転載フリー版 本 PDF は、一切の改変を加えないことを条件に転載・再配布を許諾します。 別冊 オープンソースとの 正しい付き合い方 オープンソースの利用には多くのメリットがあるが、同時にリスクもある。オープンソース およびオープンソースコミュニティーとの付き合い方と、オープンソースが内在する法的 リスクについてまとめた。 目次 Facebook のソフトウェア開発者に学ぶオープンソースとの付き合い方 Facebook は、オープンソース化することを前提にソフトウェアを開発している。同社が成果物を コミュニティーに公開するメリットとは? Apple と Microsoft のオープンソース戦略がコミュニティーに支持される理由 オープンソースコミュニティーとの協力関係を模索する Apple と Microsoft の戦略は、好意的に受 け止められている。企業利益のためであることを隠さない両社が受け入れられ、開発者が集まる理 由とは? 弁護士に学ぶ、オープンソースの法的リスクとその管理方法 オープンソースは必要に応じて積極的に活用する価値がある。だが、不用意な利用は法的なリスク を伴う。弁護士の立場から見た、オープンソースとのつきあい方を紹介する。 「別冊 Computer Weekly」は、これまでに公開したコンテンツを特定のテーマにまとめて再編集したものです。 別冊 Computer Weekly オープンソースとの正しい付き合い方 Facebook のソフトウェア開発者に学ぶ オープンソースとの付き合い方 Facebook は、オープンソース化することを前提にソフトウェアを開発している。同社が成果物をコ ミュニティーに公開するメリットとは?(初出:Computer Weekly 日本語版 2016 年 7 月 6 日号) Cliff Saran Facebook は、主要 OS の診断ツールをオープ の連携やアイデアの共有が可能になり、個人や ンソースリポジトリ「GitHub」に公開した。同 部門が自己完結してしまうサイロの解消、スキ 社がこのツールをオープンソースにしたプロセ ルやコード品質の向上にも効果がある。 スから、他の企業がオープンソースコミュニ ティーに貢献し、そこから価値を生み出す方法 について洞察することができる。 Facebook におけるオープンソース化 Facebook はオープンソースに力を入れてい る。同社は 2016 年 5 月にアムステルダムで開催 オープンソースコミュニティーは、GitHub な どのリポジトリでソースコードを管理・保守す る。リポジトリでは変更要請を一定期間とどめ、 バージョン管理を行う。利用者はソースコード を見て、コメントを付け、変更することもでき されたイベント「GitHub Satellite」で、 「osquery」 をオープンソースとしてリリースした。 このツールは、SQL を使って OS の内部動作 を把握できるようする。つまり、クエリを実行 して OS の動作状態を取得する。 る。 osquery は Facebook 社内の至る所で使用さ ガバナンス構造によって、ある種の相互評価 を実現し、新機能についての変更や要求をメイ ンコードベースに組み込んだり、派生物として 管理したりする方式を制御する。 れている。Facebook の開発者ハビエル・マルコ ス氏は次のように話している。 「クエリを実行す ると、実行中のプロセスが全て一覧表示される。 osquery をオープンソースにするということは、 これは実証済みのモデルだ。このモデルを企 セキュリティを確保したコミュニティーが存在 業に当てはめれば、ソフトウェア開発チーム間 するようになり、当社がそのコミュニティーを 別冊 Computer Weekly オープンソースとの正しい付き合い方 1 中心にビジネスを生み出していることを意味す イロ化したり、似たようなソフトウェアを作っ る」 たりすることはなくなる。多くを共有すること Facebook の開発者マージョリ・ポマロール氏 で、セキュリティや知識が高まる」 によれば、osquery をオープンソースにするこ 同氏の経験によれば、オープンソースは開発 とを常に意識していたとい う。「このため、 者の学びに役立つという。 