経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版に加え、EU CRA/米国大統領令 14028/NIS2 など世界的義務化が 2026 年に本格化する。 中堅製造業(従業員 200-1,000 名)は OEM 取引先からの提出要請に応える必要があり、後追い対応では工数が膨らむ。本記事は 90 日で内製化する実装プランを整理する。
目次
- なぜ中堅製造業に SBOM 義務化が来るのか
- SPDX 2.3 vs CycloneDX 1.5 の採用判断
- Syft + Grype による自動化パイプライン
- VEX(Vulnerability Exploitability eXchange)連携
- 取引先提出フォーマット
- 90 日対応スケジュール
- 運用工数と体制
- よくある質問(FAQ)
なぜ中堅製造業に SBOM 義務化が来るのか
| 要因 | 内容 | 中堅への影響 |
|---|---|---|
| EU CRA | EU 域内市場のソフト含有製品に SBOM 義務 | EU 輸出製品全件 |
| 米国大統領令 14028 | 連邦政府調達に SBOM 必須 | 米国納入の製造業 |
| NIS2 指令 | EU 重要インフラへ SBOM 提出 | エネルギー / 医療系部品 |
| 経産省 SBOM 手引 | 国内推奨 → 義務化方向 | 国内大手 OEM 経由要請 |
| 自動車サプライチェーン | TIER1 / TIER2 経由で要請 | 部品メーカ全般 |
SPDX 2.3 vs CycloneDX 1.5 の採用判断
| 観点 | SPDX 2.3 | CycloneDX 1.5 |
|---|---|---|
| 標準化 | ISO/IEC 5962 | OWASP プロジェクト |
| ライセンス管理 | 強い | 中 |
| 脆弱性管理 | 中 | 強い |
| ツール対応 | 広い | 中 |
| 業界採用 | 大手中心 | スタートアップ中心 |
推奨
Syft + Grype による自動化パイプライン
構成
実装例(CI/CD)
工数目安
VEX(Vulnerability Exploitability eXchange)連携
VEX の役割
SBOM が「何が含まれるか」、VEX が「その脆弱性が実際に悪用可能か」を示す。
| 状態 | 意味 | 対応 |
|---|---|---|
| not_affected | 影響なし | 取引先報告のみ |
| affected | 影響あり | 修正計画提示 |
| fixed | 修正済 | 修正バージョン明示 |
| under_investigation | 調査中 | 期限と再報告 |
VEX 自動化
Grype 出力 → 自社判定 → VEX JSON 生成 → SBOM とセットで保存。
取引先提出フォーマット
提出パッケージ
取引先側のチェックポイント
90 日対応スケジュール
Day 1-30: 計画・PoC
Day 31-60: 実装・検証
Day 61-90: 運用開始
運用工数と体制
| 担当 | 工数(月) | 役割 |
|---|---|---|
| 情シス(SBOM オーナー) | 8h | 全体管理 |
| ビルド担当(兼任) | 4h | CI/CD 運用 |
| セキュリティ担当 | 6h | VEX 判定 |
| 法務 | 2h | 取引先契約条項 |
| 合計 | 20h |
よくある質問(FAQ)
Q. SBOM 提出を拒否したらどうなる? A. 取引先によっては取引停止。EU 輸出は CRA 違反で罰金。中堅製造業の選択肢は実質「やらない」が無い状態。
Q. ベンダ提供品(OEM/OSS)の SBOM が無い場合は? A. 自社で Syft でスキャンして補完作成。ベンダに正式 SBOM 提供依頼を並行。長期的にはベンダ選定基準に SBOM 提供を入れる。
Q. SBOM 整備をクラウドサービスに委託できる? A. Snyk/Sonatype Nexus/Anchore など商用 SaaS あり。中堅製造業では自社内製+商用補完が費用対効果バランス良。
Q. 法令適用は具体的にいつから? A. EU CRA は 2027 年 12 月適用、それ以前から取引先要請が拡大。2026 年内に基本対応完了が安全。
参考資料
- 経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版
- EU Cyber Resilience Act 公式
- 米国大統領令 14028
- Syft / Grype 公式ドキュメント
中堅製造業 SBOM 整備、自動化パイプライン構築、取引先提出フォーマット設計は GXO のセキュリティ運用支援サービスで対応可能です。
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- [ ] 必須要件、将来要件、今回はやらない要件を分けたか
- [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- [ ] リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
SBOM 義務化 中堅製造業 90 日対応 2026|SPDX/CycloneDX 採用判断・Syft+Grype 自動化・取引先提出フローを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。