OSSのライセンスとセキュリティのリスク、企業としてどう取り組む?:始めよう! 企業としてのオープンソース活動(4)
OSSの利用には、ライセンスやセキュリティのリスクが伴います。企業としてこれを十分に理解し、対策を講じることが求められています。今回はこの取り組みにおいてOSPOが果たす役割を紹介します。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
世の中のソフトウェアの大部分がオープンソースソフトウエア(OSS)で構成されるようになった昨今、企業でもいかにしてOSSを最大限に活用していくかが重要になってきています。
日本では、いまだにセキュリティやライセンスといった、OSSの「利用」の際のリスクマネジメントが主な関心事ですが、海外では企業としてOSSコミュニティーに「コントリビューション」し、そのエコシステムの中でビジネス上のメリットを得ることへの関心も高く、多くの企業がそのための専門組織として「Open Source Program Office(OSPO)」を設立しています。
本連載では、企業におけるオープンソースコミュニティー活動の推進や、OSPOの機能について実例も交えて解説しています。
前回は、OSPO設立に至るきっかけや機能を取り上げました。今回と次回は、さらに理解を深めていただくため、具体的なケースを通じ、OSPOの活動や組織体制を紹介していきます。今回取り上げるのはOSSのライセンスと脆弱(ぜいじゃく)性リスクへの対応です。OSPOを導入している企業は、実際にどのような取り組みを行っているのでしょうか? エピソードに基づき、早速見ていきましょう。
■舞台となる企業と登場人物
日本の大手メーカーA社。IT推進部や製品やサービスでOSSを活用しているものの、従来は現場主導で場当たり的だった。社内でのOSSの利用が広まった結果、最近OSPOを設置した。
田中さん A社のIT推進部で働く若手社員。業務システムの導入や運用管理を担当しているが、OSSに関する知識は浅い。
佐藤さん A社のOSPOのマネジャー。OSSの活用について豊富な知識と経験を持つ。
OSSのライセンスを知らずに使用している社員、このままでいい?
■エピソード1 「無料だから自由に使えるのでは?」
田中さんは新しいタスク管理システムの導入を検討していた。無料で使えるオープンソースのタスク管理システムを見つけ、さっそく試験環境にインストールしようとしていた。
そこへ佐藤さんが通りかかり、田中さんの作業を見て声をかけた。
佐藤さん 「田中さん、そのシステム、ライセンスは確認しましたか?」
田中さん 「え? ライセンス? 無料でダウンロードできるものだから、自由に使えるんじゃないですか?」
佐藤さん 「いいえ、そういうわけではありません。OSSにもライセンスがあり、それぞれ使用条件が異なります。来週、OSPOで勉強会を開催するので、ぜひ参加してみてください」
解説:ライセンス違反を放置しないために
このエピソードは、企業におけるOSSの使用に関する問題を浮き彫りにしています。OSSのライセンスに関する理解が不十分な場合、無料でダウンロードできるからといって無条件で自由に使えると誤解しがちです。
ですが、実際にはOSSにもさまざまなライセンスが存在し、それぞれに特有の条件や制約があります。例えばGPL (GNU General Public License)では、ソフトウェアに変更を加えて実行ファイルを再配布した場合、変更を加えたソースコードも同じライセンスで公開する必要があります。また、Apache LicenseやMITライセンスといった、より緩やかとされるライセンスであっても、再配布時に元のライセンスのコピーを含めたり、表示したりするなどの条件があり、これらについても軽視することはできません。OSSを利用する際は、ライセンス条件を正確に理解し、順守することが重要です。OSSであっても著作権に基づいてライセンスが設定されているため、知らずに使用していると、ライセンス違反、つまりは著作権法違反のリスクが生じる可能性があります。
OSPOはこのような状況において、従業員1人1人がOSSを適切に利用できるように、教育やガイドラインを提供し、サポートする重要な役割を果たします。従業員自身がOSSへの理解を深めることで、組織全体としてライセンス違反のリスクを低減し、より安全に活用できるようになります。
