「ソースコードは全て公開が条件」の衝撃――OSSを賢く利用するための勘所：いまさら聞けないOSSの基礎知識（終）

「当たり前のように使っていたOSSのせいで訴えられた！」なんてことがないように、OSSを賢く利用するためのポイントを解説します。

[吉田行男，ワイズプランニング]

　第1回から第3回にわたってOSS（オープンソースソフトウェア）の理念やライセンス、OSSを公開する際に気を付けるべきポイントを紹介しました。今回は本連載の最終回としてOSSにまつわるリスクを最小限に減らして賢く活用する方法を解説します。

ライセンス確認、脆弱性管理は不可欠

　OSSを活用する際にすべきことは大きく2つあります。1つ目は、「どのようにOSSを利用するか？」を前もって決めることです。OSSにどのような形態があるかは第1回で説明しましたが、端的にいうと「OSSを改変して利用する」「ソースコードを取り込んで利用する」「バイナリコードとリンクする」の3つです。使用しているOSSがコピーレフト型のライセンスを適用している場合は、改変部分や自社独自で開発した部分のソースコードを開示しなければなりません。

　ソースコードを開示する場合、自社の技術情報の流出につながるリスクもあるため、ソースコードの開示が問題ないかどうか議論する必要があります。また、工夫して実装することで開示範囲を最小限にすることも可能です。とはいえ、利用しようとしていたOSSを非コピーレフト型のOSSに変更したり、独自に開発したりすることで技術情報の流出というリスクは回避できます。

利用形態	課せられるライセンス条件	知財上のリスク
改変して利用	改変部分のソースコードの開示（コピーレフト型、準コピーレフト型の場合）	改変部分に関する自社技術情報の流出
ソースコードを組み込んで利用	OSSのライセンス条件が自社独自開発部分に伝播（コピーレフト型、LGPLの場合）	自社技術情報の流出（最悪はその製品など全体のソースコード）
バイナリコードのリンク	OSSのライセンス条件が製品など（リンク部分）に伝播（コピーレフト型、LGPLの場合）

　2つ目は、システムの安定稼働に関わる情報を随時確認する必要があることです。下記のような情報はOSSを活用したシステムを稼働させる上で不可欠です。

• バグ／セキュリティ関連情報、サポート情報
• リリース情報
• 開発者向け情報
• 更新履歴

　これらはOSSプロジェクトのWebサイトやGitHubなどに掲載していることがほとんどです。常にこれらのWebサイトをチェックして確認する必要があります。OSSの脆弱（ぜいじゃく）性に関する情報は、NIST（米国国立標準技術研究所）が管理している脆弱性情報のデータベース「NVD」や、JPCERTコーディネーションセンター（JPCERT/CC）と情報処理推進機構（IPA）が共同で管理する脆弱性情報データベース「JVN」でも確認できます。これらのデータベースを定期的に参照しましょう。

特許侵害や訴訟リスクもある？

　特許に関するリスクも忘れてはいけません。OSSライセンスは第三者の知財権を侵害していないことを保証しません。第三者からの訴訟に巻き込まれるリスクは常にあります。利用するOSSと関連する特許を自社が保有している場合、その権利不行使（無償での実施許諾しなければならない）の義務を課すライセンスもあるので、注意が必要です。

　企業がOSS関連で最も懸念するのは特許侵害などの訴訟です。GPLを適切に利用しない場合も訴訟を起こされるリスクがあります。とはいえ、いきなり訴えられることにはなりません。まず、通告が届きます。通告の内容を確認して適切に対処すれば訴訟に至ることは回避できるでしょう。しかし、通告を無視すれば訴訟に発展する可能性が高まるため注意が必要です。訴訟を起こされた場合、メディアを通じてSNSで風評被害が起こる可能性もあります。

　OSSを活用する上では訴訟や脆弱性を用いた攻撃への対策も考えていかなければいけません。では具体的にどうすればよいのでしょうか。