# SBOM標準フォーマット比較調査 SPDX と CycloneDX
## 更新履歴
| 日付 | 内容 |
|---|---|
| 2026-07-17 | 初版作成 |
---
## 0. 調査の背景
SBOM (ソフトウェア部品表)の標準フォーマット「SPDX」と「CycloneDX」について、以下の観点で比較調査した。
- それらの概要、フォーマットが策定された背景
- 標準化の度合い(国際標準承認済みなど)
- 支持者の傾向(インターネット調査から分かる範囲で)
- メリット・デメリット
> **【筆者注記】利害関係の開示**
> 筆者は本稿で取り上げた組織・企業・団体・プロジェクト等との業務上の関係、出資関係、競合関係はない。
> 本稿はいかなる外部主体からの委託・資金援助も受けておらず、独立した調査・分析に基づく。
> **本記事の作成プロセス**
> 本記事は、運営者とAIの協働により作成しています。作成プロセスおよび品質管理の詳細は、[[サイトポリシー#1.2 AI の利用について]]をご参照ください。
---
## 1. 概要と策定の背景
### 1.1 SPDX(Software Package Data Exchange)
**【事実】** SPDX は Linux Foundation のプロジェクトが策定する、SBOM情報を伝達するためのオープン標準である[^4]。<br>
初版仕様は2011年8月に公開された[^5]。策定当初の主目的は**ライセンスコンプライアンス(オープンソースライセンスの追跡)**であり、その後、サプライチェーンの透明性やセキュリティといった用途に拡張されてきた[^6][^7]。
現行の主要バージョンは SPDX 3.0(2024年4月公開、後継の 3.0.1 は2024年12月)である[^6][^8]。SPDX 3.0 では、コア仕様が共通要素を定義し、オプションのプロファイル(Security、Licensing、Build、AI、Dataset 等)が特定用途向けにモデルを拡張する、プロファイルベースのアーキテクチャが導入された[^9]。
### 1.2 CycloneDX
**【事実】** CycloneDX は OWASP(Open Web Application Security Project)Foundation が策定する、フルスタックのBOM標準である[^10]。<br>
2017年に OWASP により策定され、出発点は**アプリケーションセキュリティ**であった。脆弱性追跡、依存関係分析、コンポーネント完全性検証といった、ソフトウェアサプライチェーンのセキュリティ用途を支援するために設計された[^9]。
CycloneDX は SBOM にとどまらず、SaaSBOM、HBOM(ハードウェア)、ML-BOM(機械学習)、CBOM(暗号)、VEX(脆弱性悪用可能性交換)など、多様なBOMを表現できる「xBOM」標準として発展している[^11]。現行の最新版は v1.7(2025年10月リリース)である[^12]。
### 1.3 両者の出自の対比
**【事実】** 両フォーマットは、異なるコミュニティが異なる課題を解くために出発した、という点で系譜が異なる[^13]。
| 観点 | SPDX | CycloneDX |
|---|---|---|
| 策定団体 | Linux Foundation | OWASP Foundation |
| 初版年 | 2011年 | 2017年 |
| 出発点の主目的 | ライセンスコンプライアンス | アプリケーションセキュリティ |
| 現行版 | 3.0.1(2024-12) | 1.7(2025-10) |
**【事実】** 米国においては、両フォーマットとも2021年5月の大統領令(EO 14028)に関連するSBOM要件を満たすフォーマットとして扱われている[^7]。
---
## 2. 標準化の度合い
### 2.1 SPDX:ISO/IEC 国際標準
**【事実】** SPDX 仕様は2021年8月、ISO/IEC JTC 1 により「ISO/IEC 5962:2021」として刊行され(Linux Foundation は同年9月9日に公表を告知)、国際的に認知されたオープン標準となった[^14][^15]。ISO化されたのは、ISO提出用に準備された **SPDX 2.2.1** に基づく仕様である[^6]。
**【事実/重要な注意点】** 現行の SPDX 3.0.1 および 3.1 候補は、Linux Foundation の下でOMG(Object Management Group)のレビューを経て開発が進められており、ISO への更新提出が計画されている段階である。したがって、規制や調達要件が「ISO/IEC 5962:2021」を引用している場合、それが指しているのは 3.0 ではなく **2.2.1** である[^13]。
