「作れば終わり」ではないSBOM 2026年、日本の開発組織が向き合うべきソフトウェア部品管理の現在地
Aikido Security国内代理店の株式会社AndGoが、規制対応で広がるSBOMの実務課題と、脆弱性管理へつなげる勘所を解説
株式会社AndGo(本社:東京都台東区、代表取締役:原 利英)は、オールインワン型セキュリティサービス「Aikido Security」(読み:アイキドウ セキュリティ)の国内代理店として、いま開発現場で関心が高まるSBOM(Software Bill of Materials)をめぐる動向と実務上の論点を整理し、発信いたします。

ソフトウェアサプライチェーン攻撃が世界的に深刻化するなか、各国は「ソフトウェアが何でできているか」を明らかにする仕組みづくりを急いでいます。EUではサイバーレジリエンス法(CRA)がデジタル製品のセキュリティ要件を定め、対象製品にSBOMの整備を含む対応を求める方向へと進んでいます。日本でも、経済産業省が「ソフトウェア製品の脆弱性対応に関するセキュリティ評価制度(SCS評価制度)」の整備を進めるなど、ソフトウェアの安全性を客観的に評価・可視化する動きが本格化しています。こうした国内外の制度整備を追い風に、SBOMは一部の先進的な取り組みから、多くの開発組織が向き合うべき実務課題へと位置づけを変えつつあります。
SBOMは、ソフトウェアがどのような部品で構成されているかを一覧化したものです。一方で現場からは、「作ったSBOMをどう使えばよいのか分からない」「生成したファイルが管理されずに放置されている」といった声も聞かれます。本リリースでは、AndGoが日々の導入支援を通じて見えてきた課題を踏まえ、SBOMを“作ること”から“守りに活かすこと”へ進めるための視点をお伝えします。
本リリースの3つのポイント
-
SBOMは規制・ガイドラインの後押しで「作る」段階が急速に進んでいる。
米国の大統領令やEUのサイバーレジリエンス法(CRA)をはじめ、国内でも経済産業省の手引きやSCS評価制度の整備が進み、ソフトウェアの部品表を用意する動きが加速しています。取引先や調達要件としてSBOMの提出を求められるケースも増えつつあります。 -
一方で、多くの現場でSBOMが「作って終わり」になりがち。
SBOMは生成しただけでは価値を生みません。中身の部品に既知の脆弱性がないかを継続的に照合し、更新し続けて初めて防御に役立ちます。生成と運用が分断されると、形だけの部品表が積み上がる「SBOMの形骸化」に陥ります。 -
鍵は、SBOMを脆弱性管理と一つの流れでつなぐこと。
部品表の生成(SCA)から脆弱性の検出・優先度付け・修正までを分断せず一貫して回すことで、SBOMは実効性のあるリスク管理の起点になります。
背景:SBOMが注目される理由と、「作る」だけでは守れない現実
近年、攻撃者はアプリケーション本体だけでなく、開発に使われるOSS(オープンソースソフトウェア)のパッケージそのものを標的にしています。広く使われるパッケージにマルウェアを混入させるソフトウェアサプライチェーン攻撃は、一度成立すれば、そのパッケージに依存する無数の企業へ連鎖的に被害が波及します。2025年にもパッケージレジストリ「npm」やWeb3関連パッケージを狙った改ざん・乗っ取りが相次いで確認されました。
こうした脅威に対し、「自社のソフトウェアが何でできているのかを正確に把握する」ための土台となるのがSBOMです。どの部品を、どのバージョンで使っているかが分かって初めて、新たな脆弱性が公表されたときに「自社は影響を受けるのか」を即座に判断できます。2021年に世界を揺るがしたApache Log4jの脆弱性では、多くの組織が「そもそも自社のどこでLog4jを使っているのか」を洗い出すのに膨大な時間を費やしました。SBOMは、この「棚卸し」を平時から備えておくための仕組みだといえます。
規制面でも、SBOMを求める流れは強まっています。米国では政府調達を対象にSBOMの提出を求める動きが進み、EUではサイバーレジリエンス法(CRA)がデジタル製品のセキュリティ要件を定めています。国内でも経済産業省が「ソフトウェア管理に向けたSBOMの導入に関する手引」を整備し、医療機器や自動車などの分野を中心に導入が広がってきました。さらに、ソフトウェア製品の脆弱性対応やセキュリティ品質を客観的に評価するSCS評価制度の検討も進んでおり、取引の条件としてSBOMの提出や一定水準のセキュリティ対応を求められる場面は、今後さらに増えると見込まれます。
しかし、ここに落とし穴があります。SBOMは生成した瞬間に価値が確定するものではありません。ソフトウェアの部品は日々更新され、昨日まで安全だった部品に今日新たな脆弱性が見つかることは珍しくありません。SBOMを一度作って満足し、その後の照合や更新が伴わなければ、部品表は現実と乖離した“過去のスナップショット”になってしまいます。生成と運用が切り離された結果、管理されないSBOMファイルだけが増えていく。これが、いま多くの現場で起こりつつある「SBOMの形骸化」です。
論点:SBOMを「守りに活かす」ために必要なこと
AndGoが導入支援の現場で見てきた限り、SBOMを実効性のあるものにするには、少なくとも次の3点が欠かせません。
第一に、SBOMの生成が開発の流れに組み込まれていることです。リリースのたびに手作業で部品表を作るのでは、更新が追いつかず、すぐに実態と合わなくなります。ビルドやCI/CDのパイプラインの中で自動的に最新のSBOMが生成される状態が理想です。
第二に、生成したSBOMを既知の脆弱性情報と継続的に照合できることです。部品表に載っている各コンポーネントについて、新たな脆弱性(CVE)が公表されていないかを常に突き合わせ、影響範囲を即座に把握できる仕組みが必要です。これはソフトウェア構成分析(SCA)が担う役割そのものであり、SBOMとSCAは本来ひとつながりの営みです。
第三に、検出した脆弱性を「対応すべきものに絞り込める」ことです。部品表と脆弱性情報を照合すると、大量の検出結果が生まれます。その多くは、利用環境では実際には悪用されにくいものです。すべてを一律に扱えば、対応すべき本当に危険な脆弱性がノイズに埋もれてしまう、いわゆる「アラートトリアージ地獄」に陥ります。SBOMを起点とした脆弱性管理は、検出だけでなく「優先度付け」までを含めて設計される必要があります。
つまりSBOMは、それ単体で完結するゴールではなく、生成(SCA)から照合、優先度付け、修正へと至る一連の脆弱性管理サイクルの入り口として位置づけられて初めて機能します。「作ること」自体を目的化せず、「守りに活かすこと」までを一つの流れとして捉える視点が、これからの開発組織には求められます。
AndGoの見解:SBOMは「分断された作業」から「一貫したサイクル」へ
AndGoは、Aikido Securityの国内代理店として、日本の開発組織がSBOMを形だけで終わらせず、実効性のある脆弱性管理につなげられるよう支援しています。

