何が起きたか
G7サイバーセキュリティ作業部会は2026年5月12日に「人工知能のためのソフトウェア部品表(SBOM)- 最小要素」を公表しました。これはCISA(米国)、BSI(ドイツ)、ANSSI(フランス)、ACN(イタリア)、CSE(カナダ)、NCSC(英国)、NCO(日本)、およびEU委員会が共同で開発したものです。本ガイダンスはAIサプライチェーンメタデータの7つのクラスタを定義しています:メタデータ、システムレベルプロパティ、モデル、データセットプロパティ、主要パフォーマンスインジケータ、インフラストラクチャ、およびセキュリティプロパティです。
なぜ重要か
これはAI固有のサプライチェーン透明性に関する初の調整された多国政府ベースラインです。強制ではありませんが、AI システムのどのプロパティを文書化し共有する必要があるかについての国際的な収束を表しています。組織は調達チームがこれらのクラスタをAIシステム取得およびデプロイメント管理のベースライン要件として採用することが予想されます。これは従来のソフトウェアSBOMと同様です。新興のEU AI Act透明性義務に一致し、リスク認識型のAI調達意思決定のための具体的なフレームワークを提供します。
必要な対応
AI SBOM在庫管理を調達、モデルデプロイメント、およびサードパーティAI取り込みワークフローに拡張します。AI固有のSBOMフィールド(モデルプロパティ、データセット出所、インフラストラクチャ要件、セキュリティ管理)を契約テンプレートおよび取り込みアンケートに追加します。既存のSBOMツールがAI関連のメタデータクラスタを出力できるかどうかを確認します。