「Wiki を読むより、他 Facebook だけでなく他のプラットフォームで 人にコードを読んでもらって改善点を指摘して も動作するように、コードをスケーラブルにす もらう方がはるかに優れている」 る必要があった」 「GitHub などのコミュニティーに自分のコー また、オープンソースコミュニティーに参加 する他の開発者が関与しやすい方法でコードを エンジニアリングすることも必要だったという。 ドを公開することは、新人開発者には大きなメ リットがある」 多くの企業は、開発者を雇用する際にある程 「利用者が自分に合うように osquery を調整 度の経験を求める。「新人ならば、インターン したりコードに問題を見つけて修正したりする シップの経験はあっても、実際に働いた経験は 際、大きな障壁にならないようにコードを明瞭 ないだろう」 (ポマロール氏) にしなくてはならなかった」とポマロール氏は 話す。 だが、職務経歴書は書けなくても、 「自分が取 り組んでいる GitHub リポジトリを見せ、これま プロジェクトに貢献している利用者がこの ツールを使って OS の脆弱(ぜいじゃく)性を 見つけた場合、公開すべき情報などの問題点に ついて Facebook はその利用者と話し合う必要 があると同氏は補足する。 で支援したさまざまなプロジェクトを示すこと ができる」とポマロール氏は話す。 とはいえ、関わった全てのプロジェクトを GitHub に投稿し、それを履歴書のように扱える と考えるのは逆効果だと同氏は考えている。 「これは、GitHub を利用する多くのオープン ソースプロジェクトとは対極の姿勢だ」 オープンソース化しないこと Facebook は、全てをオープンソースコミュニ 共有が品質を向上させる ティーに公開しているわけではない。 オープンソースプロジェクトは、業界全員の 知識を高める。 「コードを共有し、それについて 話すのは楽しい」とマルコス氏は笑顔を見せる。 コードをオープンソースにすることが 「Facebook のインフラに大きく依存するプロ ジェクトもある」とポマロール氏は話す。 「Facebook 社内にのみ適したプロジェクトや、 当社が外部に対して適切なサポートを提供でき Facebook の価値観だ。ポマロール氏によれば、 ないと考えるプロジェクトは、オープンソース 「何かを開発するとすぐに、それをどのように の候補とは考えない」 オープンソースにできるかと考えて興奮する」 という。 「このような場合は、コードをオープンソー スにするよりも、ホワイトペーパーやブログで だが、これは純粋に他人のことだけを考えて いるわけではない。ポマロール氏は次のように 知識を共有するようにしている」とポマロール 氏は締めくくった。 述べる。 「オープンソース開発では、開発者がサ 別冊 Computer Weekly オープンソースとの正しい付き合い方 2 Apple と Microsoft のオープンソース 戦略がコミュニティーに支持される理由 オープンソースコミュニティーとの協力関係を模索する Apple と Microsoft の戦略は、好意的に受け 止められている。企業利益のためであることを隠さない両社が受け入れられ、開発者が集まる理由 とは?(初出:Computer Weekly 日本語版 2016 年 7 月 20 日号) Cliff Saran Apple に愛着を持つ開発者は多いようだ。ど この開発者向けカンファレンスに出掛けても、 登壇者が持っているコンピュータには Apple の ロゴがステータスシンボルであるかのように輝 いている。そして今、その愛がついに報われる 時が来たのかもしれない。 開発者の働き方に新たな選択肢が加わったこと を示す良い例だと語った。 「オープンソースは単なるイデオロギーでは ない。ソフトウェアを構築するための優れた手 段だ。今や企業もオープンソースの利点に注目 している」と同氏は語る。 オープンソースコードのリポジトリコミュニ ティー「GitHub」の共同設立者兼 CEO、クリス・ ワンストラス氏は、アムステルダムで 2016 年 5 月 に 開 催 さ れ た カ ン フ ァ レ ン ス 「 GitHub Satellite」に登壇。Apple がオープンソースを正 式に支持することを示す施策が近いうちに始動 すると参加者たちに語った。