Aikido Securityは、ソフトウェア構成分析(SCA/SBOM)を含むセキュリティ機能を一つのプラットフォームに統合したオールインワン型のサービスです。部品表の生成と、その中身の脆弱性検出・優先度付け・修正までを分断せずに扱える点が特徴で、SBOMを「作って終わり」にしない運用を後押しします。特に、利用環境のコンテキストをふまえて実害の小さい問題の優先度を下げるオートトリアージ(AutoTriage)は、SBOM照合で生じがちな大量の検出結果を、本当に対応すべきものへ絞り込むうえで有効です。
ただし、ツールを導入すればSBOMの課題がすべて解決するわけではありません。自社のソフトウェアのどこまでを管理対象とするか、どの部品を優先的に見るか、生成したSBOMを取引先とどう共有するか。こうした運用設計は、それぞれの組織の事情に応じて考える必要があります。AndGoは、日本語での導入支援・伴走サポートを通じて、こうした運用面の相談にも応じ、SBOMを含むセキュリティ対策を「使い切れる」形で届けることを目指しています。
対象となる企業・活用シーン
-
取引先や調達要件としてSBOMの提出を求められ始めた企業:
規制・ガイドラインへの対応を、形式的な生成で終わらせず実効性のある運用にしたい。 -
OSSを多用するサービス開発企業:
依存パッケージの脆弱性リスクを、部品表を起点に継続的に管理したい。 -
セキュリティの専任者がいない、または少人数の開発組織:
SBOMの生成から脆弱性対応までを、限られた人手で回せる仕組みを整えたい。

【お問い合わせ・詳細】
Aikido Securityの機能や導入イメージは、製品紹介ページよりご覧いただけます。
▶ Aikido Security 製品紹介ページ:https://andgo.co.jp/aikido-security
SBOMの運用設計や自社環境での活用のご相談は、個別相談・デモのお申し込みも承っています。お気軽にお問い合わせください。
今後の展開
AndGoは今後も、Aikido Securityの国内提供をさらに充実させ、SBOMによる部品管理や脆弱性対策、開発者環境の保護といった、変化し続ける開発環境のリスクに対応する情報発信と支援を継続してまいります。日本の開発組織が、人材やコストの制約にとらわれずに世界水準のセキュリティを実現できるよう、伴走を続けます。
Aikido Securityについて
Aikido Security BV
所在地: Ghent, Belgium
代表者: Willem Delbare
設立:2022年
公式サイト:https://www.aikido.dev/

Aikido Securityは、静的コード解析(SAST)、ソフトウェア構成分析(SCA/SBOM)、クラウドセキュリティ態勢管理(CSPM)、コンテナスキャン、動的アプリケーションセキュリティテスト(DAST)に加え、AIエージェントによる自律型ペネトレーションテスト(AIペンテスト)や開発環境保護(Device Protection)までを一つのプラットフォームに統合した、オールインワン型のセキュリティサービスです。グローバルな脅威インテリジェンスとAIによる自動分析を活用し、ソフトウェアサプライチェーン攻撃をはじめとする新たな脅威の早期検知を可能にします。オートトリアージによりアラートのノイズを最大95%削減し、本当に対応すべき脆弱性に集中できる点も特長です。世界では5万社を超える組織に導入され、10万人以上の開発者に利用されています。
株式会社AndGoについて

株式会社AndGoは、Aikido Securityの正規代理店として、国内企業へのセキュリティサービスの提供および導入支援を行っています。世界水準のサービスを日本の開発現場で使い切れる形で届けることを通じて、国内のセキュリティ対策の底上げに取り組んでいます。
【本件に関するお問い合わせ先】
株式会社AndGo お問い合わせ:https://andgo.co.jp/contact/general
※報道関係者の方からのお問い合わせ、ならびに導入をご検討の企業さまからのご相談を承っております。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
