「OSSライセンスに関する教育をやろう！ でもどうすればいい？」：解決！OSSコンプライアンス（12）

OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」も今回が最終回。社内などにおいて、OSSライセンスに関する社内教育で使える資料などを紹介します。

[渡邊歩，OpenChain Japan Work Group]

　本連載では、オープンソースソフトウェア（OSS）の利活用に伴う「ライセンスリスク」と、それをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介しています。

　今回も前回に引き続き、ソフトウェア開発企業X社の開発者である新城くんや、X社からの委託先であるＹ社の神田さんが直面する、OSSのコンプライアンス問題とその解決策を解説していきます。思わぬ落とし穴や難しい問題に直面しながらOSSコンプライアンスに対応していく新城くんのエピソードを通して、皆さんも理解を深めていってください。

　なお、本連載では、特に記載がない限り日本国内でOSSを活用する場合を前提としており、本連載の執筆チームの経験に基づいて説明を記載しています。厳密な法解釈や海外での利用など、判断に迷う場合は専門家にご相談ください。

■今回の登場人物

新城くん　日本のソフトウェア開発会社X社で働く入社3年目の開発者。 佳美先輩のもとでOSS活用に関する経験を積み、大規模プロジェクトのメンバーに抜擢（ばってき）された。

因幡PM　新城くんが参加している大規模なソフトウェア開発プロジェクトのマネジャー。

神田さん　新城くんがモジュールの開発を委託しているY社のSBOM管理の担当者。Y社は開発の一部をZ社に再委託している。

前回までのあらすじ

　Ｘ社の新城くんは、自社開発のAモジュールと、協力会社Y社が開発したBモジュールおよびY社の再委託先であるZ社が開発したCモジュールとを組み合わせた製品を開発中だ。前回、Y社からBモジュールとCモジュールのSBOMが納入されたが、管理項目名やフォーマットが異なっていた。そこで、新城くんはSBOMのフォーマットと策定手順を添え、あらためてY社にBモジュールとCモジュールのSBOMの再作成を依頼した。

エピソード18　OSSライセンスに関する教育をやろう！

　ある日のプロジェクト全体進捗会議において、Y社の神田さんから作業遅延の報告がありました。どうやら、新城くんから依頼したSBOMの作成作業について、作業上の問題があるようで……。

先日ご依頼があったBモジュールとCモジュールのSBOMの再作成に着手していますが、少し問題が……。

具体的にどのような問題でしょうか？

まず、弊社開発分のBモジュールについてです。今回のご依頼を受けてあらためて確認したところ、デュアルライセンスの場合を考慮していなかったことが判明し、再調査しています。このため、予定の期限を超過しそうです。

（僕も最初はデュアルライセンスってよくわからなかったよなぁ……）

次に、Z社さん開発分のCモジュールのSBOM作成についてですが、新しいメンバーが対応することになったそうで、ライセンスクリアランスのやり方を習得するのに苦労しているそうです。

（うん、うん、僕も最初はそうだった）

そうですか……。今後のこともありますし、皆さんがきちんと理解して作業していただけるようにしないといけませんね。新城くん、協力会社さん向けにレクチャーすることはできるかな？

はい！　やってみます！！

解説：OSSに関する知識と理解のレベルをチームの中で合わせよう

　OSSの活用が普及し、さまざまな製品やサービスに数多くのOSSが活用されるようになってきました。でも、何となくあいまいな状態で理解できている気になっていたり、いざライセンスクリアランスをやってみようとしたときに細かい部分が分からなかったり、ということはありませんか？

　また、サプライチェーンの上流の1カ所で生じたライセンスに関する誤解やコンプライアンス業務におけるミスが、サプライチェーン全体に及ぼす影響は甚大です。それに加えて、近年では「SBOM（Software Bill of Materials）」を活用したセキュリティマネジメントが普及し始めていますが、基になるSBOMの内容が正しくなければ、その後の脆弱（ぜいじゃく）性管理を正しく行うこともできません。

　このような事態を防ぐためには、サプライチェーンを構成する企業・組織全体が正しい知識を持ち、共通的な理解の下、OSSコンプライアンスに対応していく必要があります。

　サプライチェーン全体で共通的な知識と理解を共有するための有効な方法の一つが「教育」であると言えます。ここでは、企業やチームの中で、OSSコンプライアンスに関するトレーニング（教育）を実施する際に参考になる資料を紹介します。

1. OpenChain Japan Work Groupの教育資料

　OpenChain Japan Work Group（OpenChainについては下記のコラムを参照）の教育サブグループでは、各企業が社内に向けてOSSコンプライアンスに関する教育を実施する際に活用できる教育資料を公開しています。

