「ソースコードは全て公開が条件」の衝撃――OSSを賢く利用するための勘所:いまさら聞けないOSSの基礎知識(終)
「当たり前のように使っていたOSSのせいで訴えられた!」なんてことがないように、OSSを賢く利用するためのポイントを解説します。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
第1回から第3回にわたってOSS(オープンソースソフトウェア)の理念やライセンス、OSSを公開する際に気を付けるべきポイントを紹介しました。今回は本連載の最終回としてOSSにまつわるリスクを最小限に減らして賢く活用する方法を解説します。
ライセンス確認、脆弱性管理は不可欠
OSSを活用する際にすべきことは大きく2つあります。1つ目は、「どのようにOSSを利用するか?」を前もって決めることです。OSSにどのような形態があるかは第1回で説明しましたが、端的にいうと「OSSを改変して利用する」「ソースコードを取り込んで利用する」「バイナリコードとリンクする」の3つです。使用しているOSSがコピーレフト型のライセンスを適用している場合は、改変部分や自社独自で開発した部分のソースコードを開示しなければなりません。
ソースコードを開示する場合、自社の技術情報の流出につながるリスクもあるため、ソースコードの開示が問題ないかどうか議論する必要があります。また、工夫して実装することで開示範囲を最小限にすることも可能です。とはいえ、利用しようとしていたOSSを非コピーレフト型のOSSに変更したり、独自に開発したりすることで技術情報の流出というリスクは回避できます。
| 利用形態 | 課せられるライセンス条件 | 知財上のリスク |
|---|---|---|
| 改変して利用 | 改変部分のソースコードの開示(コピーレフト型、準コピーレフト型の場合) | 改変部分に関する自社技術情報の流出 |
| ソースコードを組み込んで利用 | OSSのライセンス条件が自社独自開発部分に伝播(コピーレフト型、LGPLの場合) | 自社技術情報の流出(最悪はその製品など全体のソースコード) |
| バイナリコードのリンク | OSSのライセンス条件が製品など(リンク部分)に伝播(コピーレフト型、LGPLの場合) | |
2つ目は、システムの安定稼働に関わる情報を随時確認する必要があることです。下記のような情報はOSSを活用したシステムを稼働させる上で不可欠です。
- バグ/セキュリティ関連情報、サポート情報
- リリース情報
- 開発者向け情報
- 更新履歴
これらはOSSプロジェクトのWebサイトやGitHubなどに掲載していることがほとんどです。常にこれらのWebサイトをチェックして確認する必要があります。OSSの脆弱(ぜいじゃく)性に関する情報は、NIST(米国国立標準技術研究所)が管理している脆弱性情報のデータベース「NVD」や、JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同で管理する脆弱性情報データベース「JVN」でも確認できます。これらのデータベースを定期的に参照しましょう。
特許侵害や訴訟リスクもある?
特許に関するリスクも忘れてはいけません。OSSライセンスは第三者の知財権を侵害していないことを保証しません。第三者からの訴訟に巻き込まれるリスクは常にあります。利用するOSSと関連する特許を自社が保有している場合、その権利不行使(無償での実施許諾しなければならない)の義務を課すライセンスもあるので、注意が必要です。
企業がOSS関連で最も懸念するのは特許侵害などの訴訟です。GPLを適切に利用しない場合も訴訟を起こされるリスクがあります。とはいえ、いきなり訴えられることにはなりません。まず、通告が届きます。通告の内容を確認して適切に対処すれば訴訟に至ることは回避できるでしょう。しかし、通告を無視すれば訴訟に発展する可能性が高まるため注意が必要です。訴訟を起こされた場合、メディアを通じてSNSで風評被害が起こる可能性もあります。
OSSを活用する上では訴訟や脆弱性を用いた攻撃への対策も考えていかなければいけません。では具体的にどうすればよいのでしょうか。
まず「OSSビジネス戦略の策定」をしなければいけません。経営層が自社のビジネスにおいて、OSSに取り組む目的を明確にします。OSSを活用するかどうかにかかわらず、方針を具体化して明文化すれば、従業員が「すべきこと」「してはいけないこと」の判断基準にできます。もちろん、明文化された内容は全従業員に周知徹底しましょう。
ビジネス戦略を策定しても、具体的な実行プランに落とし込むための推進体制も不可欠です。技術的な側面だけではなく、コンプライアンスの観点から、法務部門や知財関連の部門もこの推進体制に入ってもらうことが重要です。こうした推進体制を築いてからOSSの利用に関するガイドラインなどの策定を進めていきましょう。
