Linux Foundation OpenChainのジェネラルマネージャーShane Coughlanへのインタビュー

Shane CoughlanはLinux FoundationでOpenChainプロジェクトを指揮しています。このたびは多忙な中お時間をいただき、OpenChain、オープンソース、コンプライアンスやセキュリティについて話を聞くことができました。まずは、Shaneの経歴を簡単にご紹介しましょう。

1998年以来、Shaneはさまざまな形でオープンソースに関わりつづけています。はじまりはFreeDOSオペレーティングシステムのGEMデスクトップGUI開発を手掛けたことでしたが、そのときすでにはっきりと未来のテクノロジーを見据えていました。OpenGEMディストリビューションを検索してみれば、いまだにShaneが残した成果を見ることができるでしょう。

2003年から2004年にかけて、ネットセントリックまわりの調査をきっかけにセキュリティおよびコンプライアンスの世界に足を踏み入れ、2006年にFree Software Foundation Europeに参加し法務部門を設立したことから特にライセンスの問題に深く集中するようになりました。その後10年以上、コンプライアンスや特許の問題に取り組みつづけています。OINでは6年間にわたってRegional Director AsiaおよびGlobal Director of Licensingを歴任しました。

OpenChain Projectについては、ときには集中的に、ときにはもう少しゆるやかに、常に関わりを持ちつづけてきました。したがって、OpenChainの拡大を支援する機会が与えられたとき、彼は自分がまさに適任だと感じたのです。結果を簡単に言えば、いまではOpenChainは何千という企業がより快適かつより効率的にオープンソースコンプライアンスに取り組めるよう手助けしています。そこからほかにもさまざまな種類の有意義なコラボレーションが生まれています。

Linux Foundationには、オープンソースコンプライアンスの下に分類されるプロジェクトがいくつかあります。Linux Foundationのコンプライアンス関連プロジェクトの概要を簡単に説明していただけますか?

Linux Foundationは大きな組織です。Open Compliance Programという傘になるプロジェクトが1つあって、さまざまな問題領域を扱う個別のプロジェクトへの窓口になっています。たとえば、OpenChainは「スタックの最上位」にある高レベルの業界標準で、品質の高いオープンソースコンプライアンスプログラムに欠かせないキー要件を定義します。OpenChainは企業がプロセス、ポリシー、トレーニングプログラムを配備すべき節目のポイントを定義しています。ただし、個別のプロセスのコンテキストは定義しません。スタックの下に行くと、SPDXなどのプロジェクトがあります。SPDXは部品表を定めた標準で、これを利用すると、ソフトウェアパッケージに何が含まれているかを識別するプロセスを簡単に完成できます。

そのほかに、仕様というよりはソフトウェア寄りのプロジェクトもあります。FOSSologyがいい例です。FOSSologyはソフトウェアファイルのライセンスを識別するのに役立つスキャナーです。オープンソースで完全に無料で利用でき、実際の運用でも広く使われています。ほかにも多くのプロジェクトがあります。全体を把握するには、Open Compliance Programのトップページを見るのが一番です。https://compliance.linuxfoundation.org

次に、とくにOpenChainについてお聞きしたいと思います。ごく簡単にOpenChainを紹介するとしたら、どんなふうに説明しますか?

OpenChainはサプライチェーンにおけるオープンソースコンプライアンスを促進することを目的としています。この課題は、最初は法務の問題だろうとか優先度が低いとかで片付けられてしまうことも多いのですが、本質的にはオープンソースを最大限に有用化するとともに摩擦を最小限にすることと切り離せません。つまり、オープンソースというのはサードパーティのコードを利用するということですから、コンプライアンスはアクセスの平等性、利用の安全性、リスクの低減が絡み合った複合体です。OpenChainはこの課題の解決に向けて、企業間の信頼を促進するために設立されました。

OpenChainの存在理由と対処しようとしている問題について説明していただけますか?

現在、多くの企業がオープンソースに理解を示し、オープンソース開発の主要なサポーターとして活動しています。それでも、業界全体でシステマティックにライセンスコンプライアンスに対処するのは、なかなか難しいというのが現実です。グローバルなIT市場でも、コンシューマーエレクトロニクスなどの分野で見つかるオープンソースコンプライアンスの問題の数はこの十年間でそれほど減ってはいません。
このようなサプライチェーンの課題の原因は、本質的にオープンソースが複雑だからではなく、オープンソースの利用度や企業の有するドメイン知識のレベルがまちまちだからです。たとえば、デバイスドライバーを必要とする小さなコンポーネントを開発しているような企業には、オープンソースにまったくなじみのない人員しかいないかもしれません。たった1つの誤り、たった1つの誤解、何十ものデバイスにデプロイされた1つのコンポーネントが問題をもたらすかもしれません。コンプライアンスの問題の多くは誤りから生じます。悪意によるものは、あるとしてもごく少数です。
1つの企業だけで完成品を作れるわけではありませんし、1つの企業だけでコンプライアンスの問題を解決できるわけでもありません。サプライチェーンには相互に連結されたソリューションのチェーンが必要です。この問題に対処するために、OpenChain Projectはライセンスコンプライアンスの業界標準を策定し、広めようとしているのです。取り組みや採用は簡単で、無料で利用でき、複数分野の主要な多国籍企業が後援する活発なコミュニティに支えられています。

オープンソースプロジェクトはそれぞれ構造が異なります。OpenChainはどうですか?OpenChainはどのように組織されていますか?

