「SBOMの作成は発注時に依頼する必要あり？」 「SBOMって何のために作るの？」：解決！OSSコンプライアンス（11）（1/2 ページ）

OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」。今回は、協力会社との関係でどのようにSBOMを生かすべきかを解説します。

[大内佳子，OpenChain Japan Work Group]

　本連載では、オープンソースソフトウェア（OSS）の利活用に伴う「ライセンスリスク」と、それをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介しています。

　今回も前回に引き続き、ソフトウェア開発企業X社の開発者である新城くんや、X社からの委託先であるＹ社の神田さんが直面する、OSSのコンプライアンス問題とその解決策を解説していきます。思わぬ落とし穴や難しい問題に直面しながらOSSコンプライアンスに対応していく新城くんのエピソードを通して、皆さんも理解を深めていってください。

　なお、本連載では、特に記載がない限り日本国内でOSSを活用する場合を前提としており、本連載の執筆チームの経験に基づいて説明を記載しています。厳密な法解釈や海外での利用など、判断に迷う場合は専門家にご相談ください。

■今回の登場人物

新城くん　日本のソフトウェア開発会社X社で働く入社3年目の開発者。 佳美先輩のもとでOSS活用に関する経験を積み、大規模プロジェクトのメンバーに抜擢（ばってき）された。

因幡PM　新城くんが参加している大規模なソフトウェア開発プロジェクトのマネジャー。

神田さん　新城くんがモジュールの開発を委託しているY社のSBOM管理の担当者。Y社は開発の一部をZ社に再委託している。

石部さん　Y社からモジュールの開発を委託されているZ社の責任者。

前回までのあらすじ

　Ｘ社は、Ｙ社にＢモジュールとＣモジュールの開発を委託し、最終製品に組み込んでいる。Ｙ社はＺ社にＣモジュールの開発を再委託していた。

　Ｘ社の新城くんは、発注先からの納品物に含まれるOSSのライセンスを把握していなかったため、因幡PM から確認を指示され、Y社へ依頼してBモジュールとCモジュールのOSSリスト（SBOM）を入手した。しかし、Ｘ社から具体的なSBOMのフォーマットなどを通知していなかったため、Ｙ社とＺ社でリストのまとめ方が異なっていた。Bモジュールは、OSSの名前、バージョン、ライセンスの情報が含まれていたが、Cモジュールは、プログラムファイルの名前とライセンスのみが記載されており、Cモジュールのプログラムファイルの中にOSSの名称とバージョンらしき情報が入っているようだった。

　そこで新城くんは、Ｙ社のSBOM管理者である神田さんに管理項目名と書式を含むSBOMのフォーマットと作成手順を送付して、SBOMの見直しを依頼した。

エピソード16　SBOMの作成は発注時に依頼する必要あり？

　Ｙ社の神田さんは、指定された形式でＢモジュールに関するSBOMを作成するため、開発担当者と分担して作業を開始しました。Cモジュールについては、Ｚ社に作成を依頼するため、Ｚ社の責任者である石部さんと打ち合わせをすることにしました。