米国がSBOMを軸としたバイデン時代の安全開発要件を撤回、賛否分かれる専門家の声

佐々山 Tacos

2026.01.30

米トランプ政権がバイデン時代のSBOMを軸とした安全開発要件を撤回、賛否分かれる専門家の声

Dark Reading – January 30, 2026

米ホワイトハウスの行政管理予算局（OMB）は1月23日、ソフトウェアの部品表（SBOM）や、安全なソフトウェア開発手法の使用を確保するためのその他の成果物に関する要件など、前バイデン政権が設定したソフトウェアのセキュリティ要件を撤回する覚書（M-26-05）を発行。この動きについて、セキュリティ専門家の間では意見が二分しているという。

この新たに発行された覚書M-26-05は、2022年および2023年に署名された2つの覚書（それぞれM-22-18、M-23-16）を撤回するというもの。前者のM-22-18は「安全なソフトウェア開発手法の実装を通じたソフトウェアサプライチェーンの確保に関する覚書」で、2022年9月14日に当時のバイデン政権のもとで発行された。一方で後者のM-23-16は、M-22-18の内容を一部更新する覚書で、2023年6月に発行されている。

M-22-18は、「政府関係機関は、NISTの定めた『安全なソフトウェア開発手法（SSDF）』の実装を証明できるソフトウェアベンダーが提供するソフトウェアのみを使用すべきである」とし、そのために、「各機関の最高情報責任者（CIO）は、OMBおよび最高調達責任者（CAO）と連携し、ソフトウェアベンダーによるSSDFの実装、実装の適合性を確保しなければならない」との理由から、各機関に以下の実施を義務付ける内容だった。

①各機関は、ソフトウェア使用前に、SSDFの実装の適合性を証明する「自己適合証明書」の取得をソフトウェアベンダーへ要求すること。
①各機関は、必要に応じて、自己適合証明書に付随する成果物（SBOM等）をソフトウェアベンダーから入手すること。

しかし両覚書を撤回する内容のM-26-05において、OMB長官のラッセル・ボート氏は上記の要件が「真のセキュリティ投資よりもコンプライアンスを優先する、実証されていない煩雑なソフトウェア構成管理・追跡のプロセスを押し付けていた」と指摘。また、「この方針は、ソフトウェアに合わせた保証要件の開発から政府機関を遠ざけ、安全性の低いハードウェアがもたらす脅威を考慮に入れることを怠っていた」とも付け加えた。

M-26-05の発行によって、SBOMおよび自己適合証明書の提出をソフトウェアベンダーに求めることは義務ではなくなったものの、今後もこうした文書の提出を要求し続けることは可能。また各機関には、使用しているソフトウェアおよびハードウェアの完全なインベントリを維持し、必要に応じて保証を開発することが依然として求められる。

そんな中、この撤回を「大惨事だ」として否定的な意見を述べたのが、Contrast Securityの共同創業者兼最高技術責任者（CTO）であり、OWASPの創設者でもあるJeff Williams氏。同氏は Dark Reading紙に対して、バイデン前大統領のサイバーセキュリティに関する大統領令は抜本的な透明性を求めており、M-22-18 は「アプリケーションセキュリティのベストプラクティスの骨抜き版に過ぎなかった」一方で、「サイバーセキュリティに対する市場ベースのアプローチに向けた大きな勝利」でもあったと語っている。加えて、「新しいOMB覚書26-05は、私たちを振り出しに戻してしまう。これで政府機関は、自分たちのコードが安全であることを確保するために何をしても自由になり、誰も何も証明（自己適合証明）する必要がなくなってしまった」とも述べた。

一方で、今回の撤回を好意的に見る専門家もいる。GuidePoint Securityの連邦部門フィールドCISO（最高情報セキュリティ責任者）であるTim Amerson氏は撤回された元の覚書について、意図としては良かったと述べた上で、「実際の運用では、リスク低減よりも文書化の作業が優先される形になってしまうことが多かった」と指摘。しかしこれらを撤回するM-26-05は、セキュリティチームの「焦点を本当に重要な点、つまり政府機関が『結果に対して責任を負う』というところへ戻す」ものであるとの見解を述べた。同氏によれば、元の覚書の撤回により、「セキュリティ上の意思決定は、もはや一律のチェックリストに基づくものではなく、任務に伴うリスク、脅威環境、そして業務への影響と明確に結び付けられるように」なっており、「これはゼロトラストの原則、現代的なリスク管理、そして攻撃者が実際にどのように行動するかという現実に、はるかによく整合している」という。

またNetRiseのCEOであるTom Pace氏も肯定的な意見を持つ専門家の1人で、新しいガイドラインについて、政府機関が「低リスクのソフトウェアや一般的な汎用品にまで同じプロセスを強制」することなく、重要性の高い領域に重点を置いて監督・精査できる柔軟性を与えるものだと述べている。

新しい覚書によって、詳細で細かな文書化作業から、より慎重なケースバイケースの判断への移行が期待できると考える者がいる一方で、Williams氏は「多くのベンダーは最低限の対応しかしなくなるだろうし、各機関の調達担当部門は、購入するソフトウェアの安全性を検証する手段を失うことになるだろう」との予測を示した。

またExabeamのCISOであるKevin Kirkwood氏は、新たな覚書は過去の覚書を撤回しながらも、「それに変わる最低限の義務的基準」が明確に示されなかった点を問題視。これにより、ソフトウェアの安全性は各機関の自律性と調達の厳格さに左右されることになるが、成熟度は機関ごとにばらつきがあるものであり、中には密かに要件を緩和する機関も出てくるだろうとの危惧を示した。

Veracodeの主任セキュリティ・エバンジェリストであるChris Wysopal氏も、義務要件の撤廃について懸念を示した上で、「もし各機関が、リスクベースで自己適合証明書を求める際にSSDFを共通の参照点として使い続けるなら、セキュリティの結果が大きく悪化することはないはず」だと指摘。政府関係機関は引き続きSSDFを基準として利用し続けるべきだとの見解を述べたとのこと。