部品の情報が、更新・維持され、SBOM が作成可能であることが重要である。SBOM は、製品リリース
の際に顧客に提示される。製造販売業者は、提示した SBOM について、適切な変更管理を実施する。
SBOM 作成及びツールについての追加考察は、NTIA（National Telecommunications and
Information Administration、米国商務省 電気通信情報局）の“How to Guide for SBOM Generation
（SBOM 作成のハウツーガイド）”にも記載されている。
医療機関においては、入手した各システム・医療機器等の SBOM から医療機関内全体のソフトウェ
アコンポーネントリポジトリ―を構築することによって、システム構成図等とも合わせて医療機関とし
てのリスクマネジメントのベースを確立することになる。
注） SBOM コンポーネントリポジトリーは、マスターデータベースということもある。IPA はこの
場合、後述の SWID 形式を推奨している。
A.3 SBOM の要素と推奨フォーマット
医療機関等に提供される最終的な SBOM は、定義、確立された SBOM 作成の方法論に従うことによ
って、出力に一貫性があるようにする。SBOM に含まれる情報の量及び種類は変わる可能性があるが、
一般的には、利害関係者がリスクを遅滞なくかつ効果的に管理することができるよう SBOM は可能な
限り完全なものであることが望ましい。医療機器のサイバーセキュリティについては、SBOM に用いる
ソフトウェア部品の構成管理情報として、最小限、NTIA に従った以下に示す表 4 の要素を含むことが
望ましい。
表4

SBOM の最小限の要素

要 素

内

容

ソフトウェアコンポーネントのサプライ

コンポーネントの作成、定義又は識別を行うエンティテ

ヤーの名前

ィ

ソフトウェアコンポーネントの名前

サプライヤーが定義してソフトウェアユニットに割り当
てた名称

ソフトウェアコンポーネントのバージョ

以前のバージョンからの変更を特定するためにサプライ

ン

ヤーが用いる識別子

固有識別子

コンポーネントを識別するために使用する、又は関連す
るデータベースのルックアップキーとして機能する識別
子

コンポーネントハッシュ

コンポーネントのバイナリーを識別するために用いる暗
号化ハッシュ（オプション）

31

32 / 39