OpenChainはThe Linux Foundationの公式プロジェクトで、組織がオープンソースソフトウェア(OSS)を適切に管理するためのコンプライアンス要件(現在のISO/IEC 5230)を定義し、サプライチェーン全体の信頼性向上を目指すものです。
日本ではOpenChain Japan WGが活発に活動しており、定期的な会合を通じて、企業間のノウハウ共有を行っています。誰でも参加可能なコミュニティとして、実務的なOSS管理の体制構築を支援しています。
OSSはソースコードが公開され自由に利用可能ですが、使用条件であるライセンスの遵守が必須です。ライセンス違反は法的紛争や信用の失墜を招く可能性があるため、企業はOSPO(オープンソース・プログラム・オフィス)を設置し、OSS戦略やガバナンスを統括する必要があります。
この管理実務において決定的な役割を果たすのがSBOM(Software Bill of Materials、ソフトウェア部品表)です。SBOMは製品やサービスに含まれるOSSコンポーネントのリストであり、ライセンス情報の把握やセキュリティ脆弱性が発見された際の迅速な影響範囲特定に利用することができます。企業がOSSの恩恵を安全に受けるためには、OSPOが中心となりSBOM活用し、ライセンスやセキュリティのリスクを継続的に管理する体制が不可欠となります。
OSPOと日本のコミュニティ活動活性化について
遠藤 雅人さんのセッションでは、OSS利用の拡大やそれが企業にもたらす重要性、また一方Log4j問題などのOSS管理の難しさについて話がありました。
トヨタOSPOの設立(2024年1月)、日本企業でのOSPO設置の広がりをはじめ、様々な取り組み(eBPF Japan、Automotive Grade Linux、Rustへの取り組み)が紹介されました。欧米での大学や政府によるOSPO設置の動きや、オープンソース人材の育成、日本発のグローバルエコシステム育成の重要性についても話がありました。
OSPOの起源は2004年にGoogleが立ち上げた組織だと言われているという話も、非常に興味深かったです。
https://drive.google.com/file/d/1S9Z-Ups-w17xVXR8oOGacPZdANFj-YJi/view
Building Trust in the Supply Chain
続いて、渡邊 歩さんのセッション。
このセッションでは、サプライチェーンにおける信頼関係を構築するコンプライアンスの重要性について話がありました。
そのためにOpenChain仕様ができ、それは企業が組織内に確立すべきコンプライアンスプログラム(仕組み・体制等)の要件を定義するというものです。
OpenChain仕様が、ISO/IEC 5230:2020として国際標準化されたという話もありました。
※具体的には、OpenChain仕様バージョン2.1の内容がそのまま、ISO/IEC 5230:2020となっている。
SBOMを活用してサプライチェーンにおけるライセンス違反を発生させないためのアプローチについても話がありました。
「 大事なのはわかったけどどうやって始めれば、、、」という企業向けにも、OpenChain Japanメンバーが執筆した "解決!OSSコンプライアンス"というコンテンツが役に立ちそうです。
https://drive.google.com/file/d/1XLYTLoqRMVQwKqR3LiPkpjiQqWUb79DH/view
おわりに
イベントの中ではOSPO・OpenChainに関する内容以外にも、クラウドネイティブ・FinOps・LF Decentralized Trust(ブロックチェーン/Web3)・オートモーティブ・セキュリティに関するセッションとパネルディスカッションが行われました。
そこで感じたのは、各技術分野が併せて利用される環境において セキュリティを確保する、ビジネス観点ではコストを有効活用するために、相互の連携が特に重要であると感じました。
MeetupやWGの活動も活発に行われているとのことなので、また参加してみようかなと思います。
直近だと 12/11(木-12(金)にOpen Compliance Summit 2025も開催されるので、記事を読んで気になった方は参加されてみてはいかがでしょうか。
https://events.linuxfoundation.org/open-compliance-summit/
