ENISAは、334の組織(65%がEU域内に拠点を置き、80%がサイバーレジリエンス法(CRA)の直接的な影響を受ける)を対象とした調査に基づき、「SBOM 現状:2026年版」を発表した。これは、ソフトウェアサプライチェーンの透明性に関して業界が現在どのような状況にあるかを示す、これまでで最も明確な現状分析であり、その実態は「誰もが賛同している」という単純な話ではないことが浮き彫りになっている。
特に印象に残ったのは以下の通りです。
CRAが中心となって取り組んでいる
当然のことながら、CRASBOM 最大の推進要因となっています。43%の組織が、CRASBOM 大幅に加速したと回答しており、さらに29%が「ある程度影響があった」と報告しています。78%がSBOM に着手しており、79%は2027年12月にCRAが全面的に適用されるまでに、必要な成熟度レベルに達すると見込んでいます。
つまり、約5社に1社が期限に間に合わないと見込んでおり、12%はスケジュールさえ見通せない状況にある。
SBOMの作成と、その活用は別物です
現在、多くの組織がSBOMを作成しています。39%の組織がビルド時にSBOMを生成しており、74%の組織ではリリースごとの生成を少なくとも部分的に自動化しています。しかし、その活用は遅れをとっています:
- 44%が 、SBOMの作成と実際の活用との間に「ある程度の隔たり」があると回答し 、23%が「大きな隔たり」があると回答している。この隔たりを解消できたのはわずか7%にとどまっている。
- 回答者の20%は、自社組織内でSBOMが活用されているかどうか、またどのように活用されているのかについて、全く把握していない。
- ENISA自身の結論によると、SBOMは能動的なセキュリティ対策というよりは、「主にコンプライアンス目的」で使用されているという。
アーティファクトレジストリにSBOM 読まれないSBOM 、単なる書類に過ぎません。SBOMが真の価値を発揮するのは、脆弱性 ライセンス管理に活用されたときだけです。しかし、まさにその点でチームは苦戦しています。58%脆弱性 (CPE/PURLの整合性、誤検知)脆弱性 大きな課題として挙げており、60%がコンポーネントや識別子の不備といったデータ品質の問題を指摘しています。
サプライヤーからSBOMが送られてこない
多くの組織がサプライヤーからSBOMを入手できていないのは、ほとんどのサプライヤーがそれを送っていないためである。
- 購入する商用ソフトウェアのSBOMを一度も受け取ったことがない組織は39%に上る。また、受け取ることはめったにない組織も39%ある。常に受け取っている組織はわずか2%に過ぎない。
- サプライヤー契約に SBOM 必須SBOM 盛り込んでいるのはわずか10%にとどまる(ただし、55%が現在その導入に取り組んでいる)。
- 45%が、サプライヤーの4分の1未満しか SBOM を満たしていないと回答している。
- 「完全性(27%)」「識別子の正確性(17%)」「脆弱性 (12%)」が、品質面での主な課題となっています。
詳細度の低さが品質問題をさらに深刻化させている。組織の36%は、すべての主要コンポーネントと直接的な依存関係網羅したSBOMを必要としているが、実際にそれを入手できているのは29%に過ぎない。完全な詳細度を持つSBOMについては、必要とされる割合が24%であるのに対し、実際に提供されているのは14%にとどまる。さらに、45%の組織は、自らがどの程度の詳細度のSBOMを入手しているのかさえ把握していない。
実世界の脆弱性の多くは推移的依存関係に潜んでいるため、これはあらゆるSBOM のセキュリティ上の価値を直接的に制限することになる。
データがさらに示しているのは
この報告書では、業界が問題点を認識しているものの、その対応に苦慮している実態を示す、さらなる調査結果がいくつか明らかになっている。
何が障害になっているのか
- 懸念が投資を上回っている。90%を超える組織がサプライチェーンのセキュリティを懸念しているが、これに十分なリソースを割いているのはわずか34%にとどまる。スキル不足が問題をさらに深刻化させており、57%がスキルや人材の不足を障壁として挙げている。
- 最大の障壁は完全性です。62%が、SBOM 達成することは「かなり難しい」あるいは「極めて難しい」と答えています。
- フォーマットをめぐる争いはまだ終わっていない。CycloneDX(44%)がSPDX(29%)を上回っているものの、依然として28%が独自形式や非標準形式を使用している。これは直接的なコンプライアンスリスクとなる。なぜなら、CRA(データ保護法)では、一般的に使用され、機械可読な形式が求められており、ドイツのBSIガイドラインでは、CycloneDX 1.6以降またはSPDX 3.0.1以降を明示的に推奨しているからである。
現在誰がリードしているのか、そして次に何が起こるのか
- 中小企業はひっそりと先行している。零細・中小企業の23~25%が、SBOM 成熟し自動化されていると報告しているのに対し、中堅・大企業ではわずか4~6%にとどまっている。一方、大企業の36%はSBOMを「義務的な負担」と捉えている。
- 市場が求めているのは、 、既成のパイプラインを備えたリファレンス実装(26%)、ツールのベンチマークと購入ガイド(22%)、適合性テスト(18%)、そして「十分」SBOM 定義したプロファイル(31%)です。
実際にはどういうことか
ENISAのデータによると、2026年を特徴づける課題は「活用」にあることが示唆されています。つまり、ビルドごとの自動生成、製品サポート期間を通じた継続的な更新、SBOM 実際に連携した脆弱性 、そしてサプライヤーから提供されるソフトウェアの内容に対する可視化が求められます。調査では、これらの分野に最大の課題が浮き彫りになっており、CRAもここを重点的に監視していくことになるでしょう。
方法 Aikido がそこへ至る手助けをする
そこで「Aikido 」の出番です。サプライチェーンの透明性を、単なるコンプライアンスのチェック項目にとどまらず、脆弱性 ライセンス管理のワークフローにまで組み込みます。
適切な形式でのワンクリックSBOM
