Equifax事件の再発を防ぐために――2018年、オープンソースソフトウェア（OSS）向けリスク管理が不可欠になる理由：「OSSは、安易に取ってきて使えばいいものではない」（2/3 ページ）

全世界のソフトウェア開発で、オープンソースソフトウェア（OSS）を使用する動きが広まる一方、それに伴うリスク対策が遅れている。2017年、こうしたリスクは実際に大規模な情報漏えいや訴訟を引き起こした。こうした例を踏まえて、2018年は開発現場でどのような対策が有効なのか、専門家に話を聞いた。

[高木理紗，＠IT]

企業の間で低いOSSポリシーやリスクへの認知度

　フレクセラや、OSS向けライセンス・リスク管理ソリューションを提供するBlack Duck Software（以下Black Duck）は、こうした状況に警鐘を鳴らしている。

　フレクセラの米国本社であるFlexera Softwareは、OSSの使用状況について、主に米国のソフトウェアサプライヤー企業およびソフトウェア開発チームを持つ一般企業400社以上を対象に調査を実施。その結果、「（OSSの使用基準や規定について定めた）OSSポリシーを策定している」と回答した企業は、全体の37％だった。63％が、「ポリシーを策定していない／そもそも、策定しているかどうか分からない」と回答した。フレクセラは、「調査に参加した一般企業のIT部門のうち、95％以上が、業務に致命的な影響を及ぼすレベルでOSSを使っていた」としている。

　Black Duckは、こうしたリスクがソフトウェア業界にとどまらない点を指摘する。Black Duckオープンソースリサーチ＆イノベーションセンター（COSRI）の調査によれば、同社が1000件以上の商用コードベースを無作為に監査した結果、85％以上にライセンス違反が確認された。そのうち最も多かったのは、「GPL（GNU General Public License）違反」だった。

日本企業が1億ドル規模の訴訟に直面

　日本ではあまり話題になっていないものの、ソフトウェアを扱う企業は、こうしたライセンス違反対策について、今後十分に注意する必要がありそうだ。現に海外では、日本企業が訴訟に直面している例もある。2017年3月、機内エンターテインメント（IFE）ソフトウェアを開発する米国のCoKinetic Systems（以下CoKinetic）は、Panasonicの関連会社で同じくIFEソフトウェアを手掛けるPanasonic Avionicsを相手取り、GPL違反で1億ドルの賠償を求める訴訟を起こした。

　GPL違反は、企業によるライセンス条件の確認が不十分だったために起こる場合が多い。ただし、過失以上の動機を追及される場合もある。例えば、CoKineticは、ニューヨーク南部地区連邦地方裁判所に提出した訴状で、「Panasonic Avionics側は、競合企業による類似ソフトウェア開発を妨害する目的で、故意にLinuxベースのPanasonic Core Softwareのソースコード開示を拒否したのではないか」との見解を示し、陪審員裁判の実施を求めている。事実がどうであれ、その解明に多大な労力や時間を要することは必至だ。