昨今、様々なシーンにおいて利活用が進むオープンソース・ソフトウェア(OSS)。日進月歩どころか、もっと短いスパンで移り変わるソフトウェア業界の動き、市場のニーズに対応し製品を市場投入するべく、ソフトウェアエンジニアは“すぐに使用できるオープンソース”を利用することは何も珍しいことではない。しかし、利便性に優れたOSSもぞんざいな利活用を行うと、自らを窮地に追いやる事態を招くかも知れない。
都内で記者向け説明会を行ったフレクセラ・ソフトウェア(Flexera Software)によれば、多数の企業はOSSの利活用を進める一方、OSSを利活用する際のライセンスや使用に関するポリシーを策定していない企業も多いという。フレクセラは、400社以上の商用ソフトウェア・サプライヤー及び企業の社内ソフトウェア開発チームを対象として独自に調査を行った結果、OSSの調達と使用に関する公式ポリシーを「策定している」と回答したのはわずか37%にとどまり、なんと43%は「策定していない」との結果だった。また、残りの19%に至っては「わからない」という回答だ。この調査は主に米国企業を対象として行われたとのことなので、その数値をそっくり日本国内へ当てはめるのはいささか乱暴かもしれないが、傾向としては概ね似た結果になるのではないだろうか。
2014年に発覚したオープンソース・暗号ライブラリ「OpenSSL」の脆弱性による被害は、「Heartbleed」の名称とともに読者の皆さまであれば記憶に新しいのではないだろうか。また同様に、オープンソース・Webアプリケーションフレームワークの「Apache Struts2」に潜んでいた脆弱性を突いた事件も、その被害の大きさや影響範囲の広さと合わせ印象に残っている方も多いことだろう。これらに共通するのは、ともにオープンソースであること。「問題が生じた場合、その責任の所在はどこなのか?」という課題が生じてしまう。
しかも、調査の結果39%が驚くことにOSSのコンプライアンスを管理する担当者が社内に存在していない、誰が管理しているのかさえわからないという事態に。そうなってしまうと、事態の収拾も遅々として進まず適切な対応も行えない。また、OSSの利活用に関しては単に脆弱性の問題だけではなく、その使用に関するライセンスにも気を配らねばならない。ライセンス条項に違反し多額の罰金や訴訟費用を追わねばならないというリスクも潜んでいる。
そういった状況を踏まえ、フレクセラではOSSのリスクを再確認し、リスク管理を行うよう提唱している。まず挙げたのは、OSSのライセンス管理とコンプライアンス管理の基本を組織のあらゆるレベルの従業員に対する教育だ。また、OSSに対するポリシー策定や利活用したOSSを追跡できるような仕組みを担うオープンソース・レビューボード(OSRB)の設置も肝要だという。
そして、ソフトウェア構成分析ツール等を用いて実作業者が手を煩わせることなくOSSの検出・管理が行える仕組み作り、加えて、過去の資産はもちろんこれから世に送り出す製品で利活用しているOSSの追跡・レポーティングが行える環境作り等が重要であるとしている。
問題によっては企業活動に甚大な影響を与えかねないにも関わらず、OSSに関するポリシーやオープンソース・レビューボード(OSRB)のような適切なチームを組織していない企業は思いの外多い。フレクセラによれば、ソースコードの大半がOSSやサードパーティで作られたものも見受けられるという。「うちは全て自社で開発しています」と明言していても、解析の結果実際はOSSをバンバン利用していたという想定外の事態も起こりうるわけだ。
先にも述べたが、現在のソフトウェア開発においてOSSは切っても切り離せない存在だ。正しくOSSを理解し、OSSの扱い・責任者を明確化し、万一問題が生じたとしても瞬時に対応できるような体制を準備しておく必要をもう一度、再確認し行動に移して欲しいとのことだ。甚大な影響が顕在化してしまってからでは手遅れとなる。