令和４年度サイバー・フィジカル・セキュリティ対策促進事業（SBOM を導入・活用するサプライチェーンモデルの構築に向けた調査・実証事業）報告書

この報告は、令和4年度におけるサイバー・フィジカル・セキュリティ対策促進事業の一環として実施されたSBOM（Software Bill of Materials）を導入・活用するサプライチェーンモデルの構築に向けた調査・実証事業について書かれた報告書である。

報告書では、産業活動においてソフトウェアを安全に利活用するための枠組みに関する取組動向として、米国政府機関や欧州政府機関における動向調査が行われ、CISA（Cybersecurity & Infrastructure Security Agency）のVEX（Vulnerability Exploitability eXchange）、NISTのソフトウェアサプライチェーンセキュリティ、欧州のサイバー・レジリエンス法等の取組が詳細に調査されている。また、企業や業界団体におけるソフトウェア管理の取組動向、OSSを含むソフトウェアの安全な利活用に関する調査も実施された。

実証事業では、医療機器分野、自動車分野、ソフトウェア分野という3つの分野において、実際にSBOMの導入から活用までの一連のプロセスが検証された。各分野における前提条件や取引慣行を考慮しながら、SBOM初期導入、SBOM生成・共有、SBOM活用・管理の各段階における実施内容とコスト評価、課題の抽出、解決ノウハウの蓄積が行われた。特に脆弱性マネジメントフローの構築や工数評価、医療機関や顧客への提供方法等について詳細な検討が実施されている。

SBOM対応モデルのフレームワークとして、自律的な市場メカニズムの形成を目指し、SBOM対応項目の区分と選択肢を体系化した記述方法が提案されている。実証結果から得られた知見を基に、各分野におけるSBOM適用範囲の改訂案や取引契約における要求条項等も検討され、今後のSBOM普及に向けた課題と取組案がまとめられている。