SBOMHub、AI活用でCRA対応に特化しSaaS提供を停止
オープンソースのSBOM運用基盤「SBOMHub」が、EUのCyber Resilience Act (CRA) 2026/9への対応を強化するため、AIを活用したコンプライアンス成果物レイヤーへと戦略を大きく転換しました。これにより、SaaS版の新規受付は2026年6月23日をもって停止され、今後はセルフホストおよびCLI運用が主導線となります。日本の組込み・IoT・中小ベンダーのCRA対応をAIで支援する方針を明確にしました。
ポイント
- 1SBOMHubは「日本市場向けの汎用SBOM管理ダッシュボード」から「DT / Syft / Trivy の上に乗るAIコンプラ成果物レイヤー」へとポジショニングを再定義しました。
- 2AI VEXトリアージ、CRA報告書ドラフト生成、経産省自己評価プリフィルといったAI機能のロードマップ(M1〜M4)が提示され、2026年9月のCRA施行に向けて段階的に実装されます。
- 3SaaS版 (sbomhub.app) の新規受付は2026年6月23日をもって停止され、今後は完全オープンソース (AGPL-3.0) のセルフホストおよびCLI運用が推奨されます。
- 4AI機能はBYOK (Bring Your Own Key) 方式を採用し、OpenAI、Anthropic、Google Gemini、Azure OpenAI、Ollama (Local) など複数のLLMプロバイダをサポートします。
- 5AIはあくまで下書き生成までとし、最終判断は人間が行うという「絶対原則」が明記されています。
SBOMHubの戦略転換は、SBOM市場が汎用的な脆弱性管理から、EUのサイバーレジリエンス法(CRA)のような具体的な法規制対応へと専門化している現状を明確に示している。 SaaS提供を停止し、オープンソースのセルフホスト型に移行することで、開発の透明性を高め、コミュニティによる機能拡張を促進する狙いがある。 この動きは、AIを活用してコンプライアンス業務の負荷を軽減するという市場の新たなトレンドを捉えている。 特に、リソースが限られる日本の組み込み・IoTベンダーにとって、AIによるCRA報告書ドラフト生成などの支援は、複雑な法規制へ対応するための強力な武器となり得る。 競合の多くが脆弱性スキャンや管理機能を提供する中、AIによるコンプライアンス成果物生成に特化する戦略は、明確な差別化要因となる。 ユーザーはSaaSの利便性を失うが、BYOK(Bring Your Own Key)方式により、好みのAIモデルを選択できる柔軟性を得る。今後の展望として、このAI活用モデルが成功すれば、他のコンプライアンス関連ツールにも同様の動きが広がり、法規制対応におけるAIの活用が標準となる可能性がある。
このようなニュースを自動で受け取りませんか?
気になるWebページを登録するだけで、変更をAIが記事にしてお届けします
無料で始める