【NEC×富士通×日立ソリューションズ】今こそ知りたい! SBOM(ソフトウェア構成表)の勘所 セミナーレポート(1/2)
イベント概要
あらゆる産業において欠かすことのできない存在となっている「オープンソース・ソフトウェア(OSS)」。無償で利用でき、プログラムのソースコードが公開されていることが特徴で、オペレーティングシステムであるLinuxやデータベース管理システムのMySQL、プログラミング言語のJava、Perl、PHP、Pythonなどが知られています。企業のOSSマネジメントの重要度が増す中で、株式会社日立ソリューションズはOSS管理を支援するソリューションを提供しており、2021年12月にOSSマネジメントフォーラム2021を開催しました。本記事では、当該イベント内で行われた「今こそ知りたい! SBOM(ソフトウェア構成表)の勘所」と題したパネルディスカッションの模様をお届けします。昨今ソフトウェア業界で注目されるSBOMとは何か、またSBOMの具体的な活用などについて各社の事例が語られました。
パネリスト
-
米嶋 大志 氏
日本電気株式会社
-
北村 充宏 氏
富士通株式会社
-
渡邊 歩(モデレーター)
株式会社日立ソリューションズ
セミナー内容
NECにおけるOSS活用推進部門の役割
渡邊歩(以下、渡邊):それではOSSマネジメントフォーラム2021 Day3ということで、パネルディスカッションを始めてまいります。最初のパネルディスカッションのテーマはパネリストの自己紹介も兼ねて、それぞれの会社さんのOSSの活用推進についてお話しいただきたいと思っております。
ではまずNEC米嶋さんから、NECさんのOSS活用推進についてと、ご自身の自己紹介をお話しいただけますでしょうか。
米嶋大志氏(以下、米嶋):はい、よろしくお願いします。NECのOSS推進センターに所属しています、米嶋と申します。本日はよろしくお願いします。
我々OSS推進部門はNECに対してOSSに関する施策を推進しています。まず一つあるのが社内でOSSを使うプロジェクトに対してのOSS検証を支援する施策です。その中にもいろいろとあるのですが、例えば社内のOSS情報を集めて発信するポータルですとか、OSSを選定する時の勘どころなどを書いたドキュメントの整備なども行っています。あとは実際にOSSを使うプロジェクトに対して、OSSのライセンスや脆弱性の観点で検証を支援するチームを組織して支援を行っていたり、OSSのリスク検証をするツールを使ったサービスを行っていたりですとか、そういった施策を展開しています。
これらは実際にOSSを使う社員、プロジェクトをターゲットにしているものですけれども、もう一つの軸としては、OSSの教育も行っています。
OpenChainでも、一度NECの事例としてお話ししたことがあるのですが、昨年NECとしては初めてOSSの必須研修っていうものを実施しました。内容としては、簡単に言うとOSSのメリットはこういうところで、気をつけなきゃいけないのはこういうところですとか、あとはさっき挙げたNECに対して行っている施策の紹介とか、そういったことを教育の内容として展開しています。教育は、OSSを使うプロジェクトに限らず社員の意識の底上げにつながりますので、私としては一点目の施策とはちょっと別の切り口と考えて、こちらに取り組んでいます。
OSS活用におけるアクセルとブレーキ
渡邊:ありがとうございます。「OSS活用推進」というのが少しふんわりした言葉なので、具体的にどんなことかわからないケースもあるかと思いますが、NECさんの場合だと、情報を集めて皆さんに発信する部分とか、実際にOSSをテクニカルに使うところのご支援とか、またライセンスや脆弱性のチェックサービスをやられていたり、あと底上げの教育のところであったり。そんな感じでいくつかの軸、フェーズみたいなものがあって、それらをまとめて「OSS活用推進」と言われていると。そんなイメージですかね。
米嶋:はい、そうですね。OSSを実際に使うプロジェクトだけに絞ってしまうと、施策の浸透というのがやっぱり行き届かないなと。なので、全社を対象とした教育も実施しています。
OSS推進というと、OSSのメリットを説明して、「みんなOSSを使いましょう」っていうような組織をイメージすると思うんですけれども、この名前からイメージするステップはとっくに過ぎていて、どちらかというと「OSSを使うときは、こういうところとか、ああいうところをちゃんと気を付けてやってね」という推進をして、ちょっと鋭い目線を配らせるような組織にもなってきてるのかなと感じますね。
渡邊:あー、なるほど。よくそういう時ってアクセルとブレーキみたいな言い方をされる方もよくいらっしゃるんですけれども、アクセルで「みんなOSS使ってね、使ってね」とわざわざ言わなくても、皆さん現場では使ってるような感じで、そこに対して「ただこういうところは注意してね」みたいに、ブレーキを少しかけていくところを注意されてやられているようなイメージですかね?
