脆弱性はセキュリティ主導にします。

顧客に過剰開示する

詳細SBOMを無条件に渡すと攻撃面や営業秘密が露出します。NDA、認証ポータル、アクセス制御、要約版、目的外利用禁止を設けます。

サプライヤーSBOMを信用しすぎる

受領したSBOMが不完全な場合、自社製品全体の判断を誤ります。受入基準、サンプル検証、形式チェック、更新義務、監査権を定めます。

ライセンスと脆弱性を別管理する

同じコンポーネントを二重管理すると見落としが増えます。SBOMを共通台帳として、ライセンス、脆弱性、EOL、承認状態、顧客影響を統合します。

AI、SaaS、暗号技術への広がり

今後は、従来のソフトウェア部品だけでなく、AIモデル、重み、データセット、プロンプト、評価データ、学習ライブラリ、推論基盤、外部API、ライセンス、利用制限を管理するAI SBOMの重要性が増します。AIサービスを提供する企業では、モデルやデータの出所、利用条件、脆弱性、バイアス、著作権、個人情報、セキュリティを説明する台帳として検討する必要があります。

SaaSでは、顧客が実際に利用する本番環境が常に変化します。そのため、ソースコードSBOM、ビルドSBOM、コンテナSBOM、ランタイムSBOMを区別し、顧客契約でどのSBOMを提供するかを明確にします。将来的には、どの製品がどの暗号アルゴリズム、鍵長、証明書、暗号ライブラリを使っているかを把握するCBOMも重要になります。

SBOM作成とOSS管理の実務は、技術部門だけの作業でも、法務部門だけの書類管理でもありません。ソフトウェアを事業の中核に置く企業が、自社製品とサービスの構成、権利、脆弱性、責任、説明可能性を統合的に管理するための企業統治課題です。

最後に重要なのは、SBOMを流行語として導入することではありません。何を使っているかを把握し、どのライセンス義務を負い、どの脆弱性リスクを抱え、どの顧客にどのような説明をすべきかを、平時から管理できる状態を作ることです。

SBOMの価値は、ファイルの存在ではなく意思決定にあります

どのOSSを使うか、どの脆弱性を先に直すか、どの顧客へ何を説明するか、どの契約条項を受け入れるか、どのリスクを経営判断として受容するか。その判断を支えるために、SBOMとOSS管理は存在します。

Reference

参考資料・情報源

日本語資料

  • 経済産業省「SBOMを活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました」
  • 独立行政法人情報処理推進機構(IPA)「SBOM導入・運用の手引き」

海外制度・ガイダンス

  • National Telecommunications and Information Administration, The Minimum Elements For a Software Bill of Materials (SBOM)
  • Federal Register / CISA, Request for Comment on 2025 Minimum Elements for a Software Bill of Materials
  • Office of Management and Budget, M-26-05: Adopting a Risk-based Approach to Software and Hardware Security
  • European Commission, Cyber Resilience Act
  • OpenSSF, EU Cyber Resilience Act

標準・プロジェクト

  • SPDX Project, SPDX Specification and Project Information
  • SPDX, SPDX License List
  • OWASP, CycloneDX Bill of Materials Specification
  • OpenChain Project, OpenChain ISO/IEC 5230 - License Compliance
  • OpenChain Project, OpenChain ISO/IEC 18974 - Security Assurance
  • OASIS, Common Security Advisory Framework Version 2.0
  • National Vulnerability Database, NVD - Vulnerabilities
  • Open Source Initiative, Open Source Licenses
  • SLSA, Supply-chain Levels for Software Artifacts
  • Sigstore, Sign. Verify. Protect.