OSS活動を社内推進するOSPO、ソニーや富士通、メルカリはどう取り組んでいるか：OSSのサプライチェーン管理、取るべきアクションとは（2）

OSPOで社内のOSS関連活動を推進したい。だが、どう進めればいいのか。OSPO導入企業であるソニーグループ、富士通、メルカリ3社の担当者による座談会の模様をお届けする。

[齋藤公二，著]

　「オープンソースプログラムオフィス（OSPO：「オスポ」と読む）」とは、オープンソースソフトウェア（OSS）の利用環境の整備やOSSへの貢献といった活動を推進するために、企業が社内に設立する組織だ。詳細は本連載の前回の記事で解説している。

　OSPOを設置する企業は日本でも増加している。「ちょうど設置を検討している」という読者もいるだろう。だが、具体的な運営方法や活動内容については、企業ごとに事情が異なることもあり、画一的な説明は困難だ。ここは、既に取り組みを進めている企業の話を聞くほうがイメージをつかみやすい。

　今回は、OSPO導入企業であるソニーグループ、富士通、メルカリ3社の担当者による座談会の模様をお届けする。3氏はこの座談会で、各社がどのような理由でOSPOを設置し、どのような活動を行っているか、どんな課題があるのかをリアルに話している。

　司会は、日本においてOSPOの普及促進を行っているOpenChain Japan Work Group（OpenChain Japan WG）で積極的に活動する、トヨタ自動車の遠藤雅人氏が務めた。

参加者：

上野 英和氏

株式会社メルカリ Intellectual Property マネージャ 弁理士

福地 弘行氏

ソニーグループ株式会社 コーポレートテクノロジー戦略部門 Group 2 オープンソース推進課 シニアアライアンスマネジャー

浅羽 鉄平氏

富士通 インフラストラクチャシステム事業本部 Linuxソフトウェア事業部 アプライアンス技術部 部長

司会：

遠藤 雅人氏

The Linux Foundation OpenChain Project Automotive Chair/Japan Work Group Promotion Sub Group Leader、トヨタ自動車 先進技術カンパニー プロジェクト領域 AD-V：バリューチェーンサービス・技術開発 ドライバー状態把握グループ グループ長

エンジニアの声をきっかけにOSPO設立、グローバルで取り組むメルカリ

遠藤氏　まずはそれぞれの企業の取り組みを聞いていきたいと思います。インターネット業界を代表してメルカリさんから。OSPOをどう位置付けていますか。

メルカリの上野氏

上野氏　公式の組織図にはなく、プロジェクトとして運営しています。発足のきっかけは社内チャットでのエンジニアの声でした。「うちってOSSをたくさん使っていて、エンジニアがそれぞれ独自にやっているけれど、コーポレートの人が誰も関わっていなくて……」と質問がきたんです。その後「（社内で開発したソフトウェアを）OSSとして公開する」という話が出て、ライセンスのコンプライアンスだけでは済まないテーマであるところに私も関心を持ち、取り組みが始まりました。

遠藤氏　今は具体的にどんな活動をしているのですか。

上野氏　メルカリのOSPOは「OSS利用のコンプライアンス」「OSSの公開、貢献の推進」「啓蒙、情報発信」の3本柱で活動しています。公開については、OSPO立ち上げ前から進んでいました。OSSのライセンスチェックなども初期の頃から行っていました。

遠藤氏　メルカリさんは、最初からグローバルで取り組んでいるイメージがあります。

上野氏　海外グループ会社を含めて、全グループがソースコードを統一的に管理するというルールで動いています。OSPOとしては、GitHub上のソースコードに対して統一的にコンプライアンスを進めるということで、最初から海外グループ会社も対象にしていました。また、公開についても海外、日本ともに共通アカウントで管理しています。

組み込み製品へのLinux搭載をきっかけにOSPOの取り組みが始まったソニー

遠藤氏　OSSの活用では長い歴史があるソニーグループさんはどうでしょうか。今どのようにOSPOに取り組んでいますか。

ソニーグループの福地氏

福地氏　組み込み製品にLinuxを載せたいというモチベーションがあり、それを実現するためにOSPO的な機能が必要だったことが、取り組みのきっかけです。コンプライアンスをどうするか、バグを戻す際のフィードバックをどうするか、社内の文化をどう醸成するかといった対応を積み重ねて今日に至っています。もっとも、OSPOとしてきちんと社内で認識し始めたのは、この5、6年です。OSPOという言葉が登場したことで、より組織だった取り組みを推進する機運が高まりました。それまでは、自然発生的な取り組みをバーチャルな形で運営していました。