ワンクリックで、Aikido CycloneDXおよびSPDX形式のSBOMをリポジトリからAikido 。これらは、CRAおよびBSIのガイダンスで推奨されている2つのフォーマットです。これにより、依然として独自フォーマットに依存している組織の28%に対応できるほか、「機械可読形式での最低限のコンテンツ」という要件も満たすことができます。また、市場監視当局から照会があった際、生成されたエクスポートデータを技術文書にそのまま組み込むことが可能です。
自己申告によるSBOMを含むSBOM
独自にSBOM 生成しても、対象となるのは自分が書いたコードSBOM 。 Aikido では、ベンダーやサプライヤーから受け取ったSBOM(自己申告型SBOM)をインポートすることも可能です。これにより、サードパーティ製コンポーネントも、自社開発の依存関係と同様に脆弱性 の対象となります。組織の39%はサプライヤーからSBOMを受け取っておらず、受け取っている組織の多くもそれに基づいた対応ができていないという現状を踏まえると、サプライヤーのSBOMを監視対象のインベントリとして管理し、既知の脆弱性との照合を継続的に行う仕組みを持つことは、ENISAが指摘する「消費ギャップ」を解消することにつながります。
Aikido デバイス保護:SBOMの及ばない領域での可視性
SBOMは製品に含まれる構成要素を記述するものです。しかし、攻撃対象領域には、そのソフトウェアをビルド・記述するマシンも含まれます。ビルドサーバーや開発者のマシンにAikido Protection」を導入することで、この脆弱性 開発環境にも拡張できます。これにより、どのツール、ランタイム、パッケージがインストールされているか、どれが古くなっていたり脆弱性を抱えていたりするか、そして「信頼できる」ビルドを生成している環境自体が信頼に足るものかどうかを把握できるようになります。 コードそのものではなく、CIパイプラインや開発者のワークステーションを標的とするサプライチェーン攻撃が増加する中、これにより、いかなるSBOM 決して明らかにSBOM 死角を塞ぐSBOM 。
これら3つの機能により、出荷する製品、消費する資材、そしてそれらが生み出される環境を把握することができます。これらは継続的に稼働するため、チームが放置してしまうようなダッシュボードを追加する必要はありません。これこそが、単なるコンプライアンスのチェック項目を超えた、真のサプライチェーン・セキュリティなのです。
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"inLanguage": "en",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb"
},
"mainEntity": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article"
},
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "TechArticle",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"item": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
}
]
},
{
"@type": "TechArticle",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
},
"headline": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"datePublished": "2026-06-10T00:00:00Z",
"dateModified": "2026-06-10T00:00:00Z",
"timeRequired": "PT7M",
"inLanguage": "en",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"canonicalUrl": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"author": {
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person"
},
"publisher": {
"@id": "https://www.aikido.dev#organization"
},
"image": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/images/blog/sboms-in-2026-cover.png",
"width": 1200,
"height": 630,
"alt": "SBOMs in 2026: Everyone's generating them, no one's using them — Aikido Security"
},
"keywords": [
"SBOM",
"Software Bill of Materials",
"Cyber Resilience Act",
"CRA compliance",
"software supply chain security",
"ENISA",
"CycloneDX",
"SPDX",
"SBOM adoption",
"vulnerability management",
"supply chain transparency",
"open source security",
"SCA",
"dependency scanning",
"Aikido Security",
"SBOM generation",
"SBOM consumption",
"transitive dependencies",
"BSI guidelines",
"EU cybersecurity"
],
"about": [
{
"@type": "DefinedTerm",
"name": "Software Bill of Materials (SBOM)",
"description": "A structured list of all components, libraries, and dependencies included in a software product, used for supply chain transparency and vulnerability management."