### 2.2 CycloneDX:Ecma International 標準
**【事実】** CycloneDX v1.6 は2024年6月、Ecma International 標準「ECMA-424(第1版)」として批准された[^1][^2]。v1.7 は2025年12月、ECMA-424 第2版となった[^3][^13]。
**【事実】** 標準化作業は Ecma の技術委員会 TC54(Software & System Transparency)が OWASP コミュニティと共同で進めており、標準はロイヤリティフリーの特許ポリシーの下で提供される[^13]。CycloneDX は OWASP の「Flagship(フラッグシップ)」プロジェクト(OWASP が最も成熟し広く採用されたプロジェクトに与える位置づけ)でもある[^10][^13]。
### 2.3 標準化経路の非対称性(まとめ)
**【解釈】** 「どちらも国際的に認知された標準である」点は共通するが、背後の団体が異なる[^13]。
- SPDX は、企業や政府の調達要件が直接参照することの多い **ISO/IEC** の名を冠する。
- CycloneDX は、**Ecma** の認知に加え、セキュリティ実務者が信頼する **OWASP Flagship** の地位を持つ。
**【事実】** 「CycloneDX は Ecma 標準として承認されている」という事実(ECMA-424)だけを見ると、SPDX の ISO 標準化が視野から抜け落ちやすい。両者の標準化状況を比較する際は、SPDX = ISO/IEC 5962:2021(2.2.1ベース)、CycloneDX = ECMA-424 という対応を押さえる必要がある。
---
## 3. 支持者・採用の傾向
**【事実】** 以下はインターネット上の解説記事・学術調査から確認できる範囲の傾向である。定量的な市場シェア統計ではなく、傾向の記述である点に留意する。
### 3.1 利用企業・コミュニティ
**【事実】** SPDX は、Intel、Microsoft、Siemens、Sony、Synopsys、VMware、WindRiver 等の企業がSBOM情報の伝達に利用していると報告されている[^15]。Microsoft は自社が製造するソフトウェアのSBOMフォーマットとして SPDX を採用していると表明している[^15]。
**【事実】** CycloneDX は、その戦略的方向性が CycloneDX Core Working Group により管理され、OWASP Foundation が後ろ盾となり、グローバルな情報セキュリティコミュニティに支持されている[^10]。
### 3.2 用途別の支持傾向
**【事実】** 複数の解説記事は、用途による支持の分かれ方を概ね次のように整理している[^16][^17][^18]。
| 支持が厚い領域 | SPDX | CycloneDX |
|---|---|---|
| 主たる支持層 | 法務・IPデューデリジェンス・コンプライアンス部門 | セキュリティ・DevSecOps チーム |
| 強みが活きる用途 | ライセンス表現、法的レビュー、構成透明性 | 脆弱性追跡(VEX)、ハッシュ、依存関係ツリー |
| 選好の理由 | ISO標準としての正式性を重視する組織が既定選択にしやすい | 軽量設計とOWASPの後ろ盾をセキュリティチームが信頼 |
**【事実】** CycloneDX は、ビルドパイプライン向けツール(Maven、Gradle、npm、pip、Go、Rust 等のエコシステム別エミッタ、CI統合)が充実しており、多くのコンテナスキャナがネイティブに CycloneDX を出力する。VEX 関連ツールも CycloneDX 優先のものが多い[^19]。一方 SPDX は、FOSSology、ScanCode Toolkit、SPDXライセンスリスト等、ライセンス関連ツールのエコシステムが最も深い[^19]。
### 3.3 学術調査によるエコシステム比較
**【事実】** 2025年12月公開の学術論文(arXiv:2512.21781、SPDX と CycloneDX のツールエコシステム比較)は、108のオープンソースおよび62の商用SBOMツール、470のSPDXツールと171のCycloneDXツールのヘルス指標、36,990件の課題報告、各フォーマット上位250のオープンソースプロジェクトを分析した[^20]。
その主要な発見は次の通りである[^20][^21]。
> CycloneDX-using projects often exhibit stronger developer engagement and selected project health indicators, while SPDX benefits from a larger, more mature tool ecosystem and broader industry adoption.
