実務ガイド

SBOMをExcelから始める
(新テンプレ+最小ルール)

SBOM(Software Bill of Materials)は「やった方がいい」と分かっていても、最初の一歩で止まりがちです。理由はシンプルで、いきなりSPDX/CycloneDXやツール選定から入ると、棚卸しが終わらず更新も回らないからです。

Tier2〜Tier4の現場でまず必要なのは、完璧な標準フォーマットではなく、OEMの照会(CVE影響有無)に“版数と根拠”で答えられる状態です。

そこで本記事では、兼務でも回るように「Excelで始めるSBOM」の現実解を、テンプレと最小ルールに絞って解説します。

全体像を先に見直す

SBOMの目的や、提出版/社内版の切り分け方など、全体像を先に整理したい方はこちらをご覧ください。

1. まず決める:Excel SBOMのゴールは「答えられる」こと

Excelで始めるSBOMの成功条件は、次の2つだけです。

  • 対象製品・対象版数が切れる(どの版の話かを断言できる)
  • 影響なし/要確認の根拠が残る(後から監査・追加質問に耐える)

逆に、Excelで「全部の属性(ライセンス、ハッシュ、依存関係…)」まで追うと更新が止まります。最初は“答えるための最小項目”だけに絞ってください。

2. 新テンプレの考え方:最小項目+根拠の一言

Excel SBOMで最初に持つべき列は、実務上この6〜8項目です。

  • 製品名
  • 製品バージョン(最重要)
  • 搭載箇所/モジュール(1列でOK)
  • コンポーネント名(OSS/商用/自社)
  • コンポーネントバージョン
  • 種別(OSS/商用/自社)
  • 備考(根拠の一言:外部IFなし、機能無効、実行経路なし 等)
  • 更新日/更新者

コツ1:「製品版数」と「部品版数」を分ける

CVE照会は「どの製品版まで影響?」が必ず来ます。製品版数が無いSBOMは照会対応で詰みます。

コツ2:備考は“説明用の一言”を書く場所にする

長文はいりません。たとえば「外部IFなし」「当該機能は無効化」「実行経路に乗らない」のように、後で“影響なし”を説明できる言葉を残します。

テンプレを活用する

最小項目で始めるなら、コピペで使えるこちらのTSVテンプレをご活用ください。

3. 最小ルール:更新が止まらない3つの決まり

テンプレを作っても、ルールが無いと1か月で古くなります。最初は次の3つだけ決めてください。

ルールA:SBOMは「製品版数ごとのスナップショット」で固定

  • 製品版数が変わったら、SBOMも“その版の確定版”を残す
  • 「最新版だけ」上書きする運用は、後から版数差分が説明できず破綻します

ルールB:更新トリガーは3つに限定する

  • 製品リリース(版数が変わる)
  • 供給元/OSS更新(影響があるものだけ)
  • OEM照会が来た(調査結果を備考・証跡に追記)

ルールC:証跡の置き場所を決める

SBOMは機密になりやすいので、提出版と社内版は分ける前提で、まず「社内の保管場所」を固定します。

依頼原本/調査メモ/回答書/提出履歴を、案件IDでまとめられると監査が楽になります。

4. 今日から回す:Excel SBOM 5ステップ

1 対象製品を絞る

全部やらず、まずは「OEM照会が多い」「外部IFがある」「売上影響が大きい」製品から始めます。

2 テンプレを貼って、列だけ固定する

埋める前に“列を確定”させます。列がブレると更新が回りません。

3 最初は“主要コンポーネント”だけ埋める

100%を目指さず、影響が出やすいところ(通信、暗号、更新、診断、Web/UI)から埋めます。足りない分は「要確認」として残し、更新で埋める運用にします。

4 製品版数のたびにスナップショットを残す

リリース日・更新者も一緒に残します。これが「運用している証拠」になります。

5 照会が来たら“該当行の抜粋+備考(根拠)”で返す

Excel SBOMの強みは、必要範囲だけ抜き出して提出できることです。
結論(影響あり/なし/調査中)→対象版数→根拠(備考+証跡)をセットで返すと、追加質問が減ります。

補足:OEMに提出する「抜粋版SBOM」の作り方(3ルール)

SBOMは設計情報に近く、丸ごと出せない(出したくない)ケースが普通です。Excelで始めるなら、まず提出のルールを3つに固定すると安全です。

  1. 提出は“対象範囲だけ”
    照会CVEに関係するモジュール行だけを抜粋(または顧客が求める範囲だけ)。
  2. 必ず「製品版数」とセット
    抜粋したSBOMが「どの製品版のものか」を必ず明記。ここが抜けると追加質問が増えます。
  3. 備考に“根拠の一言”を残す
    「影響なし」を言うなら、外部IFなし/機能無効/実行経路なし等の前提を備考に残します。添付できない証跡は、参照先(フォルダ/チケットID)を書けばOKです。

SBOM整備・運用範囲をどこから始めるか整理したい方は一度ご相談ください。

【無料】オンライン相談を予約する

5. よくある失敗と回避策

  • 失敗:製品版数が無い
    → 版数列を最優先で追加する(ここだけは妥協しない)
  • 失敗:属性を増やしすぎて更新が止まる
    → 最小項目に戻し、必要になった列だけ足す
  • 失敗:最新版だけで履歴がない
    → 製品版数ごとにスナップショットを残す
  • 失敗:正本が複数(Excelが散らばる)
    → “正本は1つ”を決め、更新者と保管場所を固定する

FAQ:ExcelでのSBOM作成について

Q1. SBOMをExcelから始めても大丈夫ですか?

大丈夫です。最初は「照会に答えられる」ことが目的なので、Excelで最小項目を揃えて更新運用を回す方が成功率が高いです。

Q2. 最小項目は何ですか?

最低限は「製品名・製品バージョン・コンポーネント名・コンポーネントバージョン」です。運用上は「搭載箇所」と「備考(根拠の一言)」も入れると、影響なしの説明が強くなります。

Q3. どの頻度で更新すればいいですか?

最小は「製品リリース(版数変更)時」です。照会が多い場合は、供給元/OSS更新や照会対応を更新トリガーに入れると安定します。

Q4. SPDX/CycloneDXにいつ移行すべきですか?

OEM指定やツール連携が必要になったタイミングで十分です。Excelで更新運用が回っていない状態で標準化しても、結局古くなります。

次に読む

そもそもSBOMの定義や目的を短く確認したい方は、こちらの記事をご覧ください。

Excel SBOMから、自動トリアージへ

Auto PSIRT Cloudなら、最小項目で作ったExcelの部品表をアップロードするだけで、日々の脆弱性(CVE)チェックを自動化できます。
SBOM自動化がうまく回るその流れを、デモで確認してみませんか?

SBOM運用自動化のデモを見る