[戦うソフトウェア資産管理、無駄な資産を一刀両断！]

2017年5月11日(木)Courtney Squires（米フレクセラ・ソフトウエア リージョナル・セールス＆アライアンス・ダイレクター）

リスト

　2016年末、米オラクルがJavaを無料で使用している顧客に対し監査を開始し，使用料を請求し始めたというニュースが報じられ、多くの利用企業が身じろぎました。確かにオラクルはソフトウェアの利用状況を監査していますが、このニュースに限っては、オラクルがJavaに対する方針を変更したということではなく、Javaのライセンス形態に起因した利用企業の誤認が混乱の発端のようです。

　Java は、Java 言語で作成されたアプリケーションを実行するためのプログラミング言語でありプラットフォームです。オラクルの Web サイトからダウンロードできる「Java Standard Edition」は、多くのユーザーが「無料」との認識のもと利用しているはずです。確かに、Java アプリケーションを作成するだけなら「無料」です。

　しかし、そのアプリケーションを何百ものWindows 環境にインストールするための「Enterprise JRE インストーラ」は無料では使えません。他にも、無料で使用できない Java の要素やエディションがあります。ここを認識せずに有料の要素などを利用していた企業が「急に使用料を請求された」と勘違いしたのでしょう。

オープンソースソフトウェアは管理されていない!?

　ただし、オープンソースを巡る問題は、Javaに限ったことではありません。収益性が高いソフトウェア製品を市場から回収せざるを得なくなったソフトウェアベンダーは少なくありませんし、オープンソースの暗号ライブラリー「OpenSSL」に存在したバグ「HeartBleed（ハートブリード）」のように、何百万人ものユーザーを危険な状態にさらしたソフトウェアの脆弱性の存在はあまりにも有名です。

　その原因は、オープンソース・ライセンスに違反している商用ソフトウェア製品に組み込まれている管理されていないオープンソースのコンポーネントか、誰も把握していないソフトウェアの脆弱性に他なりません。管理されていないオープンソースのセキュリティとコンプライアンスのリスクが蔓延しつつあり、ソフトウェアのサプライチェーンにおける完全性を脅かしているのです（図1）。

図1：管理されていないオープンソースのセキュリティリスクがソフトウェアの完全性を脅かす
拡大画像表示

　現在、ほとんどの商用ソフトウェアパッケージに含まれるコードの50％はOSSです。多くのソフトウェアエンジニアが、作業を迅速化するためにOSSコンポーネントを使用しています。彼らは常に、厳しいスケジュールでソフトウェアを開発しリリースしなければならないという強いプレッシャーにさらされているからです。ところが、使用する内容を管理したり、コードを使用するための法的義務を理解したり、ソフトウェアの脆弱性リスクを把握したりしているソフトウェアエンジニアは、ほとんどいないのが実状です。深刻な視認性の高い問題を引き起こすまで、無視されることがほとんどです。

　さらに悪いことに、多くのソフトウェア企業のリーダーは、このような状況が発生していることさえ認識していません。彼らがソフトウェアエンジニアになるために勉強していたころは、今ほどオープンソースを利用することはありませんでした。より上級の管理職も、OSS を使用する場合のライセンスのコンプライアンス要件およびセキュリティ要件を認識しておらず、OSSの管理が必要不可欠であるとは考えていません。これはOSSを使って自社アプリケーションを開発している一般企業でも同じです。

使用しているOSSのリストが作れない

　多くの企業が、OSS に大きく依存しているにもかかわらず、OSS やサードパーティー製のコンポーネントの使用を適切に追跡・監視をしていません。そもそも、ソフトウェアの部品表（BOM）、あるいは自社が使用しているOSSのリストの作成すら困難です。できるだけ多くの情報提供が期待されるM&A（企業の統合・買収）においても、たった1つのオープンソース・プロジェクトさえ開示できないのです。リストを保有していたとしても、それは正確なリストのほんの一部にすぎません。ある調査によれば、多くの場合、正確なリストの量は現在開示されているリストの20 倍にもなります。