北村氏　多くの製造業、特に中堅中小の製造業では、CRAに対応するためのノウハウや人材が足りていません。そうした状況で、どのようにSBOMを生成し、オープンソースソフトウエア(OSS)などに存在する脆弱性を管理していくか、これが大きな課題となっています。実際にEU向け輸出比率が高く、ある程度の環境を整備している企業でも、SBOMを作るだけで終わる「点」の運用に止まっている企業が少なくありません。一度きりのSBOM生成で、継続した脆弱性管理を行わないまま準備を進めると、CRAの要件に対応できず、EU市場でのビジネスに影響が出ることが考えられます。

　CRAでは製品に内在する脆弱性を的確にモニタリングし、悪用が確認されている脆弱性が発見された場合、それを調査してレポートするといった継続的なオペレーションが求められるからです。継続性の観点では、開発と運用で別々に対応している場合、手作業の発生や工程の重複など、効率性に欠けるケースが多く、継続的な運用が難しくなります。

TJ氏　日本に限った問題ではありませんが、企業が何かしらのファームウエアやソフトウエアを開発する場合、自社で全てのソフトウエアを構築するわけではなく、サードパーティのサプライヤーからソフトウエアコンポーネントを購入して製品を開発することがあります。その場合、サードパーティが提供するソフトウエアのソースコードは自社では持っていませんからSBOMが作れず、顧客から契約中にSBOMの提出を求められても対応できない事態を招いてしまいます。特にソースコードが提供されない産業機械や家電製品のサプライチェーンでは、OSSの検出精度が下がり、隠れた脆弱性が見逃されがちです。

TJ氏　日本と同様に韓国もCRA対応はまだ初期段階です。大企業はともかく中堅企業では全てのベンダーが精度の高いSBOMを作れる状況にはなっておらず、どのベンダーから何を買ったかによってSBOMのクオリティがバラバラです。欧州へスムーズに製品を輸出できるよう、CRA対応プロセスの構築が急務となっています（図１）。 　一方、自動車業界は既に精度の高いSBOMが作れる状態にあります。例えば、何か特定の部品に関連した事故が起こった際、その部品の製造メーカーがかかわった車の全てにリコールをかけるわけではなく、「何年何月どのラインで製造された部品を搭載した車だけ」と限定してリコールをかけることができます。それぐらい自動車業界には、製品設計段階からのセキュリティー実装が浸透しています。しかし、ほかの製造業ではまだそのレベルに至っておらず、SBOMの精度をいかに高めていくかが求められています。

TJ氏　先ほどサードパーティのサプライヤーからソースコードが提供されていないためSBOMが作れないケースがあると言いました。その解決策となるのが、バイナリを基にSBOMを作ることです。バイナリをスキャンして内包するコンポーネントを特定し、SBOMを生成するソリューションがCRA対応には不可欠となります。

北村氏　もう１つ重要なのがOSのレイヤーからSBOMを管理することです。一般的にアプリケーションレイヤーのSBOMは、比較的多くの企業が管理していますが、OSレイヤーになってくると、なかなか対応しきれていない。つまりバイナリからのSBOM生成に加えて、OSレイヤーの可視化を行うソリューションが重要になります。組込み系製品のセキュリティーをトータルに確保し、開発から運用まで使える必要十分な機能を備え、現実的なコストで導入可能であること。これが中堅製造業向けのソリューションに求められている要件だと思います。

北村氏　当社は近年、SBOM管理と脆弱性運用の自動化に注力してきました。そのためのSaaS型ソリューションである「MIRACLE Vul Hummer」（以下、MVH）は、OSからアプリケーションまで、ベンダー固有の拡張タグを含む様々な形式のSBOMを一元管理して、脆弱性を正確にチェックすることができます。日々新たに発見される脆弱性情報の収集とSBOMとの突合・紐付けを自動化できるため、CRA運用の工数・コストの大幅な削減につながるのが特徴です。

　一方で、中堅製造業のお客様にお話を聞くと、「実はSBOMを持っていない、作れる状況にない。その代わりソースコードやバイナリはある」というケースが多々あります。また、組み込み業界では、メモリ操作などHWを意識した上で開発することからC言語やC++言語が多く利用されていますが、これらの言語で開発されたソフトウエアは、対応するツールが限られているためSBOMの生成が難しいのです。 これらのお客様をなんとかCRAに対応させるにはどうすればいいかと考えたところ、バイナリを解析して精度の高いSBOMを生成できるツールをMVHと組み合わせ、一気通貫でCRAに対応できるソリューションを作ることではないかと気づきました。