ただし、OSSは技術的側面が強いため、技術担当部門が取りまとめることを推奨します。ガイドラインの作成に当たって規約はもちろん、ガイドラインを運用管理する仕組み作りも検討が必要です。
OSSの混入をどうチェックするか
前述したOSS利用のガイドラインを守る形で自社製品やサービスを開発する中で、ガイドラインに逸脱する状況が生まれることはあります。例えば、利用を意図していないOSSが製品やサービスに混入してしまうケースです。ガイドラインを順守して自社開発していたとしてもどうしてもすり抜けたり、外部から調達して検収時に抜け漏れたりすることはどうしても起きてしまうものです。
そうしたケースに備えて、さまざまな企業がOSSの混入をチェックするためのツールやサービスを提供しています。2010年前後には2〜3社程度しかありませんでしたが、現在は下記のように多くの企業が参入しています。無償提供されているツールもあり、費用をかけずに試すことができます。
これらのツールやサービスは、それぞれ特徴がありますので、目的に応じて選択することをお勧めします。
まとめ
4回にわたってOSSにまつわる基礎知識を紹介しました。読者の皆さまにお伝えしたいのは「OSSを正しく理解し、上手に活用して、ビジネスに生かしていただきたい」ということです。そのために、なぜOSSという理念が生まれたのか、どのように発展してきたかを知ることは重要です。今後、どのように接するべきかを考えていただくきっかけになったのではないかと考えています。
2020年現在、自社製品やサービスを開発するためにライブラリなどのOSSをダウンロードして活用することはもはや当たり前のことでしょう。しかし、幾つか約束事があり、その約束事を守らなければさまざまなペナルティーを受ける可能性があることも知っておくべきです。商用ソフトウェアなら開発元から情報を得られますが、OSSは自ら情報を収集しなければいけません。ライセンスをはじめとする約束事をどう守るか、開発途中で混入したOSSにどう対処すべきか、脆弱性に関する情報をどう得るか、一度見直してみてください。
こうしたリスクを踏まえても、OSSを活用するメリットは大きいと考えています。本連載が、読者の皆さまのお役に立てば幸いです。
筆者紹介
吉田行男
2000年ごろからメーカー系SIerにて、Linux/OSSのビジネス推進、技術検証、OSS全般の活用を目指したビジネスの立ち上げに従事。社内外でOSS活用に関する講演、執筆活動を行ってきた。2019年から独立し、さまざまな会社や団体の顧問として活動。OSSの活用やコンプライアンス管理などを支援している。
特集:AI、クラウドネイティブ時代の必須知識、「オープンソース活用」のマナーとリスク
SaaSやWebサービスを通じて利用者に価値を提供する中で、もはや必要不可欠となっているOSS(オープンソースソフトウェア)。近年はクラウド事業者が提供するAI(人工知能)やデータ分析系サービスと、OSSを組み合わせた活用事例も出ているなど、実ビジネスを支える存在となっている。実ビジネスである以上、安全・信頼を保証することが前提条件だが、果たしてOSSを本当に安全に使いこなせているだろうか。社会的信頼失墜のリスクをしっかりと認識した上で扱えているだろうか。本特集では、企業や開発者がOSSを活用するに当たってどのようなリスクとチャンスがあるのか、AI、クラウドネイティブ時代のオープンソースのマナーとリスクを徹底解説する。
関連記事
脆弱性管理を始める前に知っておきたい、脆弱性スキャナーの種類とその役割
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。初回は、脆弱性スキャナーの種類とその役割について。
自社だけでできる、コストとリソースを最小限にした「CSIRT」構築レシピ&鉄則
広く一般的な言葉として使われるようになった「CSIRT」。中堅・中小企業にも必要な理由と、コストとリソースを最小限にした、自組織で構築する際の鉄則や具体的な方法を紹介する。
大企業ではオープンソースがベストプラクティスに――The Linux Foundationが調査
The Linux Foundationは、「2018年オープンソース プログラム管理調査」の結果を公開した。調査対象企業の53%がオープンソースソフトウェア(OSS)を使うための社内の計画があるか、または2019年中に計画を策定すると回答。この傾向は大企業ほど顕著だった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。