対談【トヨタ自動車×日立ソリューションズ】OSSの活用で新たなイノベーションを
当社のデジタルトレンドメディアで公開しているトヨタ自動車様との対談記事に対して、おかげさまで社内外から大変大きな反響をいただいております。ありがとうございます。
ご好評につきおかわり企画ということで、座談会で語られた内容から重要キーワードをピックアップして解説を書いてみました。対談記事の補助教材としてご活用ください。
OSSの歴史
| 1971年 | Unix誕生(AT&Tベル研究所) |
|---|---|
| 1984年 | リチャード・ストールマンがGNUプロジェクトをスタート、コピーレフトの概念を発案 |
| 1985年 | フリーソフトウェア財団(FSF)が設立 |
| 1991年 | リーナス・トーバルズによりLinuxの原型が作られ、発表 |
| 1995年 | Apacheプロジェクト開始 |
| 1997年 | エリック・レイモンドが論文「Cathedral and Bazaar(伽藍とバザール)」を発表 |
| 1998年 | ネットスケープ社により「オープンソースソフトウェア」という名称が使われる |
| 2000年 | The Linux Foundation の前身であるOSDL(Open Source Development Laboratory)設立 |
対談の中では「OSS関連の動きは1990年代に活発化していき、2000年前後から企業での活用が加速し(た)」と語られていますが、日本では、2008年に東京証券取引所がLinuxを本格採用したことを皮切りに、「性能は出るのか」「品質は大丈夫なのか」といったそれまでのOSSへの懸念が払しょくされ、大規模システムや基幹システムでもOSSが活用されるようになったそうです。
Automotive Grade Linux(AGL)
「自動車業界もOEMの垣根を超えたプラットフォームが登場してきた」というくだりで言及されたのが、AGLです。AGLは、コネクティッドカーで活用されているLinuxベースのオープンプラットフォームで、2012年にトヨタさんを中心に設立、その後日産さんなどの自動車メーカーをはじめ、サプライチェーンを構成する企業150社超が参加している大きなコミュニティです。
各社がそれぞれ個別に開発するのではなく、ベース部分は協力して開発することで負荷を分散し、共通化により浮いたリソースを各社独自のコア部分に集中させることができるという、まさにオープンイノベーションがおこなわれています。
OSSの利活用に伴うリスク
「OSSはFree(自由)、Free(無償)」と良く言われますが、その利活用にはリスクが伴います。コンサルの立場からは、リスクを理解し、きちんと対策して使いましょう、とお伝えしています。OSSの利活用に伴うリスクとして、代表的なものは下記のとおりです。
セキュリティリスク:2022年現在、OSSのリスクの筆頭として挙がるのがセキュリティリスクでしょう。OSSは、同じプログラムがさまざまな場所で使用されているため、攻撃方法を知る者にとっては、「ひとつのマスターキーで開け放題」の状況であり、スクラッチで開発されたシステムと比較して、攻撃においての「コスパが良い」。このためゼロデイ攻撃が発生しやすく、著名で多くの人が使っているOSSの脆弱性は、HeartBleedやLog4Shellのように、世界的に大きな影響を及ぼします。
コンプライアンスリスク(ライセンスリスク):OSSには「ライセンス」と呼ばれる利用条件があり、利用者にはそのライセンスを遵守して活用することが求められます。利用者は、ライセンスに従ってもらうことを前提に利用や使用、複製、改変などの行為を許諾しているので、ライセンスに違反した使い方をしている利用者にはそもそもそのOSSを使う権利がありません。このようなライセンス違反に関しては、ライセンサーからライセンシーに対して、OSS利用の差し止めや是正を求める訴訟を起こした事例もあります。
レピュテーションリスク:ライセンスは、著作者がそのOSSをこのように使ってもらいたいという意思表示です。ライセンスを守って使うことはそのOSSを開発して公開してくれたエンジニアへのリスペクトを示すことであり、ライセンス違反は、OSS業界では非常に嫌われます。「あの会社(人)はライセンスを守っていない」と言われたり、ライセンス違反で訴えられたりすることは、企業の評判に傷を付けることになります。