>
> (参考訳:CycloneDX を用いるプロジェクトは、より強い開発者エンゲージメントと一部のプロジェクト健全性指標を示すことが多い。一方 SPDX は、より大規模で成熟したツールエコシステムと、より広い産業界での採用という利点を持つ。)
**【解釈】** この調査は、「CycloneDX=開発者コミュニティの活性度が高い」「SPDX=ツール数・産業採用の広がりで先行」という、しばしば言及される傾向を定量データで裏付けるものと位置づけられる。
---
## 4. メリット・デメリット
**【事実/解釈の混在に注意】** 以下は各解説記事が指摘する長所・短所を整理したものである。評価軸(セキュリティ重視か、コンプライアンス重視か)によって「メリット/デメリット」の判断は反転しうる点に留意する。
### 4.1 SPDX
**メリット**
- **【事実】** ISO/IEC 5962:2021 として国際標準化されており、正式な標準文書を要求する組織(政府・大企業の調達等)が既定選択にしやすい[^17][^21]。
- **【事実】** ライセンス表現・ライセンスコンプライアンスの記述が深く、法務・IPレビュー用途に適する[^16][^17]。
- **【事実】** ツールエコシステムが大規模かつ成熟しており、産業採用が広い[^20]。
- **【事実】** YAML、XML、JSON、RDF等、複数のシリアライゼーション形式に対応する柔軟性を持つ[^16]。
**デメリット**
- **【事実】** ライセンス重視の設計ゆえ、セキュリティ単独を目的とするチームには複雑さを生じうる。CycloneDX ほど深い脆弱性管理機能を持たない[^16]。
- **【事実/解釈】** SPDX 3.0 はプロファイルベースで柔軟だが、従来版より複雑である[^9]。またビルドパイプライン向けエミッタは、2026年第1四半期時点で purl カバレッジや AIプロファイル対応の点で CycloneDX 相当ツールに後れをとる面がある[^19]。
- **【事実】** ISO標準として参照されるのは 2.2.1 であり、現行の 3.0系は未ISO化という「バージョンと標準の乖離」がある[^13]。
### 4.2 CycloneDX
**メリット**
- **【事実】** セキュリティ・脆弱性追跡に特化した設計で、VEX、ハッシュ、依存関係ツリーをネイティブに支援する[^17][^24]。
- **【事実】** 軽量・拡張ベースのアーキテクチャにより、機能を段階的に追加でき、DevSecOps の速度・機動性・脆弱性管理を重視するチームに適する[^16]。
- **【事実】** ビルドパイプライン/CI連携ツールが充実し、コンテナスキャナのネイティブ対応が広い[^19]。
- **【事実】** SBOM以外にも SaaSBOM、HBOM、ML-BOM、CBOM等の xBOM を単一標準で表現できる[^11][^12]。
**デメリット**
- **【事実】** 出発点がセキュリティであるため、ライセンスコンプライアンスの記述深度は SPDX に及ばない(法務・IPレビュー主目的なら SPDX が優位)[^17]。
- **【事実】** 標準化団体が ISO/IEC ではなく Ecma であるため、調達要件が「ISO標準」を明示的に求める場合には、SPDX が既定選択となりうる[^13]。
- **【解釈】** 産業界全体の採用の広さ・ツール総数では SPDX が先行するとの調査結果があり、「成熟したエコシステムの広がり」という点では相対的に後発である[^20]。
### 4.3 収斂の進行(両者共通の背景)
**【事実】** 両フォーマットは異なる出自を持つが、2025〜2026年にかけて機能面で大きく収斂している。両者ともに purl[^25]・CPE[^26] 識別子を持ち、かつて指摘された機能差の多くは解消された。現在も残る差異は、強調点(emphasis)、ガバナンスの系譜、周辺ツールにあるとされる[^13]。多くの現代的ツールは両フォーマットに対応し、主要なコンプライアンスフレームワークはいずれのフォーマットも受け入れる[^24]。
#### 用語補足:purl と CPE(コンポーネント識別子)
SBOMは「どのソフトウェア部品が含まれるか」を記述するため、各部品を一意に指し示す**識別子**を必要とする。SPDX・CycloneDX の両フォーマットは、代表的な識別子として **purl** と **CPE** の双方を扱える。
**purl(Package URL、通称「パール」)**
**【事実】** purl は、プログラミング言語やパッケージマネージャの違いを越えて、ソフトウェアパッケージを一意かつ統一的に識別するためのURL文字列である[^25][^27]。2017年に Philippe Ombredanne により考案された[^28]。慣れ親しんだURL形式に基づき、パッケージの種別・所在・バージョンを機械可読な形で1つの文字列に埋め込む点が特徴である[^27]。
構文は `pkg:` スキームに続けて、type(種別)・namespace(名前空間)・name(名称)・version(バージョン)・qualifiers(修飾子)・subpath(サブパス)の要素で構成される[^27][^28]。具体例を以下に示す。
> `pkg:npm/
[email protected]` (npm パッケージ lodash のバージョン 4.17.21)
> `pkg:pypi/
[email protected]` (PyPI の Django)
> `pkg:maven/org.apache.commons/
[email protected]` (Maven アーティファクト)
> `pkg:docker/
[email protected]` (コンテナイメージ)