米嶋:そうですね。その例えで言うと、もうかなりスピードは安定して出てきている状態だと思いますので、ブレーキと、変なところに行かないようにプロジェクトのコントロールっていうのも大事になってきているというふうに思います。
渡邊:なるほど。そうですね。ブレーキっていうと、ちょっとこう、止めちゃうイメージありますからね。ちょっとなんか方向…。
米嶋:あっちこっち行かないように。ということですね。
渡邊:そうですね、なるほど、ありがとうございます。非常によくわかりました。
富士通におけるOSS管理
渡邊:本日、もう一方のパネリストとして富士通の北村さんにご登壇いただいております。同じくこのパネルディスカッション①のテーマということで、富士通さんでのOSS活用推進についてのご紹介を、ご自身の自己紹介も兼ねてお願いいたします。
北村充宏氏(以下、北村):富士通株式会社の北村と申します。よろしくお願いします。社内のOSSに関連する部署にて、全社展開しているOSSの管理ツールの展開に携わっております。
10年ぐらい前から、富士通では製品の中にOSSを積極的に取り込んで利用するケースが増えてきています。それに対して、ちゃんとリスクを見える化して製品を安心に出荷するという観点で、ツールの導入、開発プロセスルールの整備をしております。
具体的な業務としては、全社に向けたツール導入に関して、関連部門と調整しながら、仕組みづくりや、ツール導入に関する調査、また現場の声を引き取ってツールに落とし込むようなところをやっています。利用者に向けては、ちゃんと使っていただくところが一番重要なところで、なかなか難しいところであります。まあそういうところをーー(音声切断)
渡邊:ーちょっとネットワークの調子なのかもしれないんですが、音声止まってしまったようです。一旦、北村さんがお話できるようになるまで米嶋さんとお話したいと思います。今、富士通さんのお話を聞いている途中ではあったんですけれども、お二方の話の後にちょっと聞こうと思っていたことがいくつかありまして、そこを伺えればと思います。
推進組織とグローバルな展開
渡邊:昨日も質問の中で「OSS活用推進と言われている部署に専任の方がいらっしゃるのか、それとも皆さん兼務でやられているのか?」「バーチャルなのかリアルの組織なのか」みたいなところを聴講者の方が気にされていたんですけれども、NECさんの場合だとOSS活用推進というテーマで専任の方がいらっしゃるようなイメージですか?
米嶋:組織としても、あとはミッションとしても、それぞれ専任のメンバーがいます。組織としては、OSS推進センターという組織がNECの中にあります。で、今はその中で40人くらいのメンバーがいて、いろいろと柱となる事業をやっています。その中に、NEC内に対してのOSS活用促進というチームがあって、10人くらいのメンバーが活動しています。
渡邊:それ、かなり人数としては多いなという印象があるんですけれども、その方たちというのは、例えばグループ会社さんとか、日本だけじゃなくて海外拠点に対するガバナンスとか、そういったところまでカバーしてやられているんでしょうか?
米嶋:今言った人数というのも、あくまでNECの中でのメンバーの数で、国内のグループ会社、あるいは海外拠点の社員っていうのも、取り組みには関わってきているところがあります。
全社、グローバル含めた関連組織へのガバナンスっていうところだと、OSSのグローバルポリシーというものを今年制定して社内に発信をしています。よくある、個人情報保護方針を企業が社会に対して「うちはこういうふうに個人情報を取り扱います」と宣誓するような文面をイメージすると解りやすいかと思います。それと同じようにNECは「社内ではこういう指針を立てて、OSSについて取り組みます」というような、大きなポリシーを設定しています。項目は7点ほどあって、Word一枚ペラのものなんですけど、そういったところで統制を始めています。
渡邊:なるほど、ありがとうございます。やっぱりグローバルなところもいろいろ意識されて動かれているんですね。
OSSの知見やノウハウを共有
渡邊:北村さん、お話できる感じになりますかね。大丈夫そうですかね?
北村:すいません、途中でネットワークが落ちたみたいで申し訳ありません。
渡邊:はい、大丈夫です。お声、聞こえております。今ちょっと、お二方のお話が終わった後に聞こうかなと思ったことを米嶋さんとお話していたんですけれども。どうしましょう、途中、(富士通でのOSS活用推進のご紹介についてを)続きからお願いできますでしょうか?
