OPINION:オープンソースソフトウェアに対する世界規模の飽くなき欲求

Black Duck Software(以下、Black Duck)は、コミュニティや関連組織団体と連携して、「責任あるオープンソースとはどういうものであるのか」を理解しようとしています。そのプロセスの一環として、私たちはオープンソースコミュニティとの関係のあり方を考えています。なぜなら、開発コミュニティの現在を理解するためにも、より良いコードの構築方法を伝えるためにも、オープンソースコミュニティが重要な役割を果たしているからです。

Black Duckのオープンソースリサーチ&イノベーションセンター(COSRI)は今年、「オープンソースセキュリティ&リスク分析レポート」(OSSRA)をリリースしました。このレポートは、Black Duck オンデマンド監査チームが行った1,000以上の顧客を対象とした調査で得られたデータが基になっています。その結果を踏まえて、私たちは「オープンソース360°調査」の結果を公表しました。

オープンソース360°調査では、オープンソースソリューションの提供者や担当者、利用者を対象としています。この調査の目的は、オープンソースソフトウェアの開発が盛んで重要なエリアと、オープンソースが成長を続ける際のリスクと課題を明らかにすることでした。

今回の調査では、全世界で800以上の回答が得られました。回答者の業種は、金融サービス業界やメーカー、リテール業界、テクノロジー企業まで多岐にわたっています。オープンソースの急速な普及を遂げた2016年以降も、回答者の60%近くがオープンソースコードを使うことが多くなったと答えています。回答者がオープンソースの使用を決めた2つの大きな理由は「ベンダーロックインがないこと」「カスタマイズが可能なこと」だと思われます。

オープンソースの開発は、現在の組織の標準的な活動となっています。その主な理由は、開発スピードを高めながら、ソフトウェアの金銭的な負担を軽減できるところにあります。金銭的な負担の軽減は、提携先と協力して負うべき責任に相殺されるものであり、適切な対策を取らなければ、セキュリティとコンプライスの両面でのリスクが増大します。

オープンソースコンポーネントを使いながらリスクを軽減する

私は「誰もが『フリーソフトがリスクフリーだ』という意味ではないことは分かっている」とよく言うのですが、これが当てはまらない場合もあります。今年、講演したどのイベントでも「オープンソースコンポーネントが自社の環境に含まれていることを知らなかった」と告白する出席者が、少なくとも1人はいました。この発言をセキュリティの観点で言い換えると、どのイベントでも「少なくとも1人の出席者が、自社のシステム環境内に攻撃対象領域があることを正しく認識していなかった」ということになります。

私たちの調査では、オープンソースの脆弱性に危機感を抱いている回答者は「侵入されるリスクが、内部のアプリケーション(回答率64%)と外部のアプリケーション(71%)の両方にある」と答えています。ツールを使ってオープンソースのスキャンを行っている回答者は50%ほどで、回答者の38%がオープンソースのコードを全く検証していませんでした。

OSSRAレポートと併せて見ると、オープンソースコンポーネントを利用している組織の多くはオープンソースソフトウェアの恩恵を受けながら、リスクを緩和できる大きなチャンスがあることが分かります。リスクの軽減で重要なのは、自動化ツールを使ってコードベースの中のオープンソースをはっきりと識別することです。残念ながら、調査の回答者たちにはこの方法はあまり浸透していませんでした。

プロジェクトの積極的な参加者になる

多くのオープンソースプロジェクトでは、バグ修正によってコミュニティをサポートすることが、プロジェクトを活性化させ、結果的に成功させるための重要な要素となっています。ライセンス料金と引き換えにサポート契約が締結されている商業ソフトウェアとは違い、オープンソースプロジェクトが成功するかどうかは、コミュニティのアクティビティレベルによって決まります。多くの組織は、オープンソースプロジェクトへの参加奨励や自らのビジネスの展開に影響するオープンソースプロジェクトを後援することで、プロジェクトが継続的に成功し、関連リスクを軽減するように手助けしています。回答者たちは、なぜオープンソースプロジェクトに参加するのでしょうか? 以下は、上位4つの理由です。

(1)バグの修正または機能の追加
(2)開発およびサポートのコスト削減
(3)製品デリバリー戦略の基盤
(4)競争優位性の獲得

オープンソースは、多くの回答者にとって製品デリバリー戦略の基盤となるものであり、オープンソースコミュニティへの参加は、これまで以上に重要となっています。

ライセンス義務を理解する

全てのソフトウェアは、何らかの形式のライセンスの対象となっています。ライセンスには、付与される権利が明らかにされている他、ユーザーに守ってほしい義務が記されています。オープンソースソフトウェアも違いはありませんが、開発者は「ライセンスタイプの選択(selection of license type)」の中から、自分に適切なライセンスのタイプを選ぶことができます。また、それぞれのタイプには一連の義務が付随しています。これらの義務は、ソフトウェアがサードパーティーに出荷またはデリバリーされるときに移譲されます。義務を遂行するためには、その内容を理解しなければなりません。私たちの調査では、66%の回答者が「知的財産の損失、あるいはその他のライセンス上のリスク」について懸念を抱いています。

また、回答者の39%が「受け入れ可能なオープンソースライセンスのホワイトリストを使用している」と答えています。一方で、「オープンソースのライセンスやセキュリティ、バージョンについての情報への内部アクセスを可能にしている」という回答は、全体の37%に過ぎませんでした。ライセンス利用についての企業ガバナンスを確立するのがベストプラクティスではあるのですが、ポリシーに従うためには「どのライセンスが、どのコンポーネントによって使用されているのか」を正確に把握する必要があります。使用中のオープンソースをリストアップし、「ソフトウェア開発ライフサイクル」(SDLC)の様々なポイントにおいてポリシー違反、セキュリティリスクが識別可能な自動化されたソリューションを持つ」という回答者はわずか29%で、「自動制御でポリシーを厳密に適用させている」と答えた回答者は15%しかありませんでした。

私たちは、今後も全ての業界、あらゆる規模の企業においてオープンソースの利用が爆発的に増えることを目にするでしょう。ほとんどの組織でオープンソースが使われているのは、開発コストの削減が可能になり、アプリケーションをより早く市場投入でき、イノベーションを起こせるという理由があるからです。今回の調査では、使用しているソフトウェアの構成をよりよく理解し、コンプライアンスセキュリティリスクの意識を高めることが、組織にとっていかに大切であるのかが分かりました。

オープンソース360°の全ての調査結果は、Black DuckのWebサイトに詳しく掲載されています。私の「調査結果についてのCOSRIウェビナーディスカッション」(2017年6月22日配信)をご覧いただき、質問をお寄せください。Black DuckのCOSRIが実施した、今年のオープンソース360°調査は、Black DuckとNorth Bridgeが共同して長年にわたって提供してきた「Future of Open Source Survey (オープンソースの未来についての調査)」の後継となるものです。