経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版に加え、EU CRA/米国大統領令 14028/NIS2 など世界的義務化が 2026 年に本格化する。 中堅製造業(従業員 200-1,000 名)は OEM 取引先からの提出要請に応える必要があり、後追い対応では工数が膨らむ。本記事は 90 日で内製化する実装プランを整理する。
目次
- なぜ中堅製造業に SBOM 義務化が来るのか
- SPDX 2.3 vs CycloneDX 1.5 の採用判断
- Syft + Grype による自動化パイプライン
- VEX(Vulnerability Exploitability eXchange)連携
- 取引先提出フォーマット
- 90 日対応スケジュール
- 運用工数と体制
- よくある質問(FAQ)
なぜ中堅製造業に SBOM 義務化が来るのか
| 要因 | 内容 | 中堅への影響 |
|---|---|---|
| EU CRA | EU 域内市場のソフト含有製品に SBOM 義務 | EU 輸出製品全件 |
| 米国大統領令 14028 | 連邦政府調達に SBOM 必須 | 米国納入の製造業 |
| NIS2 指令 | EU 重要インフラへ SBOM 提出 | エネルギー / 医療系部品 |
| 経産省 SBOM 手引 | 国内推奨 → 義務化方向 | 国内大手 OEM 経由要請 |
| 自動車サプライチェーン | TIER1 / TIER2 経由で要請 | 部品メーカ全般 |
中堅製造業は「OEM/TIER1 から SBOM 提出を求められる」形で間接的に義務化に巻き込まれる。
MANUFACTURING DX
基幹システム刷新と工場DX、どこから着手すべきか?
生産、在庫、受発注、品質、原価を横断し、刷新範囲・移行順序・投資判断の論点を整理します。
SPDX 2.3 vs CycloneDX 1.5 の採用判断
| 観点 | SPDX 2.3 | CycloneDX 1.5 |
|---|---|---|
| 標準化 | ISO/IEC 5962 | OWASP プロジェクト |
| ライセンス管理 | 強い | 中 |
| 脆弱性管理 | 中 | 強い |
| ツール対応 | 広い | 中 |
| 業界採用 | 大手中心 | スタートアップ中心 |
推奨
- 多取引先 / 多業界対応 → SPDX 2.3 採用
- 内部脆弱性管理重視 → CycloneDX 1.5 併用
- 中堅製造業の標準 → SPDX 主、CycloneDX 補完
Syft + Grype による自動化パイプライン
構成
[ビルドプロセス]
↓
[Syft] → SBOM 生成 (SPDX / CycloneDX)
↓
[アーティファクト保存] (S3 / Artifact Repository)
↓
[Grype] → 脆弱性スキャン (SBOM × NVD)
↓
[VEX 生成] → 影響可否判定
↓
[取引先提出 / 内部監査]
実装例(CI/CD)
- name: Generate SBOM
run: syft packages dir:./ -o spdx-json > sbom.spdx.json
- name: Scan vulnerabilities
run: grype sbom:sbom.spdx.json -o json > grype-report.json
- name: Upload to artifact repo
run: |
aws s3 cp sbom.spdx.json s3://${ARTIFACT_BUCKET}/sbom/
aws s3 cp grype-report.json s3://${ARTIFACT_BUCKET}/scan/
工数目安
初回構築: 80-120h
月次運用: 8-12h
VEX(Vulnerability Exploitability eXchange)連携
VEX の役割
SBOM が「何が含まれるか」、VEX が「その脆弱性が実際に悪用可能か」を示す。
| 状態 | 意味 | 対応 |
|---|---|---|
| not_affected | 影響なし | 取引先報告のみ |
| affected | 影響あり | 修正計画提示 |
| fixed | 修正済 | 修正バージョン明示 |
| under_investigation | 調査中 | 期限と再報告 |
VEX 自動化
Grype 出力 → 自社判定 → VEX JSON 生成 → SBOM とセットで保存。
取引先提出フォーマット
提出パッケージ
- SBOM (SPDX 2.3 JSON)
- VEX (OpenVEX JSON)
- 製品メタデータ (型番 / 出荷時期 / バージョン)
- 連絡先 (CSIRT / SOC)
取引先側のチェックポイント
1. SBOM のパース可否
2. 脆弱性 CVE のヒット数
3. VEX の状態分布(not_affected / affected)
4. 高危険度 CVE の対応期限明示
5. インシデント対応窓口の連絡先
90 日対応スケジュール
Day 1-30: 計画・PoC
Week 1: 経営承認・予算確保
Week 2: 適用範囲特定(製品系統 / ビルドプロセス)
Week 3: ツール選定(Syft + Grype が事実上標準)
Week 4: PoC ビルドで SBOM 生成成功
Day 31-60: 実装・検証
Week 5-6: CI/CD 統合
Week 7: VEX 自動化
Week 8: 取引先提出フォーマット決定
Day 61-90: 運用開始
Week 9: 主要製品の SBOM 全数生成
Week 10: 取引先試行提出
Week 11: 月次運用ルール化
Week 12: 経営層・取引先向け最終報告
運用工数と体制
| 担当 | 工数(月) | 役割 |
|---|---|---|
| 情シス(SBOM オーナー) | 8h | 全体管理 |
| ビルド担当(兼任) | 4h | CI/CD 運用 |
| セキュリティ担当 | 6h | VEX 判定 |
| 法務 | 2h | 取引先契約条項 |
| 合計 | 20h |
中堅製造業 1 製品系統あたり 20h/月。複数系統で按分。
よくある質問(FAQ)
Q. SBOM 提出を拒否したらどうなる? A. 取引先によっては取引停止。EU 輸出は CRA 違反で罰金。中堅製造業の選択肢は実質「やらない」が無い状態。
Q. ベンダ提供品(OEM/OSS)の SBOM が無い場合は? A. 自社で Syft でスキャンして補完作成。ベンダに正式 SBOM 提供依頼を並行。長期的にはベンダ選定基準に SBOM 提供を入れる。
Q. SBOM 整備をクラウドサービスに委託できる? A. Snyk/Sonatype Nexus/Anchore など商用 SaaS あり。中堅製造業では自社内製+商用補完が費用対効果バランス良。
Q. 法令適用は具体的にいつから? A. EU CRA は 2027 年 12 月適用、それ以前から取引先要請が拡大。2026 年内に基本対応完了が安全。
参考資料
- 経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版
- EU Cyber Resilience Act 公式
- 米国大統領令 14028
- Syft / Grype 公式ドキュメント
中堅製造業 SBOM 整備、自動化パイプライン構築、取引先提出フォーマット設計は GXO のセキュリティ運用支援サービスで対応可能です。
<!-- GXO_QUALITY_REWRITE_20260507_START -->GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- 必須要件、将来要件、今回はやらない要件を分けたか
- 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
<!-- GXO_QUALITY_REWRITE_20260507_END -->SBOM 義務化 中堅製造業 90 日対応 2026|SPDX/CycloneDX 採用判断・Syft+Grype 自動化・取引先提出フローを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
