SBOMs into Agentic AIBOMs: Schema Extensions, Agentic Orchestration, and Reproducibility Evaluation

本論文は、従来の静的なソフトウェア部品表（SBOM）を、自律的なマルチエージェント・アーキテクチャとランタイム実行証拠に基づいて動的な脆弱性評価を可能にする「エージェント型 AI 部品表（AIBOM）」へと進化させ、再現性と環境ドリフトへの対応を飛躍的に向上させる新たなフレームワークを提案するものである。

要約

論文の解説：AI が「ソフトウェアのレシピ」を生き物に変える話

この論文は、**「ソフトウェアの安全と再現性を、ただの『リスト』から『賢い監視員』がいるシステムへと進化させる」**という画期的なアイデアを提案しています。

専門用語を抜きにして、わかりやすい例え話で説明します。

---

1. 今までの問題点：「ただのレシピ」では不十分だった

まず、**SBOM（Software Bill of Materials）**とは何かを理解しましょう。
これは、ソフトウェアを作る際に使われた「材料のリスト（レシピ）」のようなものです。例えば、料理を作るのに「小麦粉 100g、卵 2 個、砂糖 50g」がリストに載っているとします。

• 今までの SBOM の限界：
  従来のリストは、「何が入っているか」だけを静かに記録するだけでした。
  • 「卵が入っている」ことはわかりますが、「その卵は生で使われたのか、焼かれたのか」はわかりません。
  • 「卵が腐っている（脆弱性がある）」と警告されても、「この料理では卵を使わないから、腐っていても問題ない」という判断はリスト自体にはできません。
  • 結果として、リストを見て「危険だ！」とパニックになったり、「大丈夫だ」と過信したりして、実際のリスクが正しく評価できないという問題がありました。

2. 新しい解決策：「AI 付きのレシピ（AIBOM）」

この論文が提案するのは、AIBOM（Agentic AI Bill of Materials）です。
これは、ただのリストではなく、「料理の過程を監視し、判断を下す賢いアシスタント（エージェント）」が付き添ったレシピです。

想像してみてください。料理をする部屋に、3 人の専門家が常駐しているイメージです。

🕵️‍♂️ 3 人の「賢いアシスタント（エージェント）」

1. MCP（環境のチェックマン）：

   • 役割： 料理を始める前に、「台所が清潔か？必要な道具は揃っているか？」を確認します。
   • 例え： 「卵の賞味期限は切れていないか？冷蔵庫の温度は適切か？」をチェックし、リストが不完全なら「もっと詳しく調べてください」と言います。

2. A2A（動きの監視員）：

   • 役割： 料理をしている最中に、「本当にその材料を使っているか？」をリアルタイムで監視します。
   • 例え： リストには「卵」がありますが、実際には「卵を使わずにパンケーキを作った」場合、この監視員は「卵は使われていないから、卵の腐敗リスクは関係ないよ」と判断します。逆に、リストにない「謎の粉」が突然入ってきたら、「それは何だ？」と警告します。

3. AGNTCY（安全判定の裁判官）：

   • 役割： 上記の情報を元に、「本当に危険なのか？」を最終判断し、報告書を作ります。
   • 例え： 「卵が腐っている（脆弱性）けど、料理では使われていない（実行されていない）し、冷蔵庫で冷やされていた（対策済み）ので、**『安全（Not Affected）』**と判断します」と、具体的な理由付きで結論を出します。

3. このシステムがすごい点

• 「あるかないか」ではなく「使えるか使えないか」：
  単に「危険な材料がある」と言うだけでなく、「その材料が実際に使われているか」「対策は取られているか」まで判断します。これにより、無駄なパニック（95% の誤報）を防ぎます。
• 再現性の保証：
  「昨日と同じ料理が作れるか？」を確認する際、単にレシピを見るだけでなく、「昨日と同じ温度、同じ道具、同じ手順だったか」まで AI が保証してくれます。
• 国際基準との連携：
  このシステムは、世界中で認められている「セキュリティの報告ルール（CSAF）」に合わせて報告書を作るので、誰が見ても同じ意味が通じます。

4. 実験結果：どれくらい効果があった？

研究者たちは、この新しいシステム（AIBOM）と、従来のシステム（ReproZip など）を比べました。

• 再現性のスコア：
  • 従来のシステム：約 60〜87%
  • 新しい AIBOM：98.6%
  • ほぼ完璧に、同じ結果を再現できました。
• コスト：
  • 計算リソース（CPU やメモリ）の負担は非常に少なく、システムを重くしませんでした。

