SBOMについてみんなで語ろう -導入のアレコレ交換会-【関西コミュニティ（KISC）活動レポート】

はじめに

マクニカでは、セキュリティの企画・導入・文化浸透を担う人たちが集まって互いの知見を共有し、現場の課題に取り組むためのコミュニティ「関西情報セキュリティコミュニティ（通称：KISC）」を運営しています。

2025年4月に、自社サービスや製品をリリース・運用するためのお悩みや知見を共有する分科会「製品セキュリティ分科会」を発足し、2026年4月17日(金)に第3回目となるMeetupを弊社大阪オフィスにて実施しました。過去最高人数となる17名の方に参加いただき、「SBOMに関する取り組み」について、たくさんの意見交換が行われました。今回はその様子をお届けします。

製品セキュリティ分科会Vo.1のレポートはこちら：
「製品セキュリティの組織体制や人材の在り方とは？【関西コミュニティ（KISC）活動レポート】」
製品セキュリティ分科会Vo.2のレポートはこちら：
「CRAなど法規制や規格対応の実情とは？【関西コミュニティ（KISC）活動レポート】」

目次

• テーマ設定の背景
  • イベントアジェンダ
• 当日の様子
  
• まとめ
  • 参加者の皆様からの評価

テーマ設定の背景

製品セキュリティを取り巻く法規制や規格がますます多様化・高度化し、製造業を中心に対応が急務となる中で、今回はその中でも導入・運用における課題感が多いSBOM（Software Bill of Materials／ソフトウェア部品表）に焦点を当てMeetupを開催しました。

イベントアジェンダ

• 事例①自社での取り組み事例について
• 事例②日本の製造業の取り組み事情とあるべき姿
• 全員参加型ライトニングトーク～SBOM取り組み事例共有会～

当日の様子

今回の参加者の属性としては、製造業を中心に、研究開発、ソフトウェア／ハードウェア開発、品質保証、生産技術、情報システム部門など、製品セキュリティに関わる多様な部門の方々に参加いただきました。

また、担当者クラスだけでなく、リーダーやマネージャークラス、プロジェクトを統括する立場の方まで、幅広い役職層が参加しており、実務目線の課題から、組織・体制づくりに関する観点まで、さまざまな立場からの意見が交わされました。

第1回・第2回から継続してご参加いただいている方も多く、回を重ねることで参加者同士の距離感がより近くなった気がします。

製品セキュリティという、明確な正解が見えづらく、手探りで取り組む企業が多いテーマだからこそ、社名や立場を越えて本音を共有できる、数少ない場として機能し始めていることを改めて実感する時間となりました。

事例①では、過去の製品セキュリティ分科会すべてにご参加いただいている方から、自社でのSBOM取り組み事例を発表いただきました。
昨年度立ち上げた製品セキュリティ専任組織化の取り組みを中心に、立ち上げ時の苦労や、ベテラン技術者を専任チームに引き入れるための説得プロセス、さらにモチベーション維持や教育コンテンツの準備・拡充など、幅広い実践的な知見をご共有いただきました。

事例②では、製品セキュリティの分野で豊富な知見を持つ方から、製品セキュリティを取り巻く現状の課題と、今後あるべき姿について俯瞰的な視点からご紹介いただきました。
また、AI活用がもたらす環境変化にも触れられ、参加者にとって視野が広がる示唆に富んだセッションとなりました。

続く全員参加型ライトニングトークでは、総勢12名の方にSBOMに関する自社の取り組み状況や課題感、悩みごとを共有いただきました。
議論されたトピックとしては大きく、以下の3つです。

①SBOMは"どこまで・何の目的で"作るのか

法規制対応を主目的とするのか、脆弱性影響の把握を重視するのか、あるいはサプライヤへの説明に使いたいのかなど、自社におけるSBOMの位置づけを明確にしたうえで、「どこまで作るか」「どこまでの不完全性を許容するか」を定義することの重要性が共有されました。

②SBOMを"作った後"、脆弱性トリアージをどう回すか

NVDやJVDBなどの公開情報だけでは、現場の判断が難しいという課題が挙がりました。CVSSに加え、EPSSやKEV、アタックベクターなど複数の判断軸を組み合わせ始めている企業もありつつ、トリアージの基準や役割分担が属人化し、運用負荷が高くなっているという悩みも共通していました。 

③サプライチェーン/3^rdパーティにSBOMを"どう要求し、どう使うか"

法規制への理解度の差や、SBOMは企業秘密ではないかという心理的なハードルが議論になりました。また、SBOMを受け取ったとしても、それをどのように管理・活用するのかが課題になるケースも多く、一社だけでは完結しない難しさが改めて浮き彫りになりました。 

企業によって定義や考え方、目的意識が異なる中でベストプラクティスを探るために様々な意見が飛び交い、同じ立場の方が集まるコミュニティならではのやり取りがとても印象的でした。

まとめ

SBOMは重要性が高まる一方で、「どこまで作るのか」「どう運用につなげるのか」「サプライチェーンとどう向き合うのか」など、多くの企業が明確な答えを持てないまま手探りで取り組んでいるテーマです。
今回の製品セキュリティ分科会 Vol.3 では、そうした"迷い"を前提に、実務者同士が現場のリアルを持ち寄り、率直な意見交換が行われました。

参加者の皆様からの評価

今回は、参加者全員から満足度の高いイベントを開催することができ、７割を超える参加者の方が「コミュニティでの情報交換や交流が役に立った」と回答しており、参加者同士の対話や知見共有の価値が改めて確認されました。

アンケートでも、
「各社のさまざまな取り組みが参考になった」
「他社の状況を知ることで、自社の立ち位置を把握できた」
「具体的な事例やツール、AI活用の話が実践のヒントになった」
といった声が多く寄せられ、実務に直結する学びの多い場となったことがうかがえます。

最後に

本分科会では、ユーザ企業同士の情報交換に加え、製品セキュリティ分野における豊富な経験や知見を持つ有識者にも参加いただき、実務に即した視点でのコメントやアドバイスが得られる点も特長の一つです。

現場で直面している課題や悩みを共有しながら、専門的な知見も交えて議論できる場として、単なる情報交換にとどまらない、より実践的な学びの機会を提供しています。

今後もマクニカでは、製品セキュリティに携わる実務者が立場やフェーズを越えて学び合える場として、KISC製品セキュリティ分科会を継続して開催していく予定です。

SBOMや製品セキュリティへの取り組みに課題意識をお持ちの方は、ぜひ次回のMeetupにもご参加ください。
「関西情報セキュリティコミュニティ」に是非参加してみたい、という方は以下HPからコミュニティへの登録、お待ちしています！ 　
※東京・名古屋にも開催地を拡大中！
※本コミュニティは企業のサイバーセキュリティを担う方限定のコミュニティとなります。

▼Taneva（対象：自社のセキュリティを担う方はどなたでもご参加可能）　参加お申込みはこちら

▼KISC：関西版コミュニティ（対象：マクニカから製品・サービスをご購入いただいているお客様） 参加お申し込みはこちら

▼IST2：東京版コミュニティ（対象：マクニカから製品・サービスをご購入いただいているお客様） 参加お申し込みはこちら

▼Ikomai：東海版コミュニティ（対象：マクニカから製品・サービスをご購入いただいているお客様） 参加お申し込みはこちら