2027年、EUでサイバーレジリエンス法が施行される

EUでは、サイバーレジリエンス法が2026年9月11日に一部の報告義務が開始され、2027年12月11日に全面施行される予定です。この法律の目的は、サイバー攻撃からの回復力（レジリエンス）を欧州全体で高めることで、IoT機器や業務用ITツールといったネットワークに接続されるあらゆる製品が対象となります。
具体的には、製品に含まれるソフトウェアの安全性や脆弱性の管理が求められ、開発者や企業は、自社製品に関するセキュリティ技術文書の提出が義務化される見通しです。技術文書の一部としてSBOM（ソフトウェア部品表）の作成も求められており、製品に含まれているソフトウェア部品を明示する必要があります。たとえば、オープンソースソフトウェア（以下OSS）を使用している場合、その脆弱性の有無や、使用する理由・用途まで定義されていなければ、製品の安全性を問われるということになるでしょう。

現在、多くの企業が「自社製品はサイバーレジリエンス法にどう対応すべきか」という観点から、法令の理解と対応方針の整理を急いでいる段階です。とくにヨーロッパ向けに製品を展開する企業や、クラウドで制御を行うIoT機器を扱う企業には、同法令への適用を想定した早期の対応が求められています。

SBOM（ソフトウェア部品表）の管理をご支援

SBOMとは前述の通り、製品内に含まれるすべてのソフトウェア部品の構成情報を明記した一覧表のことです。製品を構成するOSS、自社開発のライブラリまたは3rd party製のコンポーネント、その依存関係までを網羅し、ソフトウェア製品の透明性を高める役割を果たします。
SBOMを管理するメリットは大きく、万一サイバー攻撃を受けた際にも、製品内の影響を受ける部品を迅速に特定し、対応スピードを格段に向上させることができます。またセキュリティ面だけでなく、OSSのライセンス管理も明確になるため、開発する製品におけるリスク低減にもつながります。

一方で、SBOM管理にはいくつかの課題があります。構成情報を手作業で洗い出すには膨大な時間と労力が必要であり、大規模製品であればあるほど、人的対応では限界が生じます。さらに、管理の継続性や最新の脆弱性情報との照合といった運用面も、企業にとっては大きなハードルとなります。こうした背景から、SBOMを包括的に管理するためのツール活用が今まさに注目されており、当社もお客様のSBOM管理の支援に注力しています。

「Black Duck SCA」で製品の安全性を高める

当社が注目しているのが、Black Duck Software社のソフトウェア・コンポジション解析（SCA）ツール「Black Duck SCA」です。「Black Duck SCA」は、OSSの脆弱性検出やライセンス管理に強みを持ち、SBOMの生成・入出力にも対応するツールとして、世界的に高い評価を得ています。いわば業界のデファクトスタンダードといえる製品です。当社は2025年5月より、「Black Duck SCA」の販売パートナーとしてマクニカ社と契約を結び、同ツールを活用したSBOM管理支援サービスを開始しました。

「Black Duck SCA」の特徴は、脆弱性情報の収集とその網羅性に優れている点です。たとえば、世界中のセキュリティ団体が提供する脆弱性レポートと連携し、製品の安全性に関する最新の情報と迅速に連携します。加えて、ライセンス違反のリスクも自動で検出できるため、法的リスクの回避にも貢献します。

当社が「Black Duck SCA」を選んだ理由は、単にツールとして優れているからというだけではありません。当社はこれまで、組み込み系製品の検証業務や開発支援を通じて、現場に寄り添いながら課題解決に伴走してきました。現場の運用に即した開発を通してSBOM管理をご支援できるのは、開発ベンダーとしての実績がある当社ならではの強みです。マクニカ社がもつ法令や製品の知識と、当社がもつ開発現場のノウハウを組み合わせることで、企業のSBOM管理を多面的にご支援できる体制を構築しています。

ツール導入だけでなく、社内体制の整備が重要

「Black Duck SCA」は非常に強力なツールですが、導入すればすぐにサイバーレジリエンス法への対応が完了するというものではありません。導入から実運用までには1年程度を要するケースが多く、時間がかかる要因として「社内体制の整備」が挙げられます。たとえば、「誰がSBOMを作るのか」「ツールの操作はどの部門が担当するのか」「出力結果の扱いはどこが判断するのか」「費用負担はどの部署になるのか」といった運用ルールの策定が必要になります。情報システム部門だけでは完結せず、製品の開発部門など複数部門の連携が求められるのです。

その点、当社には開発とセキュリティの両面に通じたエンジニアが在籍しており、ツールの導入から運用までを一気通貫でご支援できます。たとえば、「Black Duck SCA」を使い始めた際に発生する技術的なトラブルや運用上の不明点に対しても、現場目線での対応が可能です。お客様の中には、「Black Duck SCA」を導入したいが、まず基本的な運用の仕方から教えて欲しいという声も、実は多いのです。
サイバーレジリエンス法の施行が迫る中、SBOM管理は企業にとって喫緊の課題です。当社は、導入支援や技術視点でのアドバイスだけでなく、体制構築や継続的な運用まで含めて、お客様に寄り添ったご支援を提供しています。

セキュリティ強化は「筋トレ」に近い

SBOM管理が必要なのは、EU向けに製品を展開する企業に限られたものではないと考えています。日本国内においても、経済産業省やIPA（情報処理推進機構）がガイドラインを公開しており、将来的には義務化される可能性があると思います。アメリカでは法令化こそされていないものの、2021年に当時のバイデン大統領が大統領令を出しており、政府調達のシステムに対しSBOMの入手を要求したり、セキュア開発のライフサイクルを定義して開発事業者に同意することを求めたり、脆弱性の報告を求めるなど、世界的に取り組みが広がっています。今から準備することは、将来の競争力強化にもつながります。
たとえれば、セキュリティ対策は筋肉を鍛えるトレーニングのようなものです。一度や二度、「筋トレ」をしたからといって強くなれるわけではありません。継続的にトレーニングし、定期的なアップデートを通じて、徐々に強くしなやかな筋肉を作っていくのと同じで、セキュリティ強化にも継続的な取り組みが重要なのです。

※記載の会社名、製品名は各社の商標または登録商標です。