2025年9月、日米独仏伊加豪韓を含む15か国が、CISAの作成した「サイバーセキュリティのためのソフトウェア部品表（SBOM）の共有ビジョンに関する国際ガイダンス（A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity）」に共同署名しました（詳細は、経産省のサイト参照）。

　SBOMとは、ソフトウェアの構築に使用される、構成要素の詳細及びサプライチェーン関係についての正式な記録です。

　同ガイダンスでは、SBOM導入のメリット（脆弱性管理の効率化、サプライチェーンリスク管理の効率化・実効化、ソフトウェア開発プロセスの改善、ソフトウェアのライセンス管理の効率化・実効化）を掲げ、技術的な実装を国際的に調和させることを目指すとしています。

　そこで、現時点における日米EUにおけるSBOM対応義務をまとめてみました。

日本	米国	EU
・一般的な法定義務はない （参考）「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0」（経産省、2024年7月）	・政府調達の一部については提出義務あり（OMB覚書M-22-18, M-23-16） ・所定の医療機器の許認可申請に際してSBOM提出義務あり（21 U.S.C. 360n-2(b)(3)）	・IoT等のデジタル製品について、SBOMを作成する義務、当局の要請に基づき提出する義務あり（サイバーレジリエンス法）

　サイバーレジリエンス法におけるSBOM対応義務の詳細についてはこちらのブログをご参照ください。