Apple が以前から GitHub に貢献していることを同氏は特に強調し、 ワンストラス氏は、Apple が新しいプログラ ミング言語である「Swift」をオープンソースコ ミュニティーで普及させたいと GitHub にアプ ローチしてきたことは非常に印象深いとして、 次のように話す。 「Apple の Swift は新しいタイ プのオープンソースプロジェクトだといえる。 すばらしいコミュニティーで優れたオープン ソーススタンダードを定義する、すばらしいプ 別冊 Computer Weekly オープンソースとの正しい付き合い方 3 ロジェクトだ」 関のメールアドレスも少なからず見受けられる。 例えば Apple は、このプロジェクトへの参加 を希望する人向けに「行動規範」を制定・発表 した。その規範には次のよ うな記述がある。 このプロジェクトが幅広い層から支持されてい ることがうかがえる。 これについてワンストラス氏は、次のように 「Swift.org コミュニティーの目的はただ 1 つ、 説明する。 「Apple という会社は事業目標を率直 世界一の汎用(はんよう)プログラミング言語 に公表する社風があり、ひそかに施策を進める を作り上げることです。参加を希望する皆さん タイプではない。 Apple がプログラミングプラッ の力を結集して、言語を一から築いていきま トフォームとして Swift を成功させようとして しょう」 いるのは『iPhone』の販促拡大策の一環である Apple は Swift コミュニティーと提携して、こ の言語に新しい機能を追加するとともに、でき るだけ多くのプラットフォームをサポートし、 この言語を利用する開発者を増やしていきたい ことも皆が察している。このエコシステムに従 いながら生計を立てることを望む開発者として、 私はそれでも構わないと思っている」 Microsoft までもがオープンソースに参加 一 方 Microsoft も 同 様 の 施 策 を 進 め て お と公式に表明している。 り、.NET をオープンソースコミュニティーに公 GitHub の Swift プロジェクトのページには、 Swift について次のような記述がある。 「これは、 高性能なシステムプログラミング言語である。 開した。Apple や Microsoft といったハイテク業 界の最大手がオープンソースに貢献したいと申 し出るのは、これらの企業の施策をコミュニ 構文は簡潔かつモダンであり、既存の C 言語お ティーに押し付けることをもくろんでいるので よび Objective-C のコードとフレームワークに はないかと不安を感じる向きもあるだろう。し シームレスなアクセスを提供する。またデフォ ルトでは、メモリに常駐することはない」 かし、企業がオープンソースに参入する傾向は 必ずしも悪いことではないとワンストラス氏は 本質的に、Swift は「macOS」 「iOS」 「Linux」 用 の プ ロ グ ラ ミ ン グ 言 語 だ 。「 Windows 」 や 「Android」に対応するバージョンは現時点では 存在しない。この言語を使って作成したコード は、Apple が「ランタイムライブラリ例外」と 呼ぶ Apache 2.0 のライセンスに従って使用許可 主張する。 同氏はその理由を次のように説明する。 「大企 業の狙いは、今やるべき正しいことを実行する という点でわれわれと一致している。正しいこ とを実行すると結果として収益が上がることに 気づいた企業も多い」 が与えられる。GitHub のサイトには、以下の記 述もある。「これによって、Swift を使って自作 ワンストラス氏によると、オープンソースが のバイナリをビルド、配布する際の属性の要件 現状に至る以前は、営利目的の企業が参入し、 は除外される」 。つまり、Swift ランタイムを使っ 特定の方向にプロジェクトを誘導しようと試み て構築したアプリの所有権は開発者自身に留保 ていた時期もあった。だが、もはやその段階は される。 過ぎたという。むしろ今後は、コミュニティー の方から事業目標を明確に表明する企業を支援 Swift プロジェクトの参 加者リストには、 するようになるだろうと同氏は話す。 