何が起きたか
CISA は、カナダ、フランス、ドイツ、イタリア、日本、イギリス、欧州連合の G7 パートナーとともに、2026年6月16日に「AI向けソフトウェア部品表(SBOM)— 最小要素」と題する共同ガイダンスを公開しました。このドキュメントは、AI SBOMの7つの情報「クラスタ」を定義しています:メタデータ、システムレベルプロパティ、モデル、データセットプロパティ、インフラストラクチャ、セキュリティプロパティ、および主要パフォーマンス指標。既存の SBOM フレームワーク(EO 14028/NTIA 2021に根ざしている)を拡張し、AI固有のコンポーネントに対応しています:モデルの系統、学習データセットの出所、敵対的ロバストネス制御、およびプロンプトインジェクションリスク軽減策。本ガイダンスは任意であり、新たな法的要件を生じさせませんが、EU AI法第11条および第13条/附属書IV技術文書義務に明確にマップされています。
なぜ重要か
これは AI SBOM が含むべき内容に関する初の G7 合意定義です。AI サプライチェーン透明性の事実上の国際的ベースラインを確立し、既にベンダー契約、調達アンケート、および事故対応チェックリストを形作っています。AI システムを製造または調達する組織 — 特に政府に販売する、または EU 管轄区域で事業を行う組織 — は、準拠した AI SBOM を提供するための圧力が増加するでしょう。本ガイダンスはまた「自律性のレベル」要素を省略しており(延期として指摘)、エージェント型 AI システムに特有のオープンスタンダードギャップを示唆しています。
必要な対応
採用:7つのクラスタに対するギャップ分析を開始します。モデルの系統、データセットの出所、およびセキュリティプロパティ要素を優先化してください。これらは従来の SBOM に比べて新規です。ベンダーリスク チームは、AI SBOM 認証を調達アンケートに直ちに追加すべきです。