OpenChain Projectには相互に関連する3つの部会があります。品質の高いコンプライアンスプログラムのコア要件を定義するSpecification、組織が要件への適合性を示すのに役立つConformanceメソッド、基本的なオープンソースプロセスやベストプラクティスを提供するReference Libraryです。
OpenChainは複数の市場セグメントにわたって一貫して効力を発揮できる魅力的なアプローチを目指して設計されています。OpenChainプロジェクトの核心は、組織間の信頼を築くためのシンプルで明確なメソッドを提供し、互いに依存する組織がコードを共有して製品を製造できるようにするという点にあります。OpenChainに適合した組織は、関係組織が一致して同意する品質コンプライアンスプログラムのキー要件に従って連携します。これは全体を橋渡しする大きなプロセスとポリシーを確立するいっぽうで、各組織はそれぞれのニーズに合わせて個別のプロセスやポリシーの詳細を策定できる自由があります。

OpenChainは顧客企業とサプライヤー企業の間で共有すべき情報を定義するのに役立ちますか?

過去にオープンソースコンプライアンスの業界標準がなかったことが、顧客企業からサプライヤーへの「要求事項」もばらばらという事態を招いていました。その要求が、確固としたオープンソースコンプライアンスに必要な水準を満たしていなくても、逆に過剰でも、製品を市場に届けるプロセスを遅らせる可能性があります。OpenChain仕様が提供するのは、中立的で明確であるいっぽう、企業規模に合わせて調整可能でさまざまな市場セクターに適合する柔軟性を持ち合わせた一連の要件です。
おそらく、OpenChain標準が提示するポイントの中で最も重要なのは、節目節目にプロセスが存在するよう要求すれば、エラーを劇的に削減できるという点です。このアプローチには、企業が本質的に正確さを犠牲にすることなくプロセスの内容を実装できる柔軟性があります。OpenChainは現実のニーズに対処する大筋を示すので、複雑で多くのリソースを必要とするアプローチにつながるおそれがありません。
ヨーロッパのある企業の代表として参加している人が気の利いたジョークとして言ったことがあるのですが、OpenChainを採用すれば、調達仕様書内の12ページにわたるオープンソース関連の記述をたった1行、「OpenChainに適合すること」に置き換えられる、というのです。もちろん、これは事態を単純化してはいますが、OpenChainがオープンソースコンプライアンスに関わる企業間の関係性をどれほど劇的に簡略化するかを端的に表しています。

OpenChainは顧客とサプライヤーの双方が採用できる程度にまで成熟しているのですか?

OpenChain仕様はフリー/オープンソースコードを作成し、利用し、配布するすべての組織がすぐにでも採用できるデファクトの業界標準です。オンラインの適合性チェックは無料で利用できますし、メーリングリストやワークチームの電話会議は誰でも参加できます。いま、史上初めてサプライチェーンにおけるオープンソースコンプライアンスの課題に対する統一的なアプローチが存在するようになったのだと言っても過言ではありません。おそらくもっとも重要なのは、OpenChainはISOの標準化プロセスの過程にあり、2020年前半には正式規格が公開予定だということです。OpenChainプロジェクトをもっと詳しく知り、関わりたいという場合はプロジェクトのWebサイト www.openchainproject.org を見てください。

採用についてはどうですか?どんな傾向があるのでしょうか?