5. まとめ：なぜこれが重要なのか？

この論文は、**「ソフトウェアの安全は、単に『何が入っているか』を記録するだけでは守れない」**と説いています。

これからの時代、ソフトウェアは複雑で動きが速いため、「何が入っているか」だけでなく、「今、どう動いているか」「本当に危険なのか」を、AI がリアルタイムで判断し、人間に報告する仕組みが必要なのです。

一言で言うと：

「ただの『材料リスト』を、**『料理の過程を監視し、安全を判断する賢いシェフの助手』**に変えることで、ソフトウェアの安全と信頼性を劇的に高める方法」

これが、この論文が伝えたい核心的なメッセージです。

技術概要

論文「SBOMs into Agentic AIBOMs: Schema Extensions, Agentic Orchestration, and Reproducibility Evaluation」の技術的サマリー

本論文は、従来のソフトウェア構成管理（SBOM: Software Bill of Materials）の限界を克服し、動的な実行環境における再現性と脆弱性評価を可能にする新しいアーキテクチャ「エージェント型 AI 材料表（Agentic AIBOMs）」を提案するものです。以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

1. 背景と問題定義

従来の SBOM は、ソフトウェアの依存関係やコンポーネントの静的なリスト（インベントリ）を提供しますが、以下の点で現代のソフトウェアサプライチェーンのセキュリティ要件を満たすのに不十分です。

• 静的な性質: ランタイムでの動作、環境のドリフト（変化）、または特定の環境における脆弱性の「実効性（Exploitability）」を捉えられない。
• 文脈の欠如: パッケージメタデータだけでは、その脆弱性が実際に攻撃可能かどうか（エクスプロイト可能か）を判断できない。
• 再現性の課題: 動的なロード、遅延バインディング、自律的なオーケストレーションが進む現代のシステムにおいて、静的な SBOM だけでは信頼性の高い再現性保証や脆弱性分析が困難である。
• 大量の脆弱性: 膨大な数の CVE（脆弱性）が存在する中、すべての脆弱性を手動で評価・パッチすることは非現実的であり、95% 以上の脆弱性は実際の製品ではエクスプロイト不可能であるため、文脈に基づいたフィルタリングが急務である。

2. 提案手法：エージェント型 AIBOM フレームワーク

本論文は、SBOM を受動的なリストから、自律的な推論とランタイムテレメトリを統合した「アクティブな証明（Provenance）アーティファクト」へと進化させるための多エージェント・アーキテクチャを提案します。

2.1 多エージェント・アーキテクチャ

AIBOM は、以下の 3 つの専門エージェントによって構成されます。これらは「学習ベース」ではなく、「ポリシー制約された意思決定モジュール」として設計されています。

1. MCP (Model-Container Profiler):
   • 役割: 事前実行環境の再構築と SBOM の完全性確認。
   • 機能: コンテナメタデータや依存関係の初期状態を収集し、不完全な場合は追加のプロビング（探査）を実行してベースライン SBOM を完成させます。
2. A2A (Agent-for-Agent Telemetry):
   • 役割: ランタイムのドリフト監視と依存関係の追跡。
   • 機能: 実行中の動的なインポート、遅延ロードされたモジュール、CVE フィードの差分を監視します。環境のドリフトや予期せぬ依存関係の読み込みを検知し、構造化されたメッセージを次のエージェントへ伝達します。
3. AGNTCY (Governance and Policy Agent):
   • 役割: ポリシーを考慮した脆弱性（VEX）の推論と決定。
   • 機能: A2A から得られたランタイム証拠（脆弱性コードパスの実行有無、サンドボックス制限、ミティゲーションの有無）と、ISO/IEC 20153:2025 (CSAF v2.0) に準拠したポリシーを組み合わせ、脆弱性の実効性を判断します。

