オープンソース活用を社内で推進、導入機運が高まる「OSPO」とは:OSSのサプライチェーン管理、取るべきアクションとは(1)
OSSのサプライチェーン管理が重要になってきている。本連載では、この文脈から「オープンソースプログラムオフィス(OSPO)」「SBOM」の2つのキーワードに迫る。今回は、OSPOとは何かを解説し、次回はOSPOを設置した日本企業の座談会をお届けする。
デジタルトランスフォーメーション(DX)やIoTの進展により、ますますその存在感が増しているオープンソースソフトウェア(OSS)。OSSを活用する企業自体もオープンソースエコシステムの一員ですから、OSSの開発コミュニティーへの継続的なサポートが求められます。
また、企業がOSSを活用し、競争力を向上させるためには、ライセンスやセキュリティ等のリスクに適切に対処する必要もあります。さらに、昨今のソフトウェアのサプライチェーンの規模の拡大に伴い、サプライチェーン全体のリスクマネジメントの重要性も高まってきています。そこで今回は、このような活動を組織的に行うために、国内外で導入の機運が高まる「Open Source Program Office(OSPO:オープンソースプログラムオフィス)」について解説します。
1.OSSの活用を組織的に行うためには
OSSはコミュニティーによって開発され、ライセンスと呼ばれる使用許諾条件を満たせば、原則無料で利用することができます。コミュニティーのメンバーとして開発に「貢献」することと、その成果を「利用」することがOSSの活用の両輪であると言えます。
企業がOSSを適切に活用するためには、この「貢献」と「利用」を推進し、これらの活動を従業員が安心して行うことができるよう、ルールやプロセスを含めた体制整備が重要になってきます。
このような体制整備やその実際の運用を行うためのフレームワークが「Open Source Program」であり、Open Source Programを推進するための社内組織がOSPOです。
OSPOは法務部や経理部といった伝統的な部署と比較すると新しい部署ですので、企業におけるOSPOの立ち位置はさまざまです。OSPOが独立した組織として存在するケース、既存の部署がOSPOの機能を担うケース、複数の部署がOSPOの機能を分担するケースなどが存在します。
2.OSPOの果たすべき役割
それでは、OSPOの機能の例を具体的に見ていきましょう。なお、これらはあくまで例であり、必ずしも全ての機能を備えている必要はありません。場合によっては既存の組織と協力して、各種の業務を行っていくこともあるでしょう。
オープンソースカルチャーの醸成
オープンソースに関する理解を深め、社内コミュニティーを形成・発展させ、オープンソースカルチャーを醸成するためのポリシーや方針の策定を行います。また、策定したポリシーや方針、オープンソースに関する基本知識を周知するために、社内、社外イベントの企画や、座学、eラーニングなどの教育プログラムの運営などを行います。
OSSコミュニティーへの貢献
従業員の、OSSコミュニティーへの貢献(コントリビューション)を促進するために、コントリビューションに関するポリシーやルールの整備・周知や、従業員へのサポートを行います。企業によっては、開発機器の購入費や海外イベントに参加するための渡航費などの、金銭的なサポートを行う場合もあります。また、自社にとって戦略的に重要なソフトウェアを開発しているコミュニティーがより発展するように、そのソフトウェアに関するイベントを開催することや、こうしたイベントをスポンサーすること、広報活動を支援することもコミュニティーへの貢献であると言えます。
オープンソースエコシステムの戦略的活用
自社の開発しているソフトウェアをオープンソース化することにより、コミュニティーと共にソフトウェアを育て、デファクト・スタンダードを目指すための意思決定、社内決裁、ライセンス選択などの各種調整を、開発部署と共に行います。また、自社の技術開発戦略を踏まえ、既存のコミュニティーへの投資を検討することもあります。投資にはコミュニティーへの金銭的なサポートの他、そのコミュニティーにコントリビューションする従業員を雇用することも含まれます。
ライセンス・コンプライアンス
従業員がライセンスを順守してOSSを利用できるようにするために、ライセンスに関するポリシーや社内での利用プロセスの整備、ツールの導入などを行います。また、従業員から日々のライセンスに関する相談に乗ることや、ライセンスに関するトラブルを未然に防止すること、場合によってはコミュニティーや法律事務所などと連携して主体的に問題を解決することも重要な業務です。
さらに、サプライチェーン内でのOSSに関する情報共有も年々重要になってきていますので、組織を超えたプラクティスやノウハウの共有、契約や対応ガイドライン、フォーマット(SBOM)の標準化を行う場合もあります。