よくぞ聞いてくださいました。先ほども言ったとおり、OpenChainは企業がプロセス、ポリシー、トレーニングプログラムを配備すべきポイントを定義する業界標準です。個別のプロセスのコンテキストは定義しません。OpenChainを採用する場合、適切なプロセス、ポリシー、トレーニングプログラムが適切なポイントに存在しているかどうかを確認するだけですから簡単です。
そう言うと、みなさんおっしゃるのが「えーと、それはいいのですが、そういったプロセスポイントの内部には具体的に何をおけばいいのですか?」というようなことです。もっともなご質問です。OpenChainはあらゆる規模、あらゆる市場に対応できなければならないので、仕様自体ではそういった内容を指定していません。そのかわり、非常に活発で頼りになるコミュニティがあります。コミュニティには、参考用のトレーニングプログラム一式やさまざまな業界向けのポリシーのオプションなど、ありとあらゆる参考資料があります。https://www.openchainproject.org/resources
おそらくより重要な点として、コミュニティは、他のコラボレーターが手助けを必要としていれば、いわば「オンデマンド参考資料」とでも言ったもので、喜んで手助けしたいと考えています。ミーティングかメーリングリストでなにか情報が欲しいという領域を挙げてもらえれば、おおぜいが寄ってきてそれぞれの分野での組織的な知識を提供してくれるのはほとんど間違いないでしょう。
ポイントを定義し、それを具体化する適切な方法が分かれば、それでもうOpenChainに適合しています。これが終着点だというのではありません。ライセンスコンプライアンスも、他のビジネスアクティビティと同様に継続的なアクティビティです。OpenChainの成果は、効果的にリソースを割り当て、より早く結果を出すのが容易になるという点にあります。

どういった企業がOpenChainに適合していますか?なにかご提示いただけるデータはありますか?

常に動きがあるので難しいですね。3つの系統があります。1つは公にOpenChain適合プログラムを宣言している組織です。数は常に増えつづけていますが、最近の例を挙げると、Liferay、Sony Semiconductor、LG Electronicsなどです。一覧はWebサイトの次の場所にあります: https://openchain.lfprojects.linuxfoundation.org

ほかにも2つの系統があります。1つはOpenChainに適合しているが、いろいろな理由でそれを公には宣言していない組織、もう1つは適合を進めている最中の組織、あるいはより距離をおいて、コンプライアンスのフレームワークとしてOpenChainを利用しているだけの組織です。これら2つの「その他」カテゴリーに属する組織も、私たちの長期的な基盤の一部であり、ISO化によってOpenChainが拡大していくうちに、これらの組織の中から取り組みを公にするところがますます増えていくでしょう。

興味深いデータとして、私たちのオンライン自己診断Webアプリのユーザーのうち約50%は、公開か非公開かはともかく、OpenChain適合を目標としています。残り50%程度は、当面とくに宣言だとかには関係なく、プロセス最適化のために自己診断アプリや私たちが提供するその他のリソースを利用しています。この2つのつり合いが取れていることは、OpenChainをオープンソースコンプライアンスのソリューションとして第一に選ばれるようなものにしたいという私たちの理想に一致しています。これは私たちのコミュニティが多様なオーディエンスにとって妥当性を持っている証拠です。

OpenChainがソースコードを開発するだけのプロジェクトではないのであれば、どのようなコントリビューションが可能か、教えていただけませんか?

電話会議に参加してください。メーリングリストに参加してください。OpenChainはとてもとてもオープンなプロジェクトです。標準の策定に関わるすべてがオープンにされているだけでなく、参加や意見の表明を積極的に呼びかけています。参考資料はすべてオープンに作成されています。OpenChain標準自体に関する投票などの重要な決定も公開され、オーディエンスや質問を歓迎しています。

ときどき、「OpenChain Projectに参加するにはどうすればいいですか?」と聞かれるのですが、いつも「とりあえず来てみて」とお答えしています。コミュニティでは新しいメンバーを大歓迎しており、次のページから簡単に参加できます。https://www.openchainproject.org/get-started/participate

OpenChainの最終的な目標は何ですか?

OpenChainは何年にもわたり何万時間という工数をかけてオープンソースコンプライアンスの標準を作り上げてきました。OpenChainはあらゆる規模、あらゆる市場の企業がコストにおいても時間においても効率的にコンプライアンスに対処できるようなフレームワークを提供します。サプライチェーンという点では、OpenChainを採用する企業が増えるほど、プロセスに入り込むエラーは少なくなり、エラーの修正も早くなります。
最終目標は、オープンソースコードを利用するうえで最初に通る道であるオープンソースコンプライアンスをより簡単に、より早く、より効果的にすることです。まだ道半ばですが、もちろん最終的には、あらゆる企業があらゆる場所で、たとえばISO9001と同じように、日常の目標の一部としてOpenChain標準を採用する状況になればいいと思います。そうなれば、ライセンスという観点から見て、すべてのステークホルダーのコードデプロイメントの効率性が最大化される画期的な転換点が訪れるでしょう。

(この記事は、FOSSID Blog 「Interview with Shane Coughlan, GM of OpenChain, Linux Foundation」2019年11月21日 Fredrik Ehrenstrale 投稿記事をFOSSID社の許可を得て翻訳したものです。)

SBOM管理が求められる理由と対処の仕方とは~オリンパス様におけるSBOMへの取り組み/自動車業界でのSBOM活用の要点~

2024年6月14日(金)にOSSコンプライアンスセミナーを開催!SBOMへの取り組みやSBOM活用の要点と、ソフトウェア開発における現在の動向などを講演します。ぜひご参加ください。

OSSコンプライアンスセミナー