SBOM Excelテンプレ(最小項目版)
兼務でも回る“まずこれ”の雛形
SBOMを「標準フォーマットで完璧に作る」より先に、Tier2〜Tier4の現場で効くのは “OEM照会に答えられる最小の台帳” です。
このページでは、兼務担当でも回るように 最小項目に絞ったSBOM Excelテンプレ をそのまま掲載します。
狙いは3つだけです。
- どの製品・どの版数に、何が入っているかが切れる
- CVE照会が来たとき、影響有無を「根拠付き」で返せる
- 更新(いつ・誰が)を残して、監査で崩れない
使い方(最短3分)
- 下のテンプレを そのままコピー
- Excelに貼り付け(TSVなので列が分かれます)
- まずは “OEM照会が来やすい製品” から1つ埋める
- 以降、リリースのたびに更新(更新日・更新者だけは必ず)
SBOM Excelテンプレ(最小項目版:TSV)
ここから下をコピーして、Excelの「A1」セルに貼り付けてください(タブ区切りで自動展開されます)。
“最小項目”のポイント(ここだけ押さえれば照会に答えられる)
1) 製品バージョンは必須(ここが無いと詰みます)
CVE照会で一番多い追加質問は「どの版まで影響するか?」です。
製品版数とコンポーネント版数は必ず分けて持ってください。
2) 搭載箇所/モジュールを1列だけでも入れる
「影響なし」を説明するときに効きます。
例:外部IFに繋がらない箇所、診断機能のみ、ビルド条件で無効、など。
3) 備考は“根拠の一言”を書く場所
「影響なし」を言い切るには理由が必要です。備考には長文ではなく、一言で良いので根拠を残すのがコツです。
- ・外部IFなし(閉域)
- ・当該機能は無効化
- ・脆弱コードがビルドされない
- ・実行経路に乗らない
4) 更新日・更新者を必ず入れる
監査で効くのは「最新版が管理されていること」です。
更新履歴が残らないSBOMは、提出・照会で使えません。
まずはこの運用でOK(兼務向け)
- 週1回: OEM照会が来そうな製品だけ更新チェック(15分でOK)
- リリース時: 版数が変わったら行を増やす(差分が分かるように)
- 照会時: 該当コンポーネント行を抜粋して“根拠付き”で回答する
このSBOM Excelテンプレを「自社の製品構成・OEM要求」に合わせて整備したい方はご相談ください。
【無料】オンライン相談を予約するFAQ:SBOM Excelテンプレについて
最低限は「製品名」「製品バージョン」「コンポーネント名」「コンポーネントバージョン」です。ただし運用上は「搭載箇所/モジュール」「備考(根拠)」「更新日/更新者」まで入れると、照会・監査に耐えやすくなります。
必須ではありません。まずExcelで棚卸し→更新運用→必要に応じて標準化、の順の方が現場で回りやすいです。
「搭載箇所/モジュール」と「備考(根拠の一言)」が効きます。根拠が残ると追加質問に耐えやすくなります。
Excelの部品表から、自動運用へステップアップしませんか?
Auto PSIRT Cloudなら、このテンプレートに入力したExcelデータをそのままアップロードするだけで、NVDデータベースと自動で突合し、本当に危険な脆弱性だけをピックアップします。