上記以外にも、EOLリスク(コミュニティのサポートが終了し、以降のバグフィックスや脆弱性対応を自ら実施しなければならなくなる状態)やパテントトロールリスク(ライセンスに違反しているとして企業が訴えられ、賠償金を要求された事件がありました)なども、主なリスクとして挙げられます。
SBOM(読み方:エスボム)
Software Bill of Materials(SBOM)とは、ソフトウェアを構成するコンポーネントの一覧であり、コンポーネントの名称やバージョン、依存関係など複数の要素を含みます。SBOMはそれ単体で何か大きな価値があるというものではありませんが、さまざまな情報とマッピングすることで、脆弱性監視やライセンス対応、EOLの管理など、リスク対策に活用できるため、現在注目されています。
SBOMについては本ブログ(SBOM:Software Bill Of Materialsとは?、ソフトウェアの透明性とSBOM)でも詳しく説明しています。
SPDX, SPDX-Lite(読み方:エスピーディーエックス、エスピーディーエックスライト)
Software Package Data Exchange(SPDX)とは、SBOMのフォーマットのひとつであり、The Linux FoundationのSPDXプロジェクトがその仕様を定義しています。
SPDXは、2021年にISO/IEC 5962として国際標準化されました。2022年2月現在の最新バージョンはv2.2.1ですが、米国NTIAから出されたSBOMの最小構成の定義や業界からの要求に対応していくため、コミュニティではすでにv2.3の検討、その先のv3.0の検討も進んでいます。
文字通りSPDXのライト版であるSPDX-Liteは、v2.2から追加されたプロファイルで、フルバージョンのSPDXの中から最低限必須な項目のみを抜き出したものです。フルバージョンのSPDXを作成するのはかなり大変なので、SPDX-Liteを活用する企業も多いようです。
OpenChain(読み方:オープンチェーン)
OpenChainは、The Linux Foundation傘下のプロジェクトで、各組織が組織内に確立すべきOSSコンプライアンスプログラムの要件をOpenChain仕様として定義し、その普及を推進しているコミュニティです。ワールドワイドのコミュニティですが、地域ごとのローカルワーキンググループが発足し、それぞれ活発な活動を行っています。
日本では2017年にトヨタさん、ソニーさん、日立が立ち上げたOpen Chain Japan WGがあり、2022年3月現在、80社・200名以上が参加しています。現在はオンライン開催ですが、2~3カ月に一度開催される全体会合のほか、7つのサブグループが精力的に活動しています。
OSS License Simple Viewer
OSS License Simple Viewerは、トヨタ自動車、日立製作所、日立ソリューションズが共同で開発したオープンソースのツールです。エンジニア向けのOSSライセンスリファレンスとして作成されたExcelベースのシンプルなツールで、ライセンス内容の理解を支援します。
ユーザーが選択した「ライセンス」と「ユースケース(使用方法)」に対して課せられるライセンスの責務(条件)を表示することができます。
座談会現地レポート
この座談会は、2021年6月、日立ソリューションズの名古屋オフィスで行われました。飛沫防止のパーティションがずらりと並べてあったため、写真を撮ってくださったカメラマンさんは大変ご苦労されたと思います。パーティション越しの写真はなんとなくソフトフォーカスがかかっていて、粗が目立たず、ありがたい限りです。
現地レポートということで、こぼれ話をひとつ。遠藤さんが着ているTシャツにご注目ください、OpenChainオリジナル(ロゴ入り)です。この日、遠藤さんはスーツ姿でご来社されたのですが、この座談会(写真)のためにわざわざ着替えてくださったのです。遠藤さんはお話自体も面白いのですが、このような「つかみ」も大変お上手で、いつも楽しみにしています。ちなみにこのTシャツ、いつぞやのノベルティで作ったものだそうで、私も欲しい欲しいと言い続け、遠藤さんのところにある在庫をいただく約束までしているのですが、まだいただけておりません・・・。