北村:はい、そうですね。
地道に、ツールの使い方のレクチャーやOSSリスクの啓蒙などを、現場に伝えていくというところを重点に、推進しています。
渡邊:はい、ありがとうございます。今、富士通さんのお話聞きますと、最初のNECさんのお話と重複する部分もあり、逆に少し違う部分もあるのかなという印象がありました。特に、例えばツールのところはどちらの会社さんもやられているようで、それ以外に、例えばNECさんの場合は教育の部分だとか、ポータルの機能についてお話をされていました。富士通さんはそのあたり、OSS活用推進のテーマでやっていらっしゃるんですか?
北村:BOM情報を収集して「どれくらいの利用頻度なのか」「組織の中でどういう観点でちゃんとチェックできているか」というところをポータルで公開し、我々の活動を発信しています。
渡邊:なるほど。やっぱりポータルで活用状況みたいなものを公開するというのは、かなりエンジニアさんからは喜ばれているような感じなんですかね?
北村:そうですね。知見やノウハウがどこにあるかがわかり、現場の人たちは重要視しています。
渡邊:そうすると「これ使いたいな」と思った時に、社内で先に使っている方が分かるだとか、もし聞きたいことがあったらその方に質問ができるだとか、そういった所にこのような情報共有が役に立っているという感じですかね。
北村:そうですね。ちょっと言い過ぎな所がありますけど、全社という点では、なかなか難しいところです。
全社での情報共有の難しさ
北村:私が過去に特定の部門で推進活動していたときは、その組織内のどのプロジェクトでどのようなOSSを使っているか吸い上げて一覧を共有していました。
ただ、プロジェクトが特定できる情報を出すと個別に問い合わせが行くので、何か聞きたいことがあれば我々がその橋渡しをするというような形をとっていました。これが全社になると橋渡しはなかなか難しく、まだそこまで行けてないと感じています。
渡邊:なるほど、ありがとうございます。もう一つ、先ほど米嶋さんにも同じ質問を伺ったんですけれども、OSS活用推進というミッションにおいて、組織についてはバーチャルの組織だったり、リアルの組織だったり、また人については専任の方、兼任の方でやられているなど、いろいろなパターンがあると思うんですけれども、富士通さんの場合は、専任の方がいらっしゃるのかどうかとか、それが何人くらいいらっしゃるのかとか、そういったところをお伺いしたいのですが、お願いできますか?
北村:専任という点では、我々の部署は少人数で、5~6人くらいで回しています。それ以外に各部門に窓口が一人ぐらい、他の業務を兼任しながら部門内に展開している感じです。
渡邊:トップの方は専任でいらっしゃって、各部門に広げるところはその部門の方に兼任でやっていただいていて、現場それぞれに対して何というかこう、網が張り巡らされているような、そんなイメージですかね。組織についてよく分かりました。ありがとうございます。
最近話題のSBOMとは
渡邊:それでは、次のテーマに行きたいと思います。先ほど北村さんからも「BOM(ボム)」という言葉が出てきました。ご存知ない方のために補足しますと、SBOMというのは、Software Bill of MaterialsまたはSoftware抜きでBill of Materials、略してBOMと言ったりもしますけれども、いわゆる「ソフトウェアの構成表」のことになります。これについて話題を変えていきたいと思います。
「最近話題の」というふうに書きましたけれども、今年5月にアメリカのサイバーセキュリティに関する大統領令の中でSBOMについて言及があり、今年かなりSBOMという言葉が流行ってきていると認識しています。
まず米嶋さんに伺いたいんですけれども、最近の「SBOM流行り」に関して、例えば社内でSBOMという言葉がたくさん聞かれるようになったとか、SBOMを作ろうとしてる動きがあるとか、そういったものはありますか?
米嶋:はい、そうですね。まず先ほど、うちではOSSを使うプロジェクトに対して支援するチームがあるというお話をしましたけれども、そこのチームがプロジェクトから集める情報の中にSBOM相当の情報があるんですよ。どういうOSSなのか、バージョンはいくつか、取得元はどこか、リポジトリはどこか、ライセンスは何だったのか、とか、そういった情報を集めて、そのチームがプロジェクトに対してリスクの検証を支援しています。
SBOMは関心の高いテーマ
米嶋:これは別にSBOMが流行ったからやってるっていうわけではなくて、もともとやってたんですね。5年くらい前からやっている取り組みで、社内で定めたフォーマットがあります。SBOM(というキーワード)が今流行っていると思うんですけど、結局OSSのリスクを管理しようとなったときには、SBOMの中の要素としてどこもこういう情報を集めるんだな、と思いました。
SBOMについての社内動向ですと、我々OSS推進部門はOpenChainと接点があったので、外部からの情報というのは割と集められていたと思っています。社内でも今年度、サイバーセキュリティ戦略本部というセキュリティ対策の中枢を担うような組織と一緒にSBOMの情報連携を始めています。OpenChainや民間企業、政府行政機関などの動向を踏まえて、社内でどういうふうにSBOMの戦略を練っていこうか、というところの連携もしています。社内でもとても関心が高いテーマというふうに思います。
渡邊:5年前くらいからと仰ってましたけれども、たしかに「SBOM」の「S」が付く前、みんな「BOM」って呼んでたと思うんですけど、このBOMのアイディア自体はすごく昔からあるクラシックな考え方で、それこそ皆さんはずっと、それなりに作られてきたんじゃないかなと思うんですよね。
それが最近こう、例えばリスクマネジメントに使えるということがだんだん浸透し始めて、「SBOMを起点に脆弱性のチェックができますね」とか「ライセンスのチェックができますね」とか、そういう目的でみんなが欲しいと言い始めてこの流行りがあるのかなと思いました。どちらかというと、昔は海外の企業さんの方がSBOMに対して感度が高かったようなイメージがあるんですけれども、今結構日本でも浸透してきているというところですかね。
NECさんは社内で独自のフォーマットを作られたというお話だったんですけども、それは昔から全然変わらないフォーマットなんですか?それとも最近こういうのを加えたとか、いらなくなったとかありますか?
