
ソフトウェアサプライチェーン管理とコンプライアンスの領域で、EU向けにソフトウェアを提供する企業の実務判断が変わりつつある。欧州連合サイバーセキュリティ機関ENISAは2026年6月、SBOM(Software Bill of Materials、ソフトウェアの構成部品を一覧化した部品表)の採用状況をまとめた調査レポート「SBOM Adoption State of Play 2026」を公表した。焦点はEUのCRA(Cyber Resilience Act、デジタル要素を持つ製品のセキュリティを規律するEU規則)である。CRAは2027年12月に完全適用となり、対象製品を扱う企業はSBOMの作成・維持・提供が法的義務になる。ENISAの調査では、SBOM形式としてCycloneDXとSPDXが主流となり、CRAが投資の最大の推進力になっている実態が数値で示された。EU市場向けに組み込みソフトウェアやSaaSを提供する日本企業も、この規制の射程に入る。本稿では、ENISAレポートの数値をもとに、今から着手すべきSBOM整備の実務判断を整理する。
予備知識
- CycloneDX / SPDX: SBOMを記述する2大標準形式。前者はOWASP、後者はLinux Foundationが策定
- VEX: SBOM中の部品に見つかった脆弱性が、その製品で実際に悪用可能かを伝える補足情報
- ビルド時生成: ソフトウェアを組み立てる工程で自動的にSBOMを作ること。後付けの手作業より正確になる
- 完全適用: 規則の全要件が強制力を持つ時点。CRAは2027年12月で、それまでが移行期間
すでに廃止されたプロトコルを使い続けることの代償がランサムウェア侵入として現れた。CVE-2026-50751(CVSS 9.3)はCheck Point Remote Access VPN / Mobile Accessが、廃止済みのI[…]
SBOMはなぜ「任意」から「義務」に変わったのか
ENISAが2026年6月に公表した調査は、SBOMがベストプラクティスから規制上の必須事項へ移行しつつある実態を定量的に示した最新データである[1]。調査対象企業のうち78%が既にSBOM導入に着手しており、そのうち44%はパイロットないし限定導入の段階にとどまる[1]。導入の推進力を尋ねた設問では、CRAが投資を大きく加速させたと回答した企業が43%、中程度の影響があったとする企業が29%で、合計72%がCRAを主要な動機として挙げた[1]。2021年に発効した米国大統領令14028がSBOM提供を求めた際は購入者側の要請が中心だったが、CRAは製造者側に法的義務として課す点で性質が異なる[3]。

Oracleのセキュリティアドバイザリが公開される2週間前から、攻撃者はすでに学校のネットワークを荒らし回っていた。米国のサイバー犯罪グループUNC6240(ShinyHunters)は、Oracle PeopleSoft PeopleT[…]
CycloneDXとSPDX、どちらを選ぶべきか
結論を先に述べると、CRA対応では両形式とも「機械可読な一般的形式」という要件を満たすため、既存の開発ツールチェーンとの親和性で選ぶのが実務的である[1]。
| 項目 | CycloneDX | SPDX |
|---|---|---|
| 策定団体 | OWASP Foundation | Linux Foundation |
| ENISA調査での採用率 | 44% | 29% |
| 標準化の状況 | OWASP標準 | ISO/IEC 5962:2021 |
| 得意領域 | 脆弱性・脅威情報との連携(VEX) | ライセンス管理・法務監査 |
ENISAの調査によると、CycloneDXとSPDXを合わせた採用率は73%に達し、両形式で市場のほぼ4分の3を占める[1]。残りは独自形式が17%、形式を統一していない企業が11%で、規制対応の観点では相互運用性のリスクを抱える[1]。SPDXは2021年にISO/IEC 5962として国際標準化されており、法務・調達部門との合意形成がしやすい[1]。CycloneDXは脆弱性情報との統合を前提に設計されており、セキュリティ運用チームとの相性がよい[1]。

CRAのタイムラインと日本企業への影響
CRAは2024年に発効し、2027年12月11日に完全適用となる3年の移行期間を設けている規則である[2]。一部の要件、特に脆弱性の報告プロセスは2026年9月から先行して適用される[2]。違反時の制裁金は最大1500万ユーロまたは全世界売上高の2.5%のいずれか高い方で、1ユーロ=170円換算では約25.5億円に相当する(為替は概算)[2]。EU域内に製品を出荷する日本企業は、開発拠点が国内であってもCRAの対象になり得るため、EU向け製品ラインを持つ組織はSBOM整備を先送りできない[1][2]。ENISAの調査では79%の企業がCRA完全適用までに必要な成熟度に到達できると見込んでいるが、残り約2割は準備が間に合わない可能性を抱える[1]。

SBOMは「作る」から「使える」に進化しているか
実務上の論点は生成の有無ではなく、SBOMが正確で運用可能かという点に移っている[3]。Dark Readingの報道では、SBOMを要求する企業の関心はもはや提供の可否ではなく、提供された情報が正確で行動につながるかに移行したと指摘されている[3]。ENISAの調査でも、ビルド時にSBOMを生成している企業は39%にとどまり、リリースごとの生成を部分的にでも自動化している企業は74%である[1]。オープンソースの上流プロジェクト自体がSBOMを提供していないケースも多く、成熟度の高い開発組織でも不完全なSBOMしか作れない現実がある[3]。

よくある質問(FAQ)
Q1. SBOMとCRAは中小企業にも適用されるのか。
CRAはデジタル要素を持つ製品をEU市場に出荷する製造者を対象とし、企業規模による一律の除外規定はない[2]。
Q2. CycloneDXとSPDX、どちらか一方だけ整備すれば十分か。
CRAの要件自体は形式を限定していないが、取引先が求める形式が異なる場合は両対応が必要になることが多い[1][2]。
Q3. 日本企業はいつまでにSBOM整備を始めるべきか。
脆弱性報告プロセスの先行適用が2026年9月に始まるため、EU向け製品を持つ企業は遅くとも2026年内の着手が望ましい[1][2]。
まとめ
ENISAの2026年調査は、SBOMが任意の取り組みから規制上の義務へ移行する転換点を数値で裏づけた。CycloneDXとSPDXが採用率の7割超を占める一方、CRAは2027年12月に完全適用となり、脆弱性報告プロセスは2026年9月から先行適用される。EU向け製品を扱う日本企業は、形式選定とSBOM生成の自動化を今期の予算判断に組み込む必要がある。着手が遅れるほど、取引先からの形式要求への対応や監査対応の負荷が増す。まずは自社製品がCRAの対象範囲に入るかの確認と、CycloneDXまたはSPDXいずれかでの試験的なSBOM生成から始める判断が現実的である。
出典
[1] ENISA, “SBOM Adoption State of Play 2026″(2026年6月公表) https://www.enisa.europa.eu/sites/default/files/2026-06/SBOM%20Adoption%20State%20of%20Play%202026.pdf (参照経路: SOCFortress要約 https://socfortress.medium.com/enisa-sbom-adoption-in-2026-from-security-best-practice-to-regulatory-imperative-part-i-f9ea6003bb67 )[2] Anchore, “EU CRA SBOM Requirements: Overview & Compliance Tips” https://anchore.com/sbom/eu-cra/
[3] Dark Reading, “SBOMs in 2026: Some Love, Some Hate, Much Ambivalence” https://www.darkreading.com/application-security/sboms-in-2026-some-love-some-hate-much-ambivalence

