SBOM提出向け 抜粋区分・マスキング手順テンプレ
(そのまま使える雛形)
SBOM提出で一番の悩みは「どこまで出すか」です。
出しすぎると設計情報(IP)に近い情報が漏れます。一方で、出さなさすぎるとOEM/取引先の照会に答えられず、追加質問で工数が爆発します。
そこで本記事では、提出用SBOM(抜粋版)を作るための「抜粋区分」と「マスキング手順」テンプレを掲載します。
最初から完璧を狙わず、“必要最小限+後から説明できる(証跡が残る)”運用に寄せるのがコツです。
結論:提出は「3レベル」で決めると揉めない
SBOM提出の抜粋・マスキングは、次の3レベルに分けると社内合意が取りやすいです。
CVE照会に答えるための“必要最小限”。
OEM/顧客の指定様式に合わせた提出物。
NDA前提・限定共有。原則は出さない(必要時のみ)。
この「レベル」を先に決めるだけで、毎回の議論が減ります。
【テンプレ】抜粋区分(提出レベル)定義
使い方: 社内ルールに貼って【 】だけ埋めてください。
レベル別に「含める項目」の例
レベル1(照会回答用)
- 製品名/製品バージョン
- コンポーネント名/コンポーネントバージョン
- 影響判断の根拠に必要な最小メモ(例:外部IFなし、機能無効)
レベル2(提出用)
- レベル1 + (必要に応じて)搭載箇所(ECU/モジュール程度)
- ライセンス(要求がある場合)
- 供給元情報(要求がある場合。ただし後述のマスキングで調整)
レベル3(監査・深掘り用)
- 依存関係の詳細、ハッシュ、ビルド情報など
- ※NDA/限定共有が前提。提出の既定値にはしない
【テンプレ】マスキング(伏せ方)ルール
使い方: 下表をそのまま「出す/伏せる」を決める台帳にします。
「伏せる」場合は、“消す”か“置換(トークン化)”を選びます。
| 項目 | レベル1 | レベル2 | レベル3 | マスキング方法(例) | 理由メモ |
|---|---|---|---|---|---|
| 製品名/版数 | 出す | 出す | 出す | なし | 対象範囲の必須 |
| OSS名/版数 | 出す | 出す | 出す | なし | CVE照会の必須 |
| 自社モジュール名(内部名) | 伏せる | 置換 | 出す | MODULE_A 等に置換 | IP/設計推測を防ぐ |
| ファイルパス/リポジトリURL | 伏せる | 伏せる | 出す | 行ごと削除 | 構造・運用情報が出る |
| 顧客名/プロジェクト名 | 伏せる | 伏せる | 出す | CustomerX 等 | 取引情報の秘匿 |
| 供給元(サプライヤー名) | 伏せる | 条件付き | 出す | NDA有無で出し分け | 取引情報の秘匿 |
| 搭載箇所(ECU/機能) | 任意 | 出す | 出す | 粒度調整(大分類) | 影響説明に有用 |
| ライセンス | 任意 | 条件付き | 出す | 要求がある場合のみ | 提出先要件に依存 |
| ハッシュ/署名情報 | 伏せる | 伏せる | 出す | 行ごと削除 | 攻撃面を増やす可能性 |
| 備考(到達性/無効化) | 出す | 出す | 出す | 技術詳細は削る | “影響なし根拠”に必要 |
- 「伏せる=空欄」だと追加質問が来やすいので、置換(トークン化)できるものは置換がおすすめです。
- “影響なしの根拠”は短文で残すと照会対応が楽になります(例:外部IFなし/機能無効)。
【手順テンプレ】提出版SBOMの作り方(5ステップ)
- 提出の目的を決める(照会回答/契約/監査)
- 適用レベルを選ぶ(レベル1/2/3)
- 社内正本(フルSBOM)を固定(対象製品・対象版数)
- 抜粋→マスキングを適用(上の表で機械的に)
- 提出物として保存
- 提出版ID / 提出日 / 提出先 / 対象版数
- 参照した社内正本のID(証跡)
このままのテンプレを、自社向けに整備したい方はご相談ください。
【無料】オンライン相談を予約するよくあるNG(提出が炎上するパターン)
- NG:製品版数が書かれていない
→ “どの版のSBOM?”で追加質問が止まらない - NG:丸ごと提出
→ IP/取引情報のリスクが増える - NG:伏せすぎて意味がない
→ “照会に答えられないSBOM”になる - NG:提出版と正本が混ざる
→ 監査で矛盾(最新版がどれか分からない)
Auto PSIRT Cloudでの運用イメージ
提出版を作るときに重要なのは「提出版の再現性」です。
「いつ・どの正本を元に・どのマスキングルールで作ったか」を残しておくと、追加質問や監査が一気に楽になります。ツールを活用すれば、この「正本からの安全な切り出し」を自動化できます。
FAQ:SBOMの抜粋・提出について
おすすめしません。SBOMは設計情報に近いことがあり、出しすぎるとIP/取引情報のリスクが増えます。提出は「目的×レベル」で抜粋版を作るのが現実的です。
可能なら置換(トークン化)が便利です。削除だけだと「なぜ消えている?」と追加質問が増えるため、説明可能な形(MODULE_A など)で残すと運用が安定します。
最小は「製品名・製品版数・コンポーネント名/版数」と、影響なしの根拠を短く示すメモです。搭載箇所は粒度を調整して付けると説明が楽になります。
提出版ID、提出日、提出先、対象版数、参照した社内正本のID、適用したマスキングルール(版数)を残すと、監査・追加質問に強くなります。
マスキングや提出版の作成を自動化しませんか?
Auto PSIRT Cloudなら、社内の正本SBOMから、提出先や目的に合わせた「抜粋版(マスキング済み)」を安全かつ一瞬で生成できます。