Apple の社員が多数含まれているが、PayPal や Dropbox などの企業、さらには幾つかの教育機 .NET をオープンソースとしてリリースした 別冊 Computer Weekly オープンソースとの正しい付き合い方 4 際、Microsoft はそのコードによって実現したい 事業目標のロードマップを設定していた。 「Linux 上で.NET を実行するのも、その目標の 1 つだ。これが実現すると、Microsoft 製のソフ トウェアを使う開発者が増え、ひいてはクラウ ドサービスである『Microsoft Azure』の(課金 による)売り上げも増えることになる。そこで 当コミュニティーでは、Linux 上で.NET が実行 できるようにした」と同氏は話す。 Apple にも当てはまる。 ソフトウェアプラットフォームは、その利用 者である開発者の数が増えれば、それに比例し て成功の確率も高まる。Apple は世界でも最高 の開発者を同社に引き付けて、斬新なアプリや デスクトップアプリケーションを作ってもらう ことを希望しているのは明らかだ。最新の iPhone、「Apple Watch」「MacBook」などのデ バイスを売り出す材料としてそれを使うためだ。 「.NET を Linux 上で動作するようにして売り 上げを伸ばしたいという事業目標や狙いを Microsoft がオープンな態度で表明すれば、それ が実現すれば有料でも購入するという開発者が 多数現れ、同社に協力してプロジェクトを前進 させてくれるだろう」 コミュニティー内では、自由形態のオープン 性を固持したいグループと、商業的な思惑を持 つグループの駆け引きが今後発生するかもしれ ない。Apple や Microsoft などの企業からコミュ ニティーに参加する動機が、自社の利益のため となるのはある程度避けられないことだろう。 囲い込みと閉鎖的な性質を継続しているプ なぜなら現在の企業にとって、オープンソース ラットフォームは衰退の一途をたどっていると は多くの開発者にアピールするという面で企業 ワンストラス氏は主張する。「Microsoft がオー 単独のキャンペーンより有効な手段だからだ。 プン性を高めているのには理由がある。ヒッ それに少なくとも当面は、オープンソースコ ピーのような人物がその施策を進めているから ミュニティーも大企業からの参加によって利益 ではなく、オープンにすることが事業戦略とし を得ている。 てより適切だからだ」。この事情は、明らかに 別冊 Computer Weekly オープンソースとの正しい付き合い方 5 弁護士に学ぶ、オープンソースの 法的リスクとその管理方法 オープンソースは必要に応じて積極的に活用する価値がある。だが、不用意な利用は法的なリスク を伴う。弁護士の立場から見た、オープンソースとのつきあい方を紹介する。 (初出:Computer Weekly 日本語版 2016 年 7 月 20 日号) Daniel Hedley オープンソースソフトウェアは、今さら指摘 あると想定して、ここでは詳しく説明しない。 するのもためらわれるほど、文字通り至るとこ これらについて再確認したい場合は、 ろに普及している。データセンター、デスクトッ Copyleft.org(https://copyleft.org/)などに分か プ、ブラウザ、携帯電話など、あらゆる場面で りやすくて詳細な説明が記載されている。本稿 利用されている。 ではその代わりに、オープンソースソフトウェ ハイテク業界全体にその勢力を広げている オープンソースだが、現在のようにこの種のテ クノロジーを誰でも手軽に利用できるように なったのは、その方法論とライセンス供与モデ ルが確立されていたからだ。 本稿の読者なら、パーミッシブ型ライセンス とコピーレフト型ライセンスの類似点と相違点、 そしてコピーレフトは頒布行為によって核心的 な義務事項が発生する点については既に知識が アを利用した結果、実務上発生するリスクに重 点を置いて話を進める。このリスクは、次の 2 種類に大別される。すなわち規約違反のリスク (訴訟)とセキュリティのリスク(PWN される =制御を奪われる)だ。 規約違反のリスクは、オープンソースソフト ウェアがライセンス(使用許諾)を受けたソフ トウェアであるという事実に潜んでいる。つま り、その所有権は他の誰かにあり、ユーザーは 一定の条件の下に、当該ソフトウェアの利用と 別冊 Computer Weekly オープンソースとの正しい付き合い方 6 頒布だけが認められているにすぎない。