具体的な例として、OSPOはライセンス関連で以下のような取り組みを実施します。
- 従業員に、OSSライセンスに関する教育やガイドラインを提供する
- OSS採用時の手続きの策定や、使用されているOSSの棚卸しを行い、使用しているOSSのライセンスを管理する
- 法務と連携して、OSSライセンス相談窓口を設置する
- OSSライセンスの順守状況を確認する
エピソード2 社員が使用しているOSSの脆弱性に確実な対応を行う
ある朝、田中さんは緊急レベルの脆弱(ぜいじゃく)性に関するニュースが世間を騒がせているのを知りました。社内で広く使用しているオープンソースのタスク管理システムに、重大な脆弱性が発見されたという内容でした。
慌てた田中さんは、すぐにOSPOの佐藤さんに連絡を取りました。
田中さん 「佐藤さん、使用中のOSSに脆弱性が見つかりました。どうすればいいでしょうか?」
佐藤さん 「まずは冷静に。以前田中さんから提出してもらい、OSPOで管理している使用OSSリストを確認し、影響範囲を特定し、セキュリティ対策チームにも連絡して対応を進めましょう」
田中さん 「分かりました。今後こういった問題が起きることを想定した場合、どのような対策が必要でしょうか?」
解説:OSSの脆弱性に組織として対応する
このエピソードは、企業におけるOSSの脆弱性管理の重要性を示しています。
OSSを含む全てのソフトウェアには、セキュリティ上の脆弱性が発見されるリスクがあります。OSPOは、この課題に対して「ソフトウェアの構成管理」「脆弱性検知」「パッチ適用管理」「部門間連携」「対応プロセスの策定」などの複数の観点からの役割を果たすことが期待されます。
まず、組織全体で使用されているOSSの一覧を維持管理し、脆弱性情報を常にモニタリングすることで、脆弱性が報告された際に影響を受ける可能性のあるシステムを迅速に特定できるようにします。脆弱性が発見された場合、OSPOは適切なパッチや更新版の入手を支援します。同時に、組織のセキュリティ対策チームと密接に連携し、脆弱性の影響評価や対応策の決定をサポートします。また、脆弱性が発見された際の対応プロセスを確立し、組織全体に周知することで、迅速かつ一貫した対応を実現します。
OSPOは、これらの活動を組織的に行い、OSSの安全な利用を支援する重要な役割を果たします。
具体的な例として、OSPOは以下のような取り組みを実施します。
- 使用しているOSSのリストを管理する。現在SBOM(Software Bill of Materials)に注目が集まっており、今後はこれを利用した、より効率的なソフトウェア構成管理が期待されている
- セキュリティアドバイザリーの購読や自動化されたツールの使用を通じて、脆弱性情報を常にモニタリングし、使用しているOSSのリストに基づいて各部門へ情報提供する仕組みを構築する
- 脆弱性が発見された際の対応プロセスを確立し、セキュリティ対策チームへの連携により組織全体で迅速かつ一貫した対応を可能にする
OSPO成熟度について
OSPOでは、下の図の通り成熟度ごとにステージで分類されており、今回のエピソードのようにOSSを管理し、OSSコンプライアンスを順守し、教育を行うことは、ステージ1として設定されています。
必ずしも全ての企業の全OSPOが最上位のステージに到達する必要があるわけではありませんが、ステージ0ではOSSコンプライアンスを守れておらず、構成管理もされていない状態で、必要最低限の考慮がされていません。ステージ1以上であることは必須になるでしょう。
なお、OSSを含むソフトウェアを開発・利用している企業のOSPOがさらに上位のステージを目指す場合には、例えば以下のような選択肢があります。
*社内で利用しているOSSのバグを見つけたら開発元のプロジェクトに報告し、可能であれば修正コードを提供することにより、そのOSSの品質維持・向上に働きかける
*社内で多く利用していたり重要なシステムに利用しているOSSが存在する場合、そのOSSプロジェクトのスポンサーになることにより、そのOSSが今後も継続的にメンテナンスされやすくなるよう働きかける
次回は、OSPOが果たすその他の役割について紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。