[戦うソフトウェア資産管理、無駄な資産を一刀両断！]

2017年5月11日(木)Courtney Squires（米フレクセラ・ソフトウエア リージョナル・セールス＆アライアンス・ダイレクター）

リスト

　ほとんどすべてのOSSコンポーネントはライセンスで管理されており、そのコンポーネントを含む製品を配布する場合、企業が従わなければならない義務があります。通常はライセンスの内容や著作権に関する記述ですが、場合によってはコンポーネントや完全な製品のソースコードの引き渡しなども含まれます。にもかわらず、ほとんどがオープンソース・ライセンスで必要とされるコンテンツを開示していません。このプロセスは、ハッキングやM＆A、コンプライアンス上のリクエスト、外部からのOSS 開示要求といったイベントが発生しない限り開始されません。

　OSSの使用状況を管理していない場合に発生する問題の1つは、ライセンス・コンプライアンスの義務が履行されないことです。どのOSSコンポーネントとサードパーティー製コンポーネントを使用しているのかを把握しない限り、ライセンス要件は満たせません。これらのソフトウェアコンポーネントで検出される現在、あるいは将来のセキュリティ脆弱性が管理されず、対処できない可能性もあります。結果として脆弱性の危険にさらされてしまいます。OSS コンポーネントでは、最初のリリース後に新たな脆弱性が見つかることが非常によくあります。このような脆弱性は、攻撃者につけこまれるまでソフトウェアに潜んでいることになります。

OSSの管理プログラムの第1歩は教育から

　OSSを管理するための最初の要素は教育です。OSS ライセンス・コンプライアンス管理の基本を、開発者レベルだけでなく、組織のあらゆるレベルに教える必要があります。上級管理職は、ライセンス・コンプライアンス要件だけでなく、脆弱なOSSコンポーネントを修復するために、定期的にソフトウェアを更新する必要性を認識しなければなりません。

　多くの企業では、様々な分野からの専門家で構成する小規模のチーム「オープンソース・レビューボード（OSRB）」を形成しています。チームメンバーは主に、技術、法務、IT、および管理です。OSRBは、ポリシーの設定、ライセンス・コンプライアンスとセキュリティ・イベントへの対応、OSSに関連するトレーニングと知識の提供をサポートします。企業の成熟度や規模に応じて、柔軟に、あるいは、より厳密に構成できます。

　OSRBが作成したポリシーは、開発チームが実装します。使用しているすべてのオープンソース・ライセンスを遵守するとともに、脆弱なコンポーネントを検出し、必要に応じて更新プログラムをリリースするプロセスを作成します。ソフトウェア構成分析ツールは、使用されている OSS およびサードパーティー製コンテンツの検出と管理に役立ちます。脆弱性の警告プロセスの自動化にも有効です。

　企業がポリシーを策定し、従業員を教育し、ソフトウェア構成分析管理ソリューションを展開すれば、OSS ライセンス・コンプライアンスと脆弱性管理によるメリットを得られます。ソフトウェア・リリースごとに BOM を作成し、必要なライセンス義務を遵守し、脆弱性が検出された場合は製品に更新プログラムを加えるなどです。これらのプロセスを設定し、OSS のベストプラクティスに従えば、企業はOSSコミュニティーの期待を確実に満たし、OSS 関連の脆弱性にさらされるリスクを減らせます。OSSは無料ですが、ライセンス・コンプライアンスを遵守する義務がないわけではないのです。

著者プロフィール

Courtney Squires

Courtney Squires（スクワィヤーズ・コートニー）
米フレクセラ リージョナル・セールス＆アライアンス・ダイレクター「日本と韓国」。1977 年オーストラリア生まれ。2000 年豪Adelaide 大学卒業と同時に豪Deakin 大学の国際関係学科に入学。国際政治と貿易を専攻し、国家間の政治的関係がビジネスにどのような影響を与えるかなど「国際ビジネス」に興味を持つ。2007年Master of International Relations 終了。2004年～2012年は日本の自動車メーカーを中心に、日本と豪州企業にて営業推進を担当し、マーケティングプロセスや海外調達、M&A、新規事業などを経験。