2.2 標準準拠とスキーマ拡張

• CSAF/VEX 統合: 脆弱性の判断を、OASIS の CSAF v2.0（ISO/IEC 20153:2025 として国際標準化）および VEX（Vulnerability Exploitability eXchange）のセマンティクスに基づいて行います。
• スキーマ拡張: CycloneDX や SPDX などの既存の SBOM 標準に最小限の拡張フィールド（実行コンテキスト、依存関係の進化、エージェントの決定の証明など）を追加し、相互運用性を維持しつつ、高度な推論を可能にします。
• VEX ステータス: 脆弱性に対して以下のステータスを構造化されたアサーションとして生成します。
  • Not Affected（影響なし）
  • Affected: Mitigated（影響あり：緩和済み）
  • Affected: Requires Review（影響あり：レビュー必要）
  • Under Investigation（調査中）

2.3 評価手法

• 比較対象: ReproZip, SciUnit, ProvStore などの既存の証明・再現性フレームワーク。
• 評価指標:
  • 正確 Parity (EP): バイト単位の出力一致率。
  • 意味 Parity (SP): 数値的誤差許容範囲内でのタスク等価性。
  • 環境状態一致率: パッケージバージョンや依存関係の再現性。
  • VEX アサーション一致率: 脆弱性コンテキストの判断の安定性。
• アブレーション研究: 各エージェントを無効化した場合の影響を測定し、各エージェントの独自性を検証。

3. 主要な貢献

1. 概念的・技術的定義の確立: SBOM をエージェント型 AIBOM へ変換するための要件を、分散 AI の原則と現代の脆弱性基準に基づいて定義しました。
2. 実用的なアーキテクチャの提示: 標準準拠のスキーマ拡張と、MCP, A2A, AGNTCY からなる具体的な多エージェント・アーキテクチャを提示し、実行コンテキストと脆弱性解釈を単一の暗号化可能な証明オブジェクトに統合しました。
3. 実証的評価: 異種分析ワークロードにおけるベンチマークにより、既存のシステムと比較して、ランタイム依存関係の捕捉精度、再現性の忠実度、脆弱性解釈の安定性が向上し、かつ計算オーバーヘッドが低いことを示しました。
4. コンプライアンス・マッピング: GDPR、NIST、ISO/IEC などの規制要件と AIBOM のフィールドを紐付けたコンプライアンス・マトリックスを提案し、規制された分析環境（TRE）での実用性を示しました。

4. 結果

• 再現性スコア: 提案された AIBOM は、98.6% の再現性スコアを達成し、ReproZip (87.4%), SciUnit (73.2%), ProvStore (61.8%) を上回りました。
• オーバーヘッド: 計算リソースのオーバーヘッドは非常に低く、CPU 約 4%、メモリ 300MB 未満で動作しました。
• アブレーション研究:
  • MCP を除去すると、ベースライン SBOM の不完全性（FNR 14% 増加）が発生。
  • A2A を除去すると、ランタイム依存関係のドリフト検知ができず、脆弱性コンテキストが欠落。
  • AGNTCY を除去すると、VEX アサーションが文脈のない CVE リストに退化し、ポリシーに基づく判断が不可能になりました。
  • これにより、各エージェントが決定論的な自動化では代替不可能な独自の能力を持っていることが実証されました。
• VEX 生成: ランタイム証拠に基づき、脆弱性が「実効性があるか」を文脈的に判断する VEX アサーションを正確に生成できることが確認されました。

5. 意義と結論

本論文は、ソフトウェアサプライチェーンのセキュリティにおいて、単なる「記録（Recording）」から「推論（Reasoning）」へのパラダイムシフトを提唱しています。

• 動的環境への対応: 静的な SBOM では対応しきれない、環境のドリフトや実行コンテキストに依存する脆弱性評価を可能にします。
• 規制対応と監査可能性: ISO/IEC 20153:2025 (CSAF) に準拠した構造化された証拠を提供することで、規制当局や監査人にとって検証可能で透明性の高いアセスメントを実現します。
• 実用性: 既存の SBOM 標準（CycloneDX, SPDX）との互換性を保ちつつ、最小限のオーバーヘッドで高度なセキュリティ保証を提供します。
• 将来展望: 本フレームワークは、信頼できる研究環境（TRE）だけでなく、動的で自律的なソフトウェアシステム全体における次世代のサプライチェーン保証の基盤となり得ます。

今後は、完全な CSAF advisory ライフサイクル管理や、VEX ステータスに基づく自動的なポリシー執行（ワークフローのブロックなど）の実装が今後の課題として残されていますが、本論文はそれらの基盤となる技術的・概念的な飛躍を示しました。