},
{
"@type": "DefinedTerm",
"name": "Cyber Resilience Act (CRA)",
"description": "EU regulation requiring manufacturers of products with digital elements to ensure cybersecurity throughout the product lifecycle, including SBOM requirements, fully applicable December 2027."
},
{
"@type": "DefinedTerm",
"name": "CycloneDX",
"description": "An OWASP-maintained SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 1.6 or higher."
},
{
"@type": "DefinedTerm",
"name": "SPDX",
"description": "A Linux Foundation SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 3.0.1 or higher."
}
],
"mentions": [
{
"@type": "Organization",
"name": "ENISA",
"url": "https://www.enisa.europa.eu",
"description": "European Union Agency for Cybersecurity, publisher of the SBOM Adoption State of Play 2026 report."
},
{
"@type": "Organization",
"name": "BSI",
"url": "https://www.bsi.bund.de",
"description": "Germany's Federal Office for Information Security, which has published SBOM format guidance explicitly requiring CycloneDX 1.6+ or SPDX 3.0.1+."
},
{
"@type": "SoftwareApplication",
"name": "Aikido Device Protection",
"url": "https://www.aikido.dev/protect/device-protection",
"applicationCategory": "SecurityApplication",
"operatingSystem": "Cross-platform",
"description": "Aikido Security's endpoint protection for developer devices and build servers, extending inventory and vulnerability monitoring beyond what SBOMs cover."
},
{
"@type": "SoftwareApplication",
"name": "Aikido SBOM Generator",
"url": "https://www.aikido.dev/use-cases/sbom-generator-create-software-bill-of-materials",
"applicationCategory": "SecurityApplication",
"description": "One-click SBOM generation in CycloneDX and SPDX formats for software repositories, supporting CRA and BSI compliance requirements."
}
],
"citation": [
{
"@type": "CreativeWork",
"name": "SBOM Adoption State of Play 2026",
"author": {
"@type": "Organization",
"name": "ENISA"
},
"url": "https://www.enisa.europa.eu"
}
],
"articleSection": [
"The CRA is doing the heavy lifting",
"Generating SBOMs and using them are two different things",
"Suppliers aren't sending SBOMs",
"What the data also shows",
"What this means in practice",
"How Aikido helps you get there"
],
"proficiencyLevel": "Intermediate"
},
{
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@id": "https://www.aikido.dev#organization"
},
"url": "https://www.aikido.dev/authors/nicholas-thomson",
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png",
"width": 200,
"height": 60,
"alt": "Aikido Security logo"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://twitter.com/aikido_security",
"https://github.com/aikido-security"
]
}
]
}
</script>
