ベリサーブが指摘する、国内OSS活用現場の課題
「OSSに限らず、脆弱性などのリスクに対してはシステムの構成を把握して対応するということが大切です。Heartbleedの時に、全体の構成を把握することの大切さと、実際に行うことの難しさ、いざ問題が起こった時の大変さは誰もが経験しました。だから、私たちはBlack Duck OSS Logisticsをお客様にお勧めするのです」と語るのは、ベリサーブ 東日本第三事業部 OSS SOL/ソースコード検証ビジネスユニット テクニカルアカウントマネージャーである銭本崇氏だ。
ベリサーブ 東日本第三事業部 OSS SOL/ソースコード検証ビジネスユニット テクニカルアカウントマネージャー
銭本崇氏
第三者検証サービスを提供する中で多くのSIerと関わるベリサーブでは、日本のOSS活用現場での課題をいくつか挙げた。要件に合ったOSSを知らないことでOSS活用の妨げになっているケースがあることや、普段はライブラリとしてOSSを活用しているもののソースコードを読めるレベルで精通している人材が少ないことに対応する体制などとともに挙げられたのが、各社のサービスレベルの違いだ。
「日本にもいろいろなプレイヤーがいて、適切な構成管理を行い、OSSライセンスのコンプライアンスおよびセキュリティに関して対応できている会社もあれば、若干緩いところもあります。業界ごとの違いもあるように感じられます。SIerがきちんとした構成管理表を作成しても、ユーザー企業側でそれを読み取れるとは限りませんし、やはりBlack Duck OSS Logisticsのような自動管理ソリューションは必要でしょう」(銭本氏)
問題が起こるまでは、きちんと管理できているはずだという前提でシステムは利用されていた。しかし実際に問題がおこれば、手動管理では漏れがあること、現実の対応が非常に難しいことがHeartbleed騒動で露見したわけだ。確実な管理と対応のために、専用のソリューションは絶対必要だといえる。
OSS活用を考える時に必須となるサービス
「Black Duck OSS Logistics」がどのようなサービスなのかといえば、OSSの選択からスキャン、承認、カタログ化、セキュアな出荷までをE2Eでサポートする、世界唯一のソフトウェアだ。探しているコンポーネントの名前やバージョンを打ち込めば、瞬時にその存在の有無と所在がわかる。
OSSの適切な自動管理を実現する「Black Duck OSS Logistics」
※クリックすると拡大画像が見られます
「訴訟リスクに備えた管理という考え方もありますが、クローズドな環境で利用するシステムであってもきちんと管理すべきです。しっかりとOSSを管理することで、より適切なOSS活用と、それによる開発のスピードアップが可能になります」と金氏。
「Black Duck OSS Logistics」を導入すれば問題が発生した時に対応すべきポイントを即座に絞り込めるのはもちろん、システムの内容をきちんと把握することにも役立つ。これによって、日本では立ち後れているOSSの再利用なども加速できるはずだ。
<インフォメーション>
世界的にビジネスを展開しているブラック・ダックでは、海外の金融系でどのようにOSSが活用されており、どういった課題があるのかをまとめたホワイトペーパーを作成している。今回用意したのは、アメリカ4大銀行や世界有数の投資銀行、イギリスを代表する金融グループで実際に見られた事例についてまとめた、貴重なレポートだ。ここからは、OSSを採用するにあたって事前に考えておくべきこと、すでにOSSを活用している中で見直すべき部分などがよくわかる。
また、OSSを活用していながら十分な対策がとれていないのではないかと感じる企業は、ブラック・ダックが提供する無償のリスク分析「Open Source Risk Profile」を利用するのも有効だ。こちらは、採用しているOSSのライセンスやバージョン、セキュリティについてのリスクレベルをリストから解析してくれるというものである。詳細は下記より確認できる。
 OSS管理を最適化し、金融サービスにおける運用リスクレベルを最小化するために |