遠藤氏　利用のところはよく分かりました。貢献のところで意識的に取り組まれていることはありますか。

福地氏　Linuxの利用は2000年代からですが、当時から「OSSを使う＝コントリビューション」という認識はチームの中にありました。米国にいるOSSのエキスパートを雇用して、彼らにコントリビューションをしてもらい、日本人はそのやり方を学ぶという方法で進めました。一方、組み込み系のコミュニティーイベントも企画しました。現在もOpen Source Summitと並行して開催されているEmbedded Linux Conferenceは、当時組み込み系に取り組んでいたソニーやパナソニックなどの提案で始まったものです。

「蛇口をひねると水が出る」くらい当たり前になった富士通のOSS活用環境

遠藤氏　続いて富士通さん。Linuxを含めたOSSとのつきあいは長いと思いますが、現在OSPOとしてはどんな取り組みを行っていますか。

富士通の浅羽氏

浅羽氏　Linux草創期から、ミッションクリティカル用途への適用に取り組んできました。サーバ、ストレージ、組み込みシステムなどに適用するなかで、どうOSSを扱っていけばいいか、知財部門などと連携して、OSSを利活用するためのガイドラインを出したり、ライセンスやセキュリティをシステムとして管理するための社内システムを構築したりしてきました。当初はそれぞれの部門がオーナーになっていたのですが、OSSの管理をどう行っていくかについては経営陣の関心も高まってきました。ちょうど全社的にOSPOの取り組みをどう行っていくかを検討しているところです。組織がなくてもこれまでうまく回ってきたものを、今後、どう組織に位置付けていくか、議論を重ねています。ビジネススピードやOSSのトレンドが速まるなかで、トップダウンで意思決定し、CTOなどの権限を持った組織として動いていく必要性も感じています。

遠藤氏　コミュニティーに貢献しようという意識や文化は、共通の価値観として当初からあったのですか。

浅羽氏　社員は潜在的にそうした意識を持っています。何をしていいか分からないという場合も、社内でサポートしていく風土があります。蛇口をひねると水が出るくらい当たり前になっている。ただ、そこまで根付いているからこそ、今後、組織としてスピードアップさせるべきではないかという議論も生まれているという状況です。

世界的に盛り上がるOSPO、日本企業が導入する際の課題や工夫点とは

OpenChain Japan WGとして司会をした遠藤氏

遠藤氏　GoogleやMicrosoftをはじめ、OSPO設置のトレンドが世界的に高まっています。日本におけるOSPO導入の課題はどこにあると感じていますか。また、工夫していることはありますか。

浅羽氏　富士通では、SIerとしてOSS利活用の支援も行っています。OSSを利活用する本来の目的は、OSSの標準技術を使って、自分たちの技術やビジネスをさらに発展させることにあると思っています。ただ、ユーザーから多く寄せられるのは「ライセンス違反にならないか」といったリスク対応に関する相談です。リスク対応にこだわり過ぎてしまうと、本来OSSでやりたかったことを見失いやすくなるのではないか。そんな課題感を持っています。個人的に気をつけているのは、顧客を支援する際に、リスク対応だけでなく、顧客がOSSを使ってやりたかった目的をかなえるようにすることです。

福地氏　ソニーは、会社規模が大きくて製品の種類も多く、ビジネスによってやりたいことが違うので、OSSの取り組みにも差が出るという課題があります。そこで大事になるのは、やはり「OSSで何をやりたいのか」だと思います。社内でいま取り組んでいるのは、OSSを推進する人たちで集まって社内コミュニティーを作り、情報交換やベストプラクティスの共有を進めることです。エレクトロニクスだけでなく、映画やゲームなど、他のカテゴリーの人たちも集まって、「この人たちはこういうやり方でコントリビューションしている」といった情報を交換します。カテゴリーだけでなく、レイヤーや個人のネットワークごとにコミュニティーを作ることで、お互いに少しずつ階段をステップアップできるようにしています。

上野氏　メルカリはOSPOのゴールをエンジニアのエンゲージメントに置いています。OSSの利用や貢献、公開がきっちりしている会社であることで、エンジニアに働きやすい環境を提供していくことが大前提です。リスクやコンプライアンスの要素はもちろんあるのですが、当社の場合はそこをメインに据えても、活動に盛り上がりが欠けるきらいがありました。エンジニアのキャリア形成という点でも、個人のオープンソース活動を採用時に考慮する動きもあり、会社としてOSSにしっかり向き合えること、エンジニア個人のモチベーションの維持につながっています。

