人気連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第120弾は、OSSの利用に欠かせないSBOMとOSPOについて解説し、取り組みを進める先進企業が現状と課題を語った連載を紹介します。
Webサービスはもちろん、さまざまな最新ソフトウェアアプリケーションで多数のオープンソースソフトウェア(以下、OSS)が活用されています。OSSは現在のアプリケーション開発を支えているといえます。
無料であるだけでなく、契約などの面倒な手続きなしに活用できるOSSは、開発者にとって非常に魅力的です。しかも、ユーザーの間での評判を確認しながら、各自の目的に合ったソフトウェアを選択することができます。
ただし、その裏でリスクがあることは否定できません。OSSの脆弱(ぜいじゃく)性を突いたセキュリティインシデントが発生しています。すると、脆弱性を持つOSSを利用している全てのユーザーが影響を受けます。このため、自社の開発しているソフトウェアではどのOSSを使っているかを管理する必要があります。問題はそれだけではありません。OSSにはさまざまなライセンスがあります。そのライセンスを確実に守って使うことが必要です。
ソフトウェアサプライチェーンにおいては、特にこれらの点を確実にトレースできるようにする必要があります。米国大統領令でも取り上げられた「SBOM(Software Bill of Material)」は、ソフトウェアの部品表として、利用したソフトウェア(商用ソフトウェアも含みます)やライセンスなどの情報を各段階で明示し、引き継いでいけるようにする取り組みです。
一方、OSSの利用が進んでくると、企業としてどうこれを管理し、円滑化していくかが問われるようになってきます。
上述のOSSコンプライアンスにしても、個々の開発者や開発チームがばらばらに責任を追う状態ではスケールしませんし、管理が行き届かない可能性もあります。さらに、ソフトウェア開発が自社のビジネスにおける重要さを増してくると、OSSをどう戦略的に生かしていくかという視点が生まれてきます。OSSの開発への貢献、あるいはその他の方法で、自社にとって重要なOSSプロジェクトに影響力をもたらすということも考えられるようになってきます。
そこで、社内に「OSPO(Open Source Program Office)」と呼ばれる組織を設立する企業が世界中で増えています。ITサービス企業のみならず、製造業などにも大きな広がりを見せています。OSPOでは、社内におけるOSSの基本的な利用管理から、ビジネスのための戦略的な活用までを模索しながら進めていくことになります。
本eBookでは、SBOMとOSPOについて分かりやすく説明しています。さらに、日本でこれらの活動を進める企業の担当者のディスカッションを通じ、それぞれの現状と課題を明らかにしています。
「OSSは無料ソフトウェアなので、各自が勝手に使い倒せばいい」――。うちの会社はこういった状況でいいのかと少しでも疑問に思われている方は、ぜひご一読ください。
なお、本eBookは、連載「OSSのサプライチェーン管理、取るべきアクションとは」を電子書籍化したものです。
※@IT eBookシリーズについてはこちらをご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.