何が起きたか
CISA は、カナダ、フランス、ドイツ、イタリア、日本、英国、および欧州連合の G7 パートナーとともに、2026 年 6 月 16 日に「Software Bill of Materials for AI – Minimum Elements」というタイトルの共同ガイダンスを公開しました。このドキュメントは、AI SBOM の 7 つの情報「クラスタ」を定義しています:メタデータ、システムレベルプロパティ、モデル、データセットプロパティ、インフラストラクチャ、セキュリティプロパティ、および主要パフォーマンス指標です。既存の SBOM フレームワーク(EO 14028/NTIA 2021 に根拠)を拡張し、AI 固有のコンポーネント(モデルの系統、トレーニングデータセットの出所、敵対的堅牢性制御、およびプロンプトインジェクションリスク軽減)をカバーしています。このガイダンスは任意であり、新しい法的要件を作成しませんが、EU AI Act 第 11 条および第 13 条/附属書 IV の技術文書義務に明示的にマッピングされています。
なぜ重要か
これは、AI SBOM が何を含むべきかに関する初の G7 合意定義です。AI サプライチェーンの透明性に関する事実上の国際的基準線を確立し、ベンダー契約、調達質問票、およびインシデント対応チェックリストにすでに影響を与えています。AI システムを製造または調達する組織、特に政府に販売する、または EU 司法管轄区で運営する組織は、準拠した AI SBOM を作成する圧力がますます高まります。このガイダンスはまた、「自律性レベル」要素を省略しており(延期として標記)、エージェンティック AI システム特有のオープン標準ギャップを示唆しています。
必要な対応
採用:7 つのクラスタに対するギャップ分析を開始する。従来の SBOM に比べて斬新なモデルの系統、データセット出所、およびセキュリティプロパティ要素を優先順位付けする。ベンダーリスク チームは、AI SBOM 証明を調達質問票に直ちに追加する必要があります。