IoTや組み込み機器が社会に広く普及する中で、サイバーセキュリティ対策の重要性が一層高まっています。特に、製品に組み込まれるソフトウェアの透明性と継続的な脆弱性管理は、多くの製造業者にとってすぐにでも取りかかるべき課題です。本記事では、セキュリティリスクの可視化と管理を実現する有効な手段として「SBOM（Software Bill of Materials）」に注目し、概要や導入のステップなどをご紹介します。持続可能な製品セキュリティ体制の構築に向けて、ぜひご活用ください。

1. IoT・組み込み機器のセキュリティリスク

　IoT機器や組み込み機器は、私たちの生活や産業を支える重要なインフラですが、同時にサイバー攻撃の新たな標的にもなっています。近年はファームウェアやオープンソースソフトウェア（OSS）を含むソフトウェア構成が複雑化し、「どこにどんな脆弱性が潜んでいるのか」を把握することが困難になってきました。

　

　こうした背景を受け、EUで採択されたサイバーレジリエンス法（CRA）や日本国内でも運用が開始されたラベリング制度など、セキュリティ対策を義務化する動きが世界的に加速しています。今後は、開発段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」と、出荷後も継続的に脆弱性を管理する体制がますます重要となるでしょう。

2. CRAとセキュリティ要件適合評価及びラベリング制度（JC-STAR）への対応が求められる背景

　IoT機器や組み込み機器のセキュリティリスクが高まる中、各国で法規制や評価制度の整備が進んでいます。特に注目されるのが、EUのサイバーレジリエンス法（CRA：Cyber Resilience Act）と、総務省・経済産業省が主導するIoT製品に対するセキュリティラベリング制度（以下：JC-STAR）です。これらは製品開発に直接影響を与える動きであり、SBOMの提出義務化や脆弱性管理体制の強化など、企業に求められる対応は今後さらに高度化していきます。

　

　CRAやJC-STARでは、既知の悪用脆弱性への迅速な対応も今後さらに重視されます。SBOMを活用し、脆弱性情報との自動照合を行う体制を整えることで、より効率的かつ確実なリスク対応が可能です。

3. SBOMとは何か？

　SBOM（※1）とは、ソフトウェアに含まれるOSSやライブラリなどの構成要素を一覧化した「部品表」です。製品にどのようなソフトウェアが使われているかを明確にすることで、脆弱性の把握やライセンス管理・インシデント発生時の迅速な対応を可能にします。サプライチェーン全体の透明性を高め、開発・運用フェーズを通じたセキュリティ強化につながる手段として注目されています。

　

　※1 SBOMの標準形式には「SPDX」「CycloneDX」などが存在します。

4. SBOMが注目される理由

　ソフトウェアサプライチェーンにおけるセキュリティリスクの高まりを背景に、SBOM（Software Bill of Materials）の重要性が国際的に注目されています。米国では2021年の大統領令を契機に、NIST（米国立標準技術研究所）がSBOMに関するガイドラインを策定しました（※2）。日本国内でも、経済産業省が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver 2.0」を公表するなど、官民での活用が加速しています（※3）。

　今後、調達要件や製品開発プロセスでSBOMの提出が求められるケースが増加すると見込まれており、早期対応が重要です。

　※2 大統領令14028（2021年5月）にて「SBOMの提出義務」が明示され、NISTガイドラインが策定されました。

　※3 経済産業省は2024年8月に「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver 2.0」を公開しています。

5. SBOM導入の課題とステップ

　SBOMの必要性が認識されつつある一方で、「どこから着手すべきかわからない」という企業も少なくありません。導入には自社の目的や対象製品に応じた段階的な対応が求められます。以下に、SBOM導入を進めるうえでの基本ステップを3つのフェーズに分けて整理しました。

　

　このように構成すれば、導入を検討中の担当者にも「やるべきこと」が視覚的・論理的に伝わります。

　※4 CI/CD連携による自動更新の仕組み化も推奨されます。

6. まとめ

　IoTや組み込み機器を取り巻く環境では、セキュリティリスクが年々高まっており、企業には開発段階からのセキュリティ対策と、出荷後も継続的に脆弱性を管理する仕組みが求められています。その中で、SBOMはサプライチェーン全体の透明性を高め、効率的かつ確実なリスク対応を実現する重要な手段として注目されています。

　SBOMの導入メリットや実践のステップを理解することは、セキュリティを強化する第一歩ですが、「自社にとってどのような対策が最適なのか？」と悩まれる方も多いのではないでしょうか。

　そうした方のために、SBOM導入支援サービスをはじめとした、リョーサンのセキュリティソリューションをご紹介したホワイトペーパーをご用意しております。ぜひダウンロードいただき、さらなる詳細や自社に合った進め方についてはお気軽にご相談ください。

＼＼ リョーサンのセキュリティソリューションをご紹介！ ／／

SBOM導入支援と
セキュリティソリューションのご紹介

目次
1. SBOM導入支援サービス
2. セキュリティソリューション
3. リョーサンのIoTトータルソリューション
4. 安全なIoT開発・管理の実現に向けて

　リョーサンでは、様々なパートナーソリューションと連携し、SBOM対応からセキュアなIoT開発までワンストップでご支援いたします。

（編集者：内田 将之）