何が起きたか
G7サイバーセキュリティワーキンググループは、2026年5月12日に「ソフトウェア部品表(SBOM)for Artificial Intelligence - Minimum Elements」を公開しました。これはCISA(米国)、BSI(ドイツ)、ANSSI(フランス)、ACN(イタリア)、CSE(カナダ)、NCSC(英国)、NCO(日本)、およびEU委員会が共同で開発しました。ガイダンスはAIサプライチェーンメタデータの7つのクラスタを定義します:メタデータ、システムレベルプロパティ、モデル、データセットプロパティ、主要パフォーマンス指標、インフラストラクチャ、およびセキュリティプロパティ。
なぜ重要か
これはAI固有のサプライチェーン透明性に関する最初の調整された複数政府基準です。非強制的ですが、どのAIシステムプロパティを文書化して共有する必要があるかについての国際的な収束を表しています。組織は調達チームがこれらのクラスタを従来のソフトウェアSBOMと同様に、AIシステムの取得とデプロイメント管理のための基準要件として採用することを予想する必要があります。新興のEU AI Act透明性義務に整合し、リスク認識型のAI調達決定のための具体的なフレームワークを提供します。
必要な対応
AI SBOMインベントリ管理を調達、モデルデプロイメント、およびサードパーティAI取り込みワークフローに拡張してください。契約テンプレートと取り込みアンケートにAI固有のSBOMフィールド(モデルプロパティ、データセット出所、インフラストラクチャ要件、セキュリティコントロール)を追加してください。既存のSBOMツールがAI関連メタデータクラスタを発行できるかどうかを確認してください。