　さっそく国内外の製品を調べたところ、Insignary Clarityが技術面でもコスト面でも非常に優れていることがわかりました。そこで当社から「互いの強みを組み合わせて、お客様に価値あるソリューションを提供しませんか」と、Insignaryに協業のお願いを差し上げました。すると代表であるTJさんご自身から早々に「ぜひ、やりましょう」という回答を頂くことができたのです。

TJ氏　もちろんです。以前からInsignary Clarityは日本の販売パートナーを通じて提供させていただいており、大手メーカーを中心とするお客様に広くお使いいただいています。しかし、その革新的なテクノロジーを、まだ認知されていない日本のお客様にお届けするには、サイバートラスト様の優れた製品と当社の製品を一体的に提供して付加価値を上げることが、より良い機会になると考えました。

TJ氏　Clarityは、バイナリ解析を軸としたOSS管理ツールです。Binary-firstという理念のもと、OSSを含む各バイナリファイルからSBOMを生成し、脆弱性やライセンス違反のリスクを容易に検出することができます。最も優れた点は、米国・韓国で特許取得済みの「Deep Fingerprinting技術」です。バイナリに残るソースコード情報の断片を基にOSSを探索するため、ソースコードが入手できない対象についても実体に即したSBOMを自動生成し、脆弱性やライセンス違反の有無を確認することができます。

北村氏　つまり、SBOM生成はClarity、運用はMVHという明確な役割分担で、これまで個別最適に陥りがちだったSBOMライフサイクルを、一気通貫で継続的に管理していただく。これが提携による最大の狙いです。

北村氏　サイバートラストのMVHプラットフォームを利用することで、アプリケーションのSBOMはClarityから読み取り、OSレイヤーはMVHで生成、管理して、 SBOMの生成から運用までの一元管理により「継続的な脆弱性管理」を実現します（図２）。 　当社はSBOMを作るだけではなく、様々なSBOMをOSレイヤーも含めて管理・運用することが大切であると考えています。最初にも申し上げましたが、SBOMは一度作って終わりではなく、継続的な運用が必要です。OSSの脆弱性は決して予測できず、脆弱性の発見・公開のタイミングに応じて、迅速に対応する必要があります。そのベースとなるSBOMをしっかり管理すれば、いつでも脆弱性情報をリアルタイムでウォッチし、適切なアクションを起こすことが可能となります。

　SBOM生成に強いClarityと、運用に強いMVHを一体的に利用することで、その基盤がしっかりと構築でき、全体的な工数を大幅に削減することができます。両社の技術とノウハウが出会ったことで、コスト面でも幅広い企業に手の届くソリューションが誕生します。

TJ氏　ClarityのDeep Fingerprinting技術で得られた完全網羅のSBOMを提供することで、日本の中堅製造業のお客様が抱えている課題を解決できると考えています。具体的には、Clarityで生成したSBOMをMVHに取り込むことで一元管理が実現します。これにより、脆弱性のスキャンやメール通知を通じて、現場で発生した問題をリアルタイムに把握すると同時に、迅速な対応が可能になります。また、SBOMや脆弱性レポートを出力することで、CRA対応を効率化できる点も大きなポイントです。

　さらに、組織階層に適したグループ管理や権限設定、全社横断的な管理といった日本の運用を意識したプラットフォームであるMVHと一体的に活用できる点も大きな価値になるでしょう。Clarityでは将来的に、生成AIを使って書かれたソースコードなどに対しても、潜在的なライセンス違反や脆弱性リスクなどを可視化する仕組みを提供していきます。

北村氏　2025年10月16日に新ソリューションを正式発表し、限定20社のPoCライセンスも同日に利用申し込み受付を開始しました。協業したソリューションは日本語UIと日本語サポートを完備しており、日本国内のパートナーを介して申し込みいただけば、CRA適用期限までの対応をご支援いたします。

TJ氏　2026年1月から、Clarityで生成したSBOMをMVHに取り込む運用管理が可能になります。APIによるMVHとClarityの自動連携も強化し、2製品間の整合性を着実に向上させていきます。

　戦略的な価格として年額700万から1,000万円、PoCは350万円（3ヶ月）、90日で本番運用を開始できます。また、横浜で開催されるEdgeTech+2025（11月19～21日）ではデモ展示を予定しています。特にSBOMの生成から運用の一元管理、継続的な脆弱性管理について課題を抱えておられるお客様には、ぜひこの機会に「MIRACLE Vul Hammer with Clarity」を体験していただき、EU輸出と国内製造の両立を実現していただければと思います。

北村氏　あらゆる企業にとってCRAへの対応は、欧州市場にしっかりとアクセスし、製造業としての責任を果たしていくために必要不可欠なことだと考えています。今後も両社の協業をさらに進化させ、お客様への提供価値を継続的に高めていくことをお約束します。