**【事実】** npm、pypi、maven、nuget、gem、golang、cargo、docker、deb、rpm など、主要な言語エコシステム・パッケージ管理系を標準で幅広く支持する[^28]。purl はSBOM(SPDX・CycloneDX 双方)だけでなく、CVE Record Format v5.2.0 や脆弱性データベース・脆弱性アドバイザリでも標準識別子として採用されている[^29]。2025年12月には、Ecma International 標準「ECMA-427(Package-URL 仕様 第1版)」として標準化された(CycloneDX と同じ TC54 が管理)[^30]。
**【事実】** 一方の **CPE(Common Platform Enumeration)** は、purl と対比される既存の識別子体系である。CPE は米国 NIST が管理し、脆弱性データベース NVD(National Vulnerability Database)で製品を特定するために用いられる命名規則である。
**【解釈】** purl はパッケージの「所在(どのレジストリのどのパッケージか)」をエコシステム横断で表現することに強みがあり、SBOMやビルドパイプラインとの親和性が高い。CPE は NVD の脆弱性照合という文脈で長く使われてきた。両フォーマットが双方を扱えることは、ライセンス管理・脆弱性照合の両用途をカバーするための収斂の一例と位置づけられる。
---
## 5. まとめ(要点)
**【事実】**
- 「CycloneDX は Ecma 標準として承認されている」は事実(ECMA-424)[^1][^2][^3]。
- SPDX も国際標準だが、その経路は ISO/IEC(ISO/IEC 5962:2021、2.2.1ベース)である[^13][^14]。
**【解釈】**
- 標準化団体:SPDX = ISO/IEC(Linux Foundation発)/CycloneDX = Ecma(OWASP発)。
- 用途傾向:SPDX = ライセンス・コンプライアンス/CycloneDX = セキュリティ・脆弱性管理。
- 採用傾向:SPDX = ツール数・産業採用が広い/CycloneDX = 開発者エンゲージメントが高い。
- 「どちらが優れているか」は評価軸依存であり、機能面の収斂も進むため、両対応を前提とする組織が増えつつある。
---
## 脚注
[^1]: CycloneDX v1.6: Now an Ecma International Standard | CycloneDX https://cyclonedx.org/news/cyclonedx-v1.6-now-an-ecma-international-standard/ (2026-07-17 閲覧)
[^2]: Ecma new standard ECMA-424 on CycloneDX Bill of Materials - Ecma International https://ecma-international.org/news/ecma-new-standard-ecma-424-on-cyclonedx-bill-of-materials/ (2026-07-17 閲覧)
[^3]: ECMA-424 CycloneDX Bill of materials specification, 2nd edition (December 2025) - Ecma International https://ecma-international.org/publications-and-standards/standards/ecma-424/ (2026-07-17 閲覧)
[^4]: SPDX – Linux Foundation Projects Site https://spdx.dev/ (2026-07-17 閲覧)
[^5]: Overview – SPDX https://spdx.dev/about/overview/ (2026-07-17 閲覧)
[^6]: Software Package Data Exchange - Wikipedia https://en.wikipedia.org/wiki/Software_Package_Data_Exchange (2026-07-17 閲覧)
[^7]: The Complete Guide to SPDX | FOSSA Learning Center https://fossa.com/learn/spdx/ (2026-07-17 閲覧)
[^8]: SPDX – Linux Foundation Projects Site(SPDX 3.1 release candidate 記載) https://spdx.dev/ (2026-07-17 閲覧)
[^9]: SBOM Formats Compared: CycloneDX vs SPDX | Sbomify https://sbomify.com/2026/01/15/sbom-formats-cyclonedx-vs-spdx/ (2026-07-17 閲覧)
[^10]: OWASP CycloneDX Bill of Materials Specification (ECMA-424) - OWASP Foundation https://owasp.org/www-project-cyclonedx/ (2026-07-17 閲覧)
[^11]: CycloneDX Community - GitHub https://github.com/CycloneDX (2026-07-17 閲覧)
[^12]: CycloneDX Bill of Materials Standard | CycloneDX https://cyclonedx.org/ (2026-07-17 閲覧)
[^13]: CycloneDX vs SPDX: Choosing an SBOM Format for Regulatory Compliance (2026 Edition) | Interlynk https://www.interlynk.io/resources/cyclonedx-vs-spdx-sbom-format (2026-07-17 閲覧)
