組み込みセキュリティ規制の概要解説：EUサイバーレジリエンス法とは？：Q&Aで学ぶマイコン講座（96）（3/3 ページ）

[STマイクロエレクトロニクス]

ソフトウェア部品表

　ソフトウェア部品表（SBOM）とは、ソフトウェアを構成するモジュールなどのソフトウェア部品の名称、バージョン、依存関係などの情報が含まれたソフトウェア部品の一覧表です。

機械で読み取り可能な形式

　CRAの付属書には、ソフトウェア部品表（SBOM）が「機械で読み取り可能な形式で提供可能」であることが要件として記載されていますが、「機械で読み取り可能な形式」については触れていないため、補足します。

　機械で読み取り可能な形式として、市場で普及しているSBOMデータ構造は主に下記の2つです。

1. SPDX
2. CycloneDX

　どちらもJSONなどのデータ記述形式で、ソフトウェア部品表を記述します。

SPDXとCycloneDXの違い

　SPDXは、ソフトウェア部品のライセンスや著作権を表示し、ソフトウェアライセンスへのコンプライアンスの合理化のためにLinux Foundationの傘下プロジェクトで発案されたものです。CycloneDXは、SBOMの含有情報の1つとして、脆弱性情報を含めるための構造を有しています。

要件対応のために何をすればいいか分からない場合

　コストはかかるものの、具体的な対策についてはプロフェッショナルに相談するのが最適です。

　TUVのような認証テスト会社の中には、適合性試験、ギャップ分析だけでなく、EUサイバーセキュリティ法規制解説セミナーやCRA対応で必要な脆弱性開示ポリシー（VDP）解説セミナーを有償で提供している企業があります。

　また、Black Duckや、Timesys VigilesなどのSBOM生成管理ツールを取り扱っている企業の中には、セキュリティコンサルティングを提供している企業もあります。