「AI活用が進む企業」ほど、OSS管理の甘さで足をすくわれる? IPAが「オープンソース推進レポート」公開:国内企業362社の調査と世界7カ国、3万298リポジトリを比較分析
IPAは「2025年度オープンソース推進レポート」を公開した。国内企業362社の調査と世界7カ国、GitHubの3万298リポジトリを比較分析し、「日本のOSS活用が認識段階から実践段階へ移行しつつある」と指摘している。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
IPA(情報処理推進機構)は2026年5月13日、「2025年度オープンソース推進レポート 世界の潮流と日本の現在地」を公開した。国内企業362社を対象としたソフトウェア動向調査と、世界7カ国・3万298リポジトリを対象としたGitHub国際比較調査、さらに世界の政策、トレンド分析を統合し、日本のOSS(オープンソースソフトウェア)推進の「現在地」と「次の一手」を示すものだとしている。
3部構成で日本のOSS活用を多面的に分析
レポートはPart I、Part II、Part IIIの3部構成だ。Part I(第2、3章)では国内企業調査と、GitHub国際比較調査の結果を報告。Part II(第4、5章)ではAI、セキュリティ、持続可能性の3軸から世界のトレンドと、日本の乖離(かいり)を分析している。Part III(第6、7章)では5つの政策提言と、日本固有の強みを起点とした「日本型OSSモデル」を提示しちえる。
レポートでは3つの「発見」と、それを受けた「提言と日本型モデル」を主な構成要素として整理している。
発見1:企業のOSSガバナンスは転換期 ポリシー整備は進むが組織体制は未成熟
OSSポリシーの整備率は2024年度実績19.5%(業種・企業種別による統計的補正後32.0%)から、2025年度実績36.7%へと増加した。OSS化実施率も2024年度実績4.6%(補正後12.0%)から15.2%へと拡大している。
課題認識の内容にも変化が見られる。「分からない」という漠然とした不安は2024年度実績34.8%(補正後26.0%)から14.1%に急減し、「セキュリティ面の懸念」(25.7%)や「技術ノウハウ・人材不足」(21.5%)といった実践段階の課題へとシフトした。IPAは、日本企業のOSS活用は「認識段階」から「実践段階」へ移行しつつある傾向と評価している。
一方、OSPO(オープンソースプログラムオフィス)設置率の2025年度実績は4.1%にとどまる。設置済みと計画中を合わせても6.9%であり、補正後2024年度値(4.8%)と比較すると実質横ばいから微減になっている。IPAはポリシー整備と組織体制の大きな乖離が次の重要課題として浮上している
発見2:日本の行政OSSは「在来種型」 国際比較で見えた実像
世界7カ国、3万を超えるリポジトリを対象としたGitHub比較調査は、「日本は周回遅れ」という言説とは異なる傾向を示した。日本の行政OSSは626件、22組織という規模で、英米の絶対規模には及ばないものの、ドイツ、シンガポール、エストニアと同等の発展段階にあるとした。
各国の「育成モデル」にも違いがある。英国はGDS(政府デジタルサービス)を核とした中央集権型で約1万6000件の規模を持ち、米国は省庁が自律分散的に拡大するモデル、フランスは政府主導のスタートアップ型で約2400件を整備する。日本は国土地理院や国土交通省の「PLATEAU」のように、現場ニーズから地図、GIS(地理情報システム)分野が自然発生的に成長した「在来種型」と位置付けられる。
特にPLATEAUや国土地理院のGIS分野には、整備されたオープンデータと活発なユーザー・開発者コミュニティーという2つの成功要因がそろっており、AI時代に不可欠なAI-Ready基盤が日本でも形成されつつあることを示唆していると、IPAは指摘する。デジタル庁の7リポジトリには合計1043件のスターが集まっており、日本の在来種に対する国内外エンジニアの潜在的な熱量を端的に示している。
発見3:世界はOSSをデジタル主権の基盤として制度化
EU(欧州連合)では「Digital Sovereignty Runs on Open Source」(デジタル主権はオープンソースによって支えられる)がスローガン化され、ドイツ、フランス、ベルギーといった国々がOSS優先を政策の核心に据えている。
AIとOSSの不可分化も加速している。LLM(大規模言語モデル)の推論フレームワークからMLOpsまで、AIスタックの多くがOSSで構成される現在、OSSガバナンスの未整備はAI活用においても重大なリスクを伴う可能性があるという
「EUサイバーレジリエンス法(CRA)はEU市場向け製品・サービスを展開する日本企業にも適用されており、緊急度の高い対応が求められる」(IPA)
5つの政策提言を提示 「日本型OSSモデル」の中身
IPAはPart IIで明らかにしたギャップを踏まえ、5つの政策提言をしている。
- OSSをデジタル主権の基盤として国家・組織戦略に位置付ける
- 政府機関、大企業、大学へのOSPO設置推進
- 政府IT調達へのOSS優先原則(OSS first)の明記
- 重要OSSメンテナーへの官民連携による公的支援制度(ドイツのSTFモデル)の整備
- EU市場向け事業組織によるCRAコンプライアンス対応の早期着手
提言と並んで、レポートでは「在来種戦略」「種まき戦略」「Rules as Code」の3軸から成る「日本型OSSモデル」を提示している。「欧米の単純な模倣ではなく、民間セクターが蓄積したOSSガバナンスのノウハウと、公共セクターの在来種コード資産が出会う相乗効果の設計こそが、日本固有の優位性となり得る」と、IPAは結論付けている。
関連記事
普通の組織で「脆弱性管理」を始めるには? 日本シーサート協議会WGが解説する4つのステップ
サイバー攻撃は事業継続を脅かす経営課題となって久しい。サイバー攻撃の被害を招く主要な原因の一つにあるのが、対策可能なはずの「既知の脆弱性」だ。では、普通の組織は既知の脆弱性管理をどう始めればよいのか。日本シーサート協議会の脆弱性管理WGが「Internet Week 2024」で、脆弱性管理を始めるための4つのステップを解説した。
日本の大手企業の6割以上が取引先起因のセキュリティ被害に 自社システム感染、取引先感染、脆弱性悪用の内訳は? アシュアード調査
アシュアードは「取引先企業のセキュリティ評価」に関する実態調査の結果を発表した。調査対象企業の半数以上で取引先企業を起因とした深刻なセキュリティ被害が発生していることが分かった。
ベテラン開発者は「AIに全く依存していない」、DevOpsエンジニアは「7割依存」 DockerがAI利用状況調査
Dockerは「The 2025 Docker State of Application Development Report」の中から、AIツールと開発に関する調査結果の概要を抜粋し、ブログで紹介した。
AIコーディングはなぜ後から苦しくなるのか? 技術負債に続く「理解負債」「認知負債」という新たな落とし穴
AIコーディングが普及する中で注目され始めた「理解負債」と「認知負債」。従来の技術負債と合わせた「AIコーディング時代の三大負債」を整理し、なぜ開発が後から苦しくなるのかを分かりやすく解説する。
なぜ「セキュリティのシフトレフト」が下火になったのか、ネガティブじゃないその理由 Dockerが解説
Dockerは、「The 2025 Docker State of Application Development Report」の中から、セキュリティに関する調査結果の概要を抜粋し、ブログで紹介した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。