OSSセキュリティの担保
組織が開発するソフトウェアの中に占めるオープンソースの割合は年々増加しています。その結果、OSSの脆弱性に適切に対応することが、ソフトウェアのセキュリティ担保に直結するようになってきています。
OPSOはオープンソースのセキュリティに関する情報収集や社内プロセスの改善などを、セキュリティ専門部署と連携して行うこともあります。また、自社が利用しているOSSのコミュニティーのエコシステムが維持され、メンテナンスが行われ続けるために、コミュニティーのサポートを計画的に行うことも期待されます。さらに、セキュリティの観点からも、SBOM等を活用してサプライチェーン内で流通するソフトウェアを見える化すること、いわゆる「Software Component Transparency」が重要になってきていますので、サプライチェーン内の企業との連携を強化することも求められます。
3.海外で広がるOSPO設置の動き
オープンソースがソフトウェア開発の中心となっている昨今、グローバルなトレンドとしてOSPOの設置が広がっています。それは、GoogleやTwitter、NetflixそしてMicrosoftといったテック企業だけでなく、ComcastやBloombergのようなメディア企業、BMWやPorscheのような自動車メーカーなどさまざまな業種においても同様であり、最近では公的機関や教育機関でもOSPOが設置されるケースもあります。
OSPOの普及や情報共有を行うThe Linux Foundation TODO Groupの活動も活発化しており、「企業のためのオープンソースガイド」(https://todogroup.org/ja/guides/)を公開している他、OSPOに関する調査を毎年行い、その結果をGitHub上で公開(https://github.com/todogroup/osposurvey)しています。
また、日本でも、2022年6月にThe Linux Foundation OpenChain Project(https://www.openchainproject.org/)のJapan Work Group(https://openchain-project.github.io/OpenChain-JWG/)においてOSPO Sub Groupが結成され、OSPOに関する情報共有や課題解決が日本語で行われています。
TODO GroupやOpenChainはオープンソースコミュニティーですので、誰でも自由に参加し、情報収集や悩み相談をすることができます。
4.日本におけるOSPOの動き
日本においても、サイボウズやサイバートラストなどのIT企業を中心に、OSPOの設置が進んでいます。
OpenChain Japan Work Groupが2020年に行ったオープンソースコンプライアンスを行う組織に関する調査によれば、対象となった日本企業48社のうち約2割が、OSPOのようなオープンソースの活用を推進するための専門組織を設置していることが分かりました。
また、専門組織を設置していない企業でも、ソフトウェアの管理部門や法務・知財部門、CTO室などの既存組織がOSPOの役割を果たしているケースがあることも分かりました。
いずれにしても、日本においてもDXを実現するためには、どんな産業であってもOSPOの機能を持つことが必要だと言えます。一方、OSPOという概念自体が日本では新しいものであるため、日本におけるOSPOのあり方を各社が模索しているフェーズにあるとも言えます。
そこで、本連載ではそのためのヒントとしていただきたく、次回はOSPOに関する先進的な取り組みを行っているソニーグループ、メルカリ、富士通の3社の方との座談会のレポートをお届けします。
l特集:OSSのサプライチェーン管理、取るべきアクションとは
オープンソースソフトウェア(OSS)の利用が多くの企業で本格化し、ライセンスやセキュリティ、品質などのリスクが表面化しようとしている。「OSS=フリーソフトウェア」という認識ではこの状況に追いつくことができない。しかもOSS利用は企業内の異なる事業部、グループ内企業、開発パートナーなどに広がっている。企業はこれをサプライチェーンとしてとらえ、リスクを適切に管理していく必要がある。では、どう行動すべきか。本特集では、OSSの推進とマネジメントを行う社内組織「OSPO(Open Source Program Office)」、およびソフトウェア構成表「SBOM(Software Bill of Materials)」に焦点を当て、これらの現実の姿を解説および座談会で解き明かす。
Copyright © ITmedia, Inc. All Rights Reserved.