企業がこうした行動に出ているのは、なぜなのだろうか。今回の調査で、以下のことが明らかになった。
- 55%の企業は、オープンソースとプロプライエタリなソリューションを比べた場合、前者の方がセキュリティが強固だと考えている。オープンソースの方がセキュリティが優れていると考える企業の割合は、今後2~3年のうちに61%まで増える見通しだ。
- 企業の58%はオープンソースの方が拡張性に優れていると考え、43%はOSSの方がプロプライエタリなソフトウェアより展開しやすいと答えた。
- 45%の企業は、組織内で使用するセキュリティテクノロジを評価する際、最初に検討されるのはオープンソースの選択肢だと述べた。
回答者の企業は今後の見通しについて、クラウドコンピューティング(39%)やビッグデータ(35%)、OS(33%)、モノのインターネット(Internet of Things:IoT)(31%)が今後2~3年のうちにOSSの影響を受けるだろう、と予想した。
筆者は、これらの数字は少ないという印象を受ける。例えば、MicrosoftとVMwareの製品群を除けば、クラウドのほかの多くのものはOSSだ。実は、Microsoftは「Microsoft Azure」クラウドで「Docker」をサポートしてオープンソースを受け入れ、VMwareも独自の「OpenStack」クラウドを提供している。クラウドはOSSになるだろう。そして、筆者の知る限り、重要なOSSのビッグデータプログラムは1つもない。
OSSが勝利を収め、プロプライエタリソフトウェアは死んだ、と興奮して主張する前に、企業がOSSに関する正式な管理ポリシーを未だに策定してないことを考慮する必要がある。今回の調査では、以下のことも明らかになった。
- 55%以上の企業は、自社にオープンソースの使用に関する正式なポリシーや手続きはないと述べた。さらに、従業員によるOSSプロジェクトへの貢献に関する正式なポリシーがあると答えた企業は、わずか27%だった。
- 自動化されたコード承認プロセスがあると答えた企業はわずか16%で、組織内のオープンソースコンポーネントを一覧にしているのは42%以下だ。
- 50%以上の企業は、オープンソースコンポーネントの既知のセキュリティ脆弱性を把握する自らの能力に満足していない。セキュリティ脆弱性を検知するためにオープンソースコードの監視を計画しているのは、わずか17%だ。
これらはすべて懸念すべきことだが、筆者が特に危惧しているのは最後の項目だ。企業は、OSSにセキュリティ上の問題はないと信じさえすれば大丈夫だ、という夢想にふけっているようだ。OpenSSLの「Heartbleed」脆弱性というセキュリティの失敗を招いたのは、そうした信じ込みである。
確かに、OSSが企業のお気に入りのソフトウェアになろうとしているのは、素晴らしいことだ。筆者は何十年も前にオープンソースソフトウェア開発モデルに価値を見いだしていたが、企業がようやくそれに気づいてくれたのは嬉しいことである。ただし、OSSもほかのあらゆるツールと同じだ。正しく使わなければ、最後には自分が痛い目に合うことになる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。