その条 ユーザーは新たに調達したソフトウェアの名 件に違反すると、ソフトウェアの所有者から提 称、それを配備する場所、バージョン番号など 訴される場合がある。また、提訴は単なるお題 を把握し、そうした情報を実働環境の構成に追 目ではなく、実際に行われる確率も高い。ここ 加する。 では 2 例を挙げるにとどめるが、ドイツの法廷 では、 (Linux コントリビューターであるクリス トフ・)ヘルビィク氏対 VMware の係争が現在 も続いている。また、米カリフォルニア州で最 近 Versata という企業が起訴された件では、規 約違反が主な争点となっている。 一方オープンソースソフトウェアの場合、取 得するまでの経緯は、先述の商用ソフトウェア のそれとは少し異なる場合がある。ユーザーが 主体的にあるソフトウェアを取得すると決めた わけではなくても、結果的に入手していること があるからだ。オープンソースソフトウェアは そうはいっても、コピーレフトが問題になる 非常に使いやすく、さまざまな形で既存のシス のはソフトウェアの利用ではなく頒布を行った テムの一部に組み込まれていることが多い。例 場合に限られる。従ってソフトウェアの販売事 えば、ライブラリとして商用ソフトウェアに組 業に積極的に関与していない限り、コピーレフ み込まれていたり、ファイアウォールや監視シ ト型の規約違反の大部分は、法的な係争にまで ステムとしてアプライアンスに組み込まれてい は至らない。 たり、サーバ機のシステム管理基盤の基本シス 弁護士は概して規約違反リスクに対して色め き立つ傾向にある。ただしその理由はほとんど、 同じ弁護士の立場から言わせてもらえば、コ テムに採用されていたり、既存システムの不具 合を解消する目的で誰かが偶然導入していたり するケースが挙げられる。 ピーレフトを巡る係争が単に派手だからだ。む 従って企業内システムには必ずと言っていい しろ大抵の業界においてより差し迫った懸念が ほど、オープンソースソフトウェアが多数含ま あるのはセキュリティリスクの方だ。 れている。だが、資産目録には記載されないし、 ここで筆者は、従来の方法でライセンスが付 与される商用ソフトウェアに比べて、オープン ソースソフトウェアのセキュリティが本質的に 弱いと言いたいのではない。ただ、オープンソー ユーザーはそれを利用しているという自覚もな い。このように、取得した覚えのないまま利用 しているソフトウェアに、将来問題が発生する 恐れがある。 スの場合(従来の商用ソフトウェアとは)取得 筆者がなぜ長々とセキュリティの話を続ける 方法が違うのだから、管理の方法も同じではい のかと、疑問に思った読者はいるだろうか。そ けない。 れには幾つか理由がある。実は幾つかどころで 商用ソフトウェアは、ユーザーがそのライセ ンスを調達した場合、最終的にはユーザーの IT はなく山ほどある。 欧州連合(EU)のデータ保護規則 資産となる。そのソフトウェアを実際に調達す 情報保護の重要性を認識した当局は法律の整 ると決断し、しかるべき調達プロセスを踏んで 備を進めており、取り締まりが強化されつつあ 対価を支払うと、 ソフトウェアは重要な資産の 1 る。欧州議会で 2016 年 4 月に EU の一般データ つとなり、資産目録に記載すべきものとして扱 保護規則(General Data Protection Regulation) われる。 が可決され、2018 年 5 月に施行されることに なった。企業がデータを流出させた場合、当該 別冊 Computer Weekly オープンソースとの正しい付き合い方 7 企業に対して 2000 万ユーロまたはその企業の 分が含まれているかどうかを確認する。必要で 全世界収益 4%のどちらか高い方の金額が罰金 あればその部分に対する監査を実行する。オー として科される。緊縮財政下にある英国政府の プンソースソフトウェアの利用に関する社内規約 情報コミッショナーオフィス(ICO)の現在の権 力を考えると、この罰金は相当な額だといえる。 を制定し、社内の開発者や請負業者にその規 約を周知徹底する。開発者と弁護士が互いにコ ミュニケーションを取っていることを確認する。 