近年、セキュリティ脆弱性の早期発見手段としてソフトウェアBOM（部品表）の重要性が叫ばれ、米国では法制化も進んでいます。しかし、IoT機器の脆弱性監視にソフトウェアBOMは十分とは言えません。製造物責任法が課せられるIoT機器ではソフトウェアに加えハードウェアの脆弱性監視も必要で、これにはソフトウェアBOMにハードウェア部品を追記したセキュアBOMが必須となります。先進的なPSIRTは製造物責任を果たすため、このセキュアBOMを利用して１０年に渡るIoT機器の脆弱性監視を実施しています。この講演では高度なノウハウが必要なセキュアBOMの作成方法や利用方法、またその注意点を解説します。