[^14]: SPDX Becomes Internationally Recognized Standard for Software Bill of Materials - Linux Foundation https://www.linuxfoundation.org/press/featured/spdx-becomes-internationally-recognized-standard-for-software-bill-of-materials (2026-07-17 閲覧)
[^15]: SPDX Becomes Internationally Recognized Standard for Software Bill of Materials(利用企業・Microsoft採用記載)- Linux Foundation https://www.linuxfoundation.org/press/featured/spdx-becomes-internationally-recognized-standard-for-software-bill-of-materials (2026-07-17 閲覧)
[^16]: SBOM Format Comparison: CycloneDX, SPDX, & SWID Guide - Upwind https://www.upwind.io/glossary/sbom-format-types-a-comparison-guide-for-security-teams (2026-07-17 閲覧)
[^17]: Guide To Standard SBOM Formats | Wiz https://www.wiz.io/academy/application-security/standard-sbom-formats (2026-07-17 閲覧)
[^18]: SPDX vs CycloneDX | Harness Developer Hub https://developer.harness.io/docs/software-supply-chain-assurance/how-to-guides/spdx-vs-cyclonedx/ (2026-07-17 閲覧)
[^19]: CycloneDX vs SPDX 2026: Which SBOM Format Wins - Safeguard https://safeguard.sh/resources/blog/cyclonedx-vs-spdx-which-format-for-your-program (2026-07-17 閲覧)
[^20]: The State of the SBOM Tool Ecosystems: A Comparative Analysis of SPDX and CycloneDX (arXiv:2512.21781) https://arxiv.org/abs/2512.21781 (2026-07-17 閲覧)
[^21]: The Complete Guide to SPDX(ISO標準重視組織の選好記載)| FOSSA https://fossa.com/learn/spdx/ (2026-07-17 閲覧)
[^24]: SBOM Formats Compared: CycloneDX vs SPDX(両対応・両受入れ記載)| Sbomify https://sbomify.com/2026/01/15/sbom-formats-cyclonedx-vs-spdx/ (2026-07-17 閲覧)
[^25]: packageUrl - SPDX Specification 3.0.1 https://spdx.github.io/spdx-spec/v3.0.1/model/Software/Properties/packageUrl/ (2026-07-17 閲覧)
[^26]: E. Package URL specification - SPDX Specification 3.0.1(purl と外部属性の説明) https://spdx.github.io/spdx-spec/v3.0.1/annexes/pkg-url-specification/ (2026-07-17 閲覧)
[^27]: E. Package URL specification - SPDX Specification 3.0.1 https://spdx.github.io/spdx-spec/v3.0.1/annexes/pkg-url-specification/ (2026-07-17 閲覧)
[^28]: Understanding the PURL Specification (Package URL) | FOSSA Blog https://fossa.com/blog/understanding-purl-specification-package-url/ (2026-07-17 閲覧)
[^29]: purl-spec(CVE Record Format v5.2.0 への採用記載)- package-url/purl-spec, GitHub https://github.com/package-url/purl-spec (2026-07-17 閲覧)
[^30]: ECMA-427 Package-URL (PURL) specification, 1st edition (December 2025) - Ecma International https://www.ecma-international.org/publications-and-standards/standards/ecma-427/ (2026-07-17 閲覧)