（７）ソフト部品表で管理

本連載ではデータ連携の意義・目的をはじめ、現在取り組みが進むデータ連携の具体的なユースケースや推進方法、未来展望などを解説します。

※本記事は、日刊工業新聞の週次連載「産業データ連携がもたらす未来」の第7回（2025年6月3日）の内容を転載しています。

供給網全体の信頼性向上

今回はサイバーセキュリティーの観点からサプライチェーン（供給網）全体でのデータ連携が必要となるユースケースを紹介する。近年、製品やサービスの価値訴求においてソフトウエアの重要性が高まり、設計・開発から保守に至るまでライフサイクル（ソフトウエアサプライチェーン）が複雑化したり、オープンソースソフトウエア（ＯＳＳ）の利用が一般化したりしている。他方、ＯＳＳの脆弱（ぜいじゃく）部分などを狙った「ソフトウエアサプライチェーン攻撃」が相次ぎ、ソフトウエアへの脅威は増大している。

こうした状況を背景に、ソフトウエア部品表（Ｓ―ＢＯＭ）による管理が注目されている。Ｓ―ＢＯＭはソフトウエアコンポーネントとその依存関係を機械処理が可能な一覧にしたものだ。Ｓ―ＢＯＭを各種脆弱性データベースと照合することで、リスク深刻度評価や対処策特定が可能となる。Ｓ―ＢＯＭの提出や作成は米国大統領令の政府調達要件や欧州サイバーレジリエンス法（ＣＲＡ）の製品要件に組み込まれ、日本でも経済産業省などがガイドラインを公表している。例えば、国内の医療機器業界では、製品納入時にＳ―ＢＯＭ提出も要求され、透明性確保とトレーサビリティー（履歴管理）向上が進んでいる。

現在はＳ―ＢＯＭ運用の黎明（れいめい）期であり、作成や共有を手動で行うケースが多く、多大な工数とタイムラグが発生している。また、アジャイル（機敏）開発によるソフトウエアの短期間かつ高頻度のリリースや、ＡＩ（人工知能）自動生成コードに伴う再利用箇所の検出難度の上昇が、Ｓ―ＢＯＭ作成と管理を一層煩雑化させる。ソフトウエア定義（ＳＤｘ）が進む自動車などの分野では、上市後の機能追加とハードウエア更新が同時進行するため、開発対象となるソフトウエア数の膨大化も見込まれる。

このような環境下では、サプライチェーン全体のＳ―ＢＯＭ作成から脆弱性対策までを自動連携しながら可視化し、リアルタイムのトレーサビリティー確保とリードタイム短縮を図るデータ連携基盤が不可欠だ。

Ｓ―ＢＯＭはソフトウエア構成の可視化を通じて、サプライチェーン全体のセキュリティーと信頼性を高める仕組みである。ソフトウエア更新頻度が増加する今後においては静的な構成管理ではなく、継続的な可視化が必須となる。Ｓ―ＢＯＭは単なる規制対応ではなく、変化の激しい市場で信頼獲得と持続的な競争力を支える中核であり、データ連携を前提とした製品開発・管理体制への転換を加速すべきである。