オープンソース管理ソリューションの導入事例

APRESIA Systems株式会社様

導入の背景

OSSの管理は、各部署やプロジェクトによってバラバラ

ネットワーク事業本部 開発部 主管技師
石崎 洋 氏

さまざまな情報システム製品とソフトウェアを開発するAPRESIA Systems（当時は日立電線の事業部門）では、多種多様なOSSを使用していました。一方、OSSの管理については、各部署やプロジェクトによってバラバラ。リスト化している部署はあっても、ライセンスまでは管理できていませんでした。

「GPL（GNU General Public License）に関する訴訟など、IT業界内の話として聞いていましたので、自分たちが使っているOSSについては気を付けていました。ですが、社内の業務フローは従来のまま。ライセンス管理を強化するための対策を施さなくてはいけない。訴訟などのリスクから防衛し、コンプライアンスを強化しなければいけない。ただ、何をすればいいのかよくわからない。そう考えているところでした」（石崎 氏）

「ちょうどその頃、日立ソリューションズの営業の方から“こういうツールがあるのですが”と紹介していただいたのが、『Black Duck Protex』でした」（赤川 氏）

これをきっかけに、OSSの管理ツール導入への取り組みがスタートしました。

選定までの経緯

具体的な提案があり、知識やノウハウが豊富なエンジニアがいる日立ソリューションズを選定

ネットワーク事業本部 ソフトウェア開発第一グループ グループ長
赤川 智宏 氏

OSS管理ツール導入は、調達部門と開発部による調査と情報収集から着手しました。

「ネット上の情報だけでなく、展示会にも出向いたりして、いろいろと調べたのですが、あまり適したものがありませんでした」（安藤 氏）

「まったくないわけではないのですが、OSSやライセンスに関するデータベースがしっかりしている本格的なツールはありませんでした。ですから何を入れるかではなく、『Black Duck Protex』を入れるか入れないか、そういう選択での検討になり導入を決定しました」（石崎 氏）

「Black Duck Protex」のベンダとしては、複数ある販売代理店の中から日立ソリューションズを選定。

「一番初めにツールを紹介していただいた企業であること。そして、ソリューションの紹介から、ベンダとしてのコンサルティングサービスなどを説明していただき、その後、スケジュールまで入った資料でプレゼンテーションを受けました。こうした中で、具体的な提案があり、知識やノウハウが豊富なエンジニアがいることもわかりましたし、一緒に取り組んでいけば間違いないと思ったのが、日立ソリューションズを選んだ理由です。
また、導入が決まってからは、説明会と勉強会を開いていただくなど、手厚くサポートしていただきました」（赤川 氏）

「当社では、いろいろなツールを導入してきましたが、あまり使われないケースもあります。みんな普段の開発業務をこなしながらですから、新しいツール使うこと自体、手間がかかりますし、特に最初の使いはじめは大変です。その点、日立ソリューションズは、提案の中でいろいろとお手伝いいただける、必要であれば運用代行まで行えるという話でしたので、安心してお任せできると考えたわけです」（石崎 氏）

導入時の取り組み

導入後、日立ソリューションズへ運用代行も依頼

ネットワーク事業本部 ソフトウェア開発第二グループ 主任
上川 武人 氏

「Black Duck Protex」は、APRESIA Systemsのイーサネットスイッチ製品APRESIAシリーズのOSを対象に適用することになりました。

「導入は、サーバスペックの問題で、多少の苦労がありました。ですが、日立ソリューションズのエンジニアの方に、高速化のための対処、データベースの移行などで相談に乗っていただき、また開発元であるBlack Duck社にも問い合わせて回答を引き出していただいて、かなり助かりました」（安藤 氏）

APRESIA Systemsでは、導入後に、日立ソリューションズへ運用代行も依頼。

「当初は私が『Black Duck Protex』を使って解析を行い運用していたのですが、徐々に日々の業務が忙しくなってきて、時間を割けなくなってきました。
また、より正確で信頼性の高い報告書を作成するために、OSSのライセンスに関する問題や、ライセンスが不明なOSSの分類などを、適切に扱って処理する必要があり、そのための時間も足りない。そういったことも、運用代行をお願いする背景にありました」（安藤 氏）

導入の効果

コンプライアンス違反につながるような訴訟などの懸念を払拭

ネットワーク事業本部 ソフトウェア開発第一グループ
安藤 裕太 氏

「Black Duck Protex」と、日立ソリューションズの運用代行による導入効果は、以下の通り。

●膨大なソースコードのライセンスチェックを実現。

●知らないうちにライセンス違反に陥るリスクを低減。
　1. オープンソースの意図せぬ混入を防止。
　2. 人の判断ではほぼ不可能なOSSの類似コードを検出。

「特にコンプライアンス違反につながるような訴訟などの懸念が払拭されたことが、一番大きな効果だと思います」（上川 氏）

「これまでは、オープンソースをまとめて持ってくるときに、基本的にはそのオープンソースの代表的なライセンスしか気にしていなかったのですが、チェックをかけるといろいろなライセンスが混在していることがわかります。これにも、十分に注意しなければいけません」（石崎 氏）

「具体的にあったのが、書籍掲載のソースコードのケースです。ある書籍に掲載されたソースコードを流用して、プログラミングを進めていたのですが、この一部について、『Black Duck Protex』の検証で、GPLにマッチすることがわかりました。そこで、日立ソリューションズの運用代行に相談しました。GPLに適合する場合、ライセンス条項と出典元の記載が必要になるなど、いろいろと教えていただきながら、書籍の出版社へ問い合わせて確認し、適切に対処することができました」（上川 氏）

「おかげで、ソースコードのライセンスに対する理解が、より深まり、意識も高まったと思います。
また、日立ソリューションズの運用代行については、お願いしたことだけではなく、いろいろ提案いただいたことも多かったですね。我々のノウハウがない部分でも、一緒に作り上げていくことができる、そんな企業だと実感しました」（石崎 氏）

今後の展望

脆弱性の管理、レコメンドシステムとの連携によるシステム化などを提案

今後の「Black Duck Protex」については、様々な活用の拡大を計画。

「OSSのライセンスチェックを手間をかけずに行えるようになれば、次はチェック実施の頻度を上げられるようになります。現在は、バージョンアップを節目としてチェックしていますが、もっと早く細かく実施できれば、想定外のライセンス混入などがあっても、より早い段階で手を打つことができます。
日立ソリューションズから、工数削減や活用範囲の拡大にもつなげられるという話も出ていますので、ぜひ、役立てていきたいですね」（石崎 氏）

また、日立ソリューションズでは、Black Duck Hubの適用による脆弱性の管理、レコメンドシステムとの連携によるシステム化、さらにはSEPG（Software Engineering Process Group）コンサルティング支援業務としての活用拡大、機能強化などの提案を用意。

「そういった点を含めると、開発手法の統一化などのプロセス改善も必要になってくると思いますので、日立ソリューションズにアドバイスいただきながら効率的に進めていければと考えています」（上川 氏）

「『Black Duck Protex』は、数多あるOSSのライセンスをデータベースにまとめるだけでも、他にはないツールです。それだけに、日立ソリューションズの知識レベルの高さ、柔軟な対応には、とても助かっています。今後も、お願いしていきたいと思っています」（安藤 氏）

「私たちが思いつかないようなアイデアで、これからも私たちを補っていただけるよう期待しています」（赤川 氏）

「レコメンドシステムとの連携もありますので、単なる業務の発注ではなく、協業というカタチにしていければと思っています。一緒に作っていきたいですね。ぜひ、今後ともよろしくお願いします」（石崎 氏）