米嶋:必要に応じて変えながら運用しています。OSSを取り扱うプロジェクトが増えてきましたので、注文も増えてきてという感じで。見直しについては、プロジェクト視点からの見直しもしますし、我々運用している立場からの見直しというのも進めてきているので、5年前と同じフォーマットってわけではないです。要素が増えては、整理してを繰り返している状況ですね。おそらく各社さんそうなのかなと思うんですけど。
SBOMによる情報の可視化と社内へのフィードバック
渡邊:「増えては整理して」というところ、どんな観点でどういうものが増えて、逆にいらなくなったものが何で、とか、そこについてはどういうことを気にしながら足したり引いたりされているんですか?
米嶋:増やしたところはプラットフォームのところですかね。Linux OSだけじゃなくて、Windows OSでも(OSSは)使いますし、そういったところとか。
あとさっき北村さんがお話されたような社内での情報共有について我々も同じように前に立ってやっているんですけど、その情報を集める際にプロジェクトから「これは社内で共有していい情報なのか」とか、そういう話を聞いたうえで項目を足したりしています。
渡邊:なるほど。共有したくない人もやっぱりいるけれども、なるべく共有する方向にどんどん来ていて、「共有して何かしよう」という所が、その先にあるという感じですかね。
米嶋:そうですね。まあ、社内へのフィードバックをしたいんです。どのカテゴリーで、どういうOSSが使われているかという情報を集めて、それを可視化して、社内のプロジェクトにフィードバックするという取り組みですね。
渡邊:このフィードバック、かなり大切なイメージがありますね。企業における最適化という観点で、それぞれみんながバラバラのバージョンを使っている状況だとメンテナンスもすごくやり辛かったりとか、リスクマネジメントの観点ではちょっと難しかったりもしますし。そういう意味では「一番良さそうなものはこれ」とか「使いやすいのはこれ」とか、「このコンポーネントとこのコンポーネントだったら、こっちの方が人気がある」とか、そういう情報も現場から欲しがられるのかなと個人的には思いました。
SBOMフォーマットにおけるさまざまな観点
渡邊:では北村さんにも同じ質問なんですけれども、最近話題のSBOMについて、富士通さんの中での捉え方とか、変遷とか、そういったところについて教えていただけますか?
北村:我々のところも「流行りで」というよりも、以前から製品にどういったOSSが入っているかというところ社内のフォーマットで出荷時のチェックに利用しています。フォーマットに記載する要素は、OSSのバージョンやライセンスなどの基本的なものと、OSSの利用形態です。どういう形態でお客さんに提供するかの把握と、ライセンス観点でのリスクチェックに利用します。
渡邊:「利用形態」も実はキーポイントになるところだと思うんですよね。例えば改変するかしないかとか。もちろんライセンスに関わってきますけど、セキュリティのところにも関わってくる話だと思います。フォーマットに関して、気にしてることとか、こういう観点で作ったよ、みたいなポイントはありますか?
北村:ライセンス観点の確認と、どういう形態で(世に)出すかという製品への組み込み方に重点を置いて作っています。
渡邊:なるほど、ありがとうございます。先ほど最初のほうに、北村さんからも「どこにノウハウがあるかを調べるためにポータルで管理をして、全体を集めて分析をしてそれをフィードバックして行く」というお話がありましたが、同じ話がNECさんの方からもあったのかなと思っています。なので、情報を集めるという意味で、そのフォーマットに従ってSBOMを作ってもらって、またそれを分析してフィードバックして行くというところに活用できているという感じかなと思います。