　また、現在のようにソフトウェアが製品の主要機能を担うようになる以前から、ハードウェアの製品ライフサイクルにおいてもBOM（部品表）が用いられており、設計や製造、サービスの各プロセスで（1）EBOM（Engineering BOM：設計部品表）、（2）MBOM（Manufacturing BOM：製造部品表）、（3）サービスBOM（Service BOM：サービス部品表）の3つに分かれていたことなどについて述べた。

　今回は、それら従来のBOMと共に製造業の新たな管理対象として話題に挙がることが多くなって来たSBOMについて論じる。

⇒連載『武田一城の「製品セキュリティ」進化論』バックナンバーはこちら

主管部門が決まらないSBOM

　自動車業界、医療機器業界およびEUのサイバーレジリエンス法（CRA）の対象となるデジタル機器、そして国内でも「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」のレベル3（★3）の取得などで、SBOMの構築と運用／管理の重要性がにわかに高まってきている。

　これはSBOMの必要性を海外法規だけではなく、国内法規でも定めているということであり、「当社は海外に輸出していないので該当しない」としていた製造業も対象になることを示している。

　つまり、デジタル製品を手掛ける製造業にとって、このSBOMの構築と運用／管理は避けて通れない状況になるだろう。ただし、この大きな市場の流れに付いて行けていない製造業も散見される。そして、CRAのインシデント報告義務の期限にあと数カ月を残すのみとなった2026年春の現段階でも、どうやら進捗がよろしくない。

　その理由はもちろん複雑で、課題を一つに絞ることは難しい。それでも、SBOMの構築や運用／管理を社内のどこの部門が主管となって実施するかという最初の一歩でつまずいている製造業が多いことは事実だろう。

　このような社内の組織上の問題を「決めればよいだけ」と断じてしまうことは簡単だ。しかし、この件はセキュリティ分野で「CISO（Chief Information Security Officer）」が組織に定着する以前に「どこに所属すべきか？」ということで議論になった際とよく似ており、特定の製造業の組織が特段遅れているわけではない。

　結局のところ、組織は生き物のようなものなので、どこが主管／主体になっても一長一短があり「ここが正解だ！」というものはないのだ。SBOMは、これまでなかった分野であり役割なので、組織としてどう捉えてよいかが分からず、混乱が生じるのはむしろ当然といえる。

組織として「サイバー攻撃」が想定外の事象だった

　セキュリティは、そもそもサイバー攻撃がこの世になければ、今ほど考慮する必要はなかっただろう。しかし、現実問題としてサイバー攻撃の猛威は拡大し続けている。従来はなかったこの状況に対して、組織内における役割や定位置、インシデント発生時の対応をどうするかということについては、前例がないのは当然だ。

　しかし、組織がセキュリティ機能を有効に働かせるには、幾つもの部門を横断した情報収集の仕組みや緊急時の準備、それに伴うさまざまな意思決定が必要になる。これらが複雑に絡み合っているのが、ほとんどの企業や組織の実情であり、関係するステークホルダーの合意形成は想像を絶するほど大変だ。

　このようなことを、既存の組織構造にうまく融合させて機能させるというのは、当然ながら一朝一夕にはできない。しかも、解決しなければならないのは、従来はなかった「サイバー攻撃の脅威」だ。これに対処できる専門家など、一般企業にはほとんど居ない。その意味では、誰もが畑違いの分野であり、専門家どころかやりたい人自体が居ない分野でもある。むしろ、すんなり決まることの方が珍しいのかもしれない。

　それでも、CRAに定められた「インシデント報告義務」期限は2026年9月11日に迫っている。これに違反すれば日本円で約28億円かそれ以上の罰金を科せられる可能性がある。これは、ほとんどの企業で大きな経営リスクとなり得るものだ。早々に、主管の組織を決定し対応をすべきだろう。

SBOM主管部門を決定するために必要な「組織の役割」の棚卸し

　デジタル製品の場合、製造業が発注元の企業やエンドユーザーなどに提供する製品が、「セキュアではない」というのは、品質面で問題があるということに他ならない。そのため、「セキュリティという品質の要件」が満たされない場合は、リコール対象になると考えていいだろう。CRAに違反する場合も、このリコールと同様に大きな経営リスクになる。

　この経営リスクを低減させる方法こそがサイバー攻撃対策としてのセキュリティだ。ネットワークに接続しないような非デジタルな製品であれば、出荷前の品質検証などで対応可能だ。しかし、デジタル機器はほとんどの場合、インターネットなどのオープンなネットワーク接続が前提となることから、問題は非常に根深くなる。

　製品がネットワークにつながるということは、全世界の攻撃者ともつながることを意味している。その点が「従来の非デジタルの製品」とは異なる。また、その製品に脆弱性が発見された場合などは、ユーザーの情報漏えいや端末の乗っ取りなどのリスクが発生してしまう。このような状況を防止するため、緊急事態となった際には迅速に対応する必要がある。

　しかし、この迅速な対応というのはなかなか難しい要件となる。従来のBOMは、設計部門はEBOM、製造部門はMBOMというような部門単位のものであったが、SBOMは部門を超えた対応が必要になるからだ。品質管理部門やリスク管理部門、場合によっては情報システム部門などを含めた総合的な調整を経た意思決定と対応が必要となるのだ。

　この総合的な対応をするために、デジタル機器の製品セキュリティに関わる部門や組織において、相応の準備が必要だ。それらの組織は、その企業の業種業態や特性などで変わるが、一般的には以下の5つの部門になると思われる。