　「OSSとは」といった基礎的な内容から、知的財産権、OSSライセンスについてなど、企業におけるOSSコンプライアンスに関する内容を漏れなく学習することができます。PowerPoint形式で配布されているものは、教育資料としてそのまま利用できます。

　なお、本資料はコミュニティーの成果物として作成されており、自身で作成した資料や考えた内容をコントリビューションすることもできます。OpenChainの教育資料には英語版もあります。

2. The Linux Foundationの教育プログラム（eラーニング）

　The Linux Foundationでは、経営幹部からソフトウェア開発者まで組織のあらゆる人に向けて、OSSのベストプラクティスを学べるオンラインの教育プログラムを提供しており、よりグローバルな業界標準を学習するにはこちらがおすすめです。

　このうち「オープンソース管理と戦略」は日本語に翻訳されており、OSSライセンスやコンプライアンスに関して学習したい人におすすめの内容です（ただし有償）。英語版ですが、無償で受講できる「Introduction to Open Source License Compliance Management （LFC193）」、「Implementing Open Source License Compliance Management （LFC194）」もあります。

3. オープンソースライセンス研究所の公開資料

　オープンソースライセンス研究所はOSSのライセンスの基礎知識やOSSの活用方法、適正に利用するためのライセンスの研究を行う非営利団体で、OSSライセンスに関する疑問や解釈についてまとめたQA集「OSSライセンス簡単FAQ」（2023年7月時点の最新版はv6）を公開しています。

　一問一答形式で、シンプルな回答を意識して書かれており、初心者から上級者まで、OSSライセンスについて詳しく学習したい人に広く活用していただきたい資料です。特に、実践的な部分を補足するための資料として有用です。

　また、技術に詳しくない法務部門、知財部門向けに「OSS ライセンスを理解するためのIT用語の基礎知識」（2023年7月時点の最新版はv5）として、技術用語のイメージを簡単に分かりやすく説明した資料も公開しています。

4. ライセンス関連書籍

　可知豊氏著の「知る、読む、使う！ オープンソースライセンス」、上田理氏著の「OSSライセンスの教科書」、姉崎章博氏著の「OSSライセンスを正しく理解するための本」など、有識者がライセンスの取り扱いについて分かりやすく解説した書籍も、必要な知識を系統立てて学習するのに有用です。

　特に「知る、読む、使う！ オープンソースライセンス」はCC BY 2.1 JPライセンスのため、チーム内教育の資料として活用しやすいという特徴があります。英語の書籍としては、イブラヒム・ハダッド氏著（第2版はシェーン・コックラン氏とケイト・スチュワート氏の寄稿によりアップデート）の「Open Source Compliance in the Enterprise」も、OSSコンプライアンスのプロセス全体を網羅しており、非常に有用な書籍です。

　また、これまで本連載で解説してきた内容も、さまざまなトピックスと解説、補足情報がまとまっており、皆さんのOSSコンプライアンスに関する理解を深めるために非常に有効ですので、折に触れて読み返していただければ幸いです。

サプライチェーン間の信頼関係を構築する仕組み、OpenChain

　サプライヤーから提供されたSBOMを活用してライセンスやセキュリティ脆弱性の管理を行う場合、受領者としては、「サプライヤー側ではきちんとOSSコンプライアンスを意識して開発しているだろうか？」と心配になることもあるでしょう。用心深い企業の場合、納品されてきたソースコードから自分でSBOMを再作成してチェックするなどということもあるかもしれません。このような再チェックの工数が、開発業務を圧迫することもあるでしょう。

　OpenChainは、組織がOSSのコンプライアンスを順守し、ソフトウェア開発を適切に行うための要件を定めた「OpenChain仕様」というものを定義しており、この仕様を満たして開発を行っている組織を「OpenChain適合」として認証する仕組みを提供しています。企業は、OpenChainに適合しているサプライヤーがOSSのコンプライアンスを順守していることを「信頼」でき、再チェックなどの重複作業が不要になるため、サプライチェーン全体での最適化と効率化が実現されます。

最後に……

　さて、12回にわたってさまざまなトピックスをお届けしてきた本連載ですが、今回が最終回です。楽しみに読んでくださった読者の皆さま、どうもありがとうございました。最初はまったく何も知らなかった新城くんがOSSコンプライアンスの専門家に成長したように、皆さまがOSSコンプライアンスに興味を持ち、知識や考え方を習得し、業務に活用できるようになるお手伝いができましたら、うれしく存じます。

　ご愛読に対し、執筆者一同を代表してお礼申し上げます。ありがとうございました。