EU では「ネットワークと情報の安全に関する 導入しているソフトウェアのサプライヤーに連絡 指令案」が新たに決議され、さらに「営業秘密 を取り、製品にオープンソースソフトウェアが含 の保護に関する EU 指令案」も同様の経過をた まれているかどうかの情報を入手する。「オープ どるべく、最近公表された。例えば機密保持契 ンソースソフトウェアは使っていない」という回答 約や供給契約などに対する違反は重大なセキュ リティインシデントであり、これが発生した場 を信用しないこと。恐らくそれは誤りだ。オープン ソースソフトウェアに脆弱(ぜいじゃく)性が含ま れていたためにシステムが PWN された場合、損 合、無数に課されている契約上の義務を必然的 害賠償を請求できる法的な権利が自社にあると に侵すことは言うまでもない。 思い込んではいけない。 セキュリティ違反行為は、法律上はその企業 スタックの各レイヤーに何が含まれているのか に対して何年も悪影響を及ぼす。従って被害額 をよく確認する。アプライアンスのサプライヤー も非常に高額になるし、企業の評判にも傷がつ く。 の場合、実質的にはオープンソースのスタックを 実行していながら、巧妙な仕掛けを被せて有償 の製品に見せかけている場合がある。 では、どんな対策を講じればいいのか。要は、 オープンソースは今や膨大なリソースとなっ オープンソースソフトウェアもサードパー ており、これを利用しない手はない。あなたの ティーから購入したソフトウェアと同等に扱え 会社が利用しなければ、ライバル企業が採用す ばいい。どのソフトウェアを使っているのかを るまでだ。ただし、それを使ったことで発生す 確認し、常に最新情報を把握するべきだ。最高 るかもしれないセキュリティ上の課題について 情報責任者(CIO)が実行するべき重要な施策は、 は、対処法を事前に確認しておくべきだ。 以下の通り多数ある。 ダ ニ エ ル ・ ヘ ド リ ー 氏 は 、 法 律 事 務 所 Irwin 社内システムのコードベースの中に、自作の部 Mitchell LLP のシニアアソシエイト。 別冊 Computer Weekly オープンソースとの正しい付き合い方 8 Computer Weekly 日本語版 バックナンバー 下記 PDF のダウンロードには、TechTarget ジャパン会員への登録(無料)が必要です。 Computer Weekly 日本語版 10 月 5 日号:ビッグデー タでよみがえるレンブラント 特集は、明暗が別れた 2 つのビッグデータプロジェクト。成功例 は、 「新しい」レンブラントの絵画を制作するプロジェクト。一方、 悲惨な失敗例とは? 他に、Microsoft が発見した暗号化データ操 作方法、英気象庁のクラウド移行事例、Red Hat によるコンテナ 解説などをお届けする。 Computer Weekly 日本語版 9 月 20 日号:本気を出し た Google は AWS に勝てるのか? 巻頭特集は、各社の決算報告書からクラウド市場を分析。報告書 では伏せられた部分から見えてくるものとは? Google のクラ ウド部門を率いるグリーン氏のインタビューも掲載。他に、6 大 サプライヤーのオブジェクトストレージ戦略、迷走する MS のモ バイル戦略などの解説をお届けする。 Computer Weekly 日本語版 9 月 7 日号:Microsoft 対米国政府──判決は? 特集は、Microsoft のデータセンター上のデータをめぐる同社と政 府の訴訟の判決とその反響をレポート。この判決が持つ意味と は? 他に、ブロックチェーン時代に CIO がやるべきこと、コン シューマライゼーションの受け入れ方、新たに登場したバンキン グシステムや RDBMS を紹介する。 本 PDF は、内容に一切改変を加えないことを条件に、転載・再配布を許諾します。なお、 著作権は米 TechTarget およびアイティメディアに帰属します。 本 PDF 以外の記事の転載については、TechTarget サイトに関するご質問にて個別にお問 い合わせください。 別冊 Computer Weekly オープンソースとの正しい付き合い方(転載フリー版) 編集:TechTarget ジャパン 発行:アイティメディア株式会社 別冊 Computer Weekly オープンソースとの正しい付き合い方 9
© Copyright 2024 ExpyDoc