【要点】
◎EUサイバーレジリエンス法対応に向け、SBOMで最上位依存関係をどう記述すべきかを整理し、CycloneDXを用いた具体例と判断が難しいケースを考察した (NECセキュリティブログ)
【要約】
EUサイバーレジリエンス法(CRA)では、製品に含まれるソフトウェア部品と少なくとも最上位レベルの依存関係を機械可読なSBOMで管理することが求められる。本稿は、CRA条文とドイツBSIの技術ガイドラインを踏まえ、SBOM記述の実践的課題を整理した。特にCycloneDX形式を用い、直接依存関係の表現方法や、複数OS対応時にSBOMを分割する考え方、依存コンポーネントを同梱する場合としない場合の違いを例示する。CRA対応では、単なる列挙ではなく、脆弱性把握と迅速な報告を支える構成管理としてSBOMを設計する重要性が強調されている。
【ブログ】
◆EUサイバーレジリエンス法を満たすSBOM依存関係の記述方法の考察 (平田 純(NECセキュリティブログ), 2026/01/23)
https://jpn.nec.com/cybersecurity/blog/260123/index.html
【関連まとめ記事】
◆サイバーレジリエンス法案 (まとめ)
https://security-log.hatenablog.com/entry/Cyber_Resilience_Act