アピールする際に「刺さる」のは、コンペティターの事例や数字

遠藤氏　OSPO導入や組織の設置をした後に、重要になるポイントはありますか。何か工夫していることはありますか。

福地氏　取り組みを社内にアピールする一番の材料は、コンペティター（競合他社）の事例だと思います。「グローバルで先端的な成果を上げている企業が、OSSでこんな成果を上げているらしい」と分かれば、マネジャーやマネジメント層の理解が進みやすくなります。OSSの市場動向や具体的な数字を挙げた説明も、刺さることが多いです。

遠藤氏　まさに、TODO GroupのサーベイやOpenChainでも、そうした取り組みを行っていますね。

上野氏　メルカリの場合、OSSの利用や貢献のニーズはもともとあるという感じで、むしろ、リスクやコンプライアンスのところに苦労していると言えるかもしれません。ツールを使って自動で管理できるようにして、何らかの違反があったらOSPOにアラートが来るようにしています。アラートの内容が正しければ、その時に初めてOSPOからエンジニアに連絡します。エンジニアに必要以上の負担がかからないようにしています。

遠藤氏　業務プロセスに組み込んで自動化し、エンジニアが意識しなくても実現できる仕組みを作ることが大事ということですね。意識せずに適切にOSSを利用できるようにすることはコンプライアンスの理想でもありますね。

浅羽氏　文化を知って楽しみを理解するのが大事だと思います。「好きだから楽しくやっていく」という形で引き込めれば、優秀なエンジニアなら後は自分で歩んでいけると思っています。OpenChain Japan WGはイベントもたくさんやっていますし、オンラインで簡単に参加できます。そこで他社の取り組み事例を知れば、自分がやっていることが世界に通用するのか、自社のコンプライアンスがおろそかになっていないかが分かります。世界とのつながりのなかで自身の理解が深まっていけば、だんだん楽しくなっていき、取り組みによってサラリーも上がったりすると思います。

やりたい人は必ずいる、二人三脚で取り組みをスタートすればいい

福地氏　OSSやOSPOの取り組みをやりたい人は必ずいると思うんです。やりたい人を見つけて、その人と二人三脚で取り組みをスタートすればいいと思います。

浅羽氏　チャンピオンユーザーやインフルエンサーですよね。

遠藤氏　そういう人たちにどんどん任せて、コミュニティーを形成し、最終的に会社全体での機運を高めていくのが正攻法かもしれません。一方で、トップにも理解して参加してもらう。ボトムアップとトップダウン両方のアプローチで進めていくことが非常に重要ですね。OpenChain Japan WGは、もともとそういう人たちの駆け込み寺のようなものとして始まったところもあります。

浅羽氏　遠藤さん自身がそうですよね（笑）

遠藤氏　そうかもしれません。最初は何も知らなくても、郷に入っては郷に従えで、取り組むと道が開けてくる。中に入ってみないと分からないことがあるのは、どんな世界も一緒です。OpenChainをはじめとしたOSSコミュニティーは非常に開かれた世界ですので、その意味ではやりやすいと思います。僕自身もそういう経緯を経ているので、興味のある方は飛び込んでいただきたいです。

福地氏　OSPOについては「OSSの推進はしていますが、コミュニティーのことは知りません」という人が意外に多いなと感じています。OSPOこそ、ネットワークを作って、社外の人とコミュニケーションをとって、ベストプラクティスを社内に持ち込んだり、課題をディスカッションしたりすることが必要です。OSPOのネットワークをつくることは重要だと思います。

上野氏　メルカリでも、OSPOの周りにOSSに詳しいエンジニアがいて、相談役になってもらっています。何かあったら、その人たちに聞けるようにしています。OSPOのエンジニアメンバーは、勉強会を主宰していたり、自分でOSSを作って運用している人など、コミュニティーで活動をしている人が中心です。

遠藤氏　OpenChainもOSPOを推進するコミュニティーとして、今後さまざまな形でサポートをしていきたいと思います。今日はありがとうございました。

l特集：OSSのサプライチェーン管理、取るべきアクションとは

オープンソースソフトウェア（OSS）の利用が多くの企業で本格化し、ライセンスやセキュリティ、品質などのリスクが表面化しようとしている。「OSS＝フリーソフトウェア」という認識ではこの状況に追いつくことができない。しかもOSS利用は企業内の異なる事業部、グループ内企業、開発パートナーなどに広がっている。企業はこれをサプライチェーンとしてとらえ、リスクを適切に管理していく必要がある。では、どう行動すべきか。本特集では、OSSの推進とマネジメントを行う社内組織「OSPO（Open Source Program Office）」、およびソフトウェア構成表「SBOM（Software Bill of Materials）」に焦点を当て、これらの現実の姿を解説および座談会で解き明かす。

特集：OSSのサプライチェーン管理、取るべきアクションとは