コンプライアンス

OSSを正しく使うことでリスクは防げる!
OSSを使うための約束(ライセンス)を理解していますか?

オープンソースソフトウェア(OSS)は、誰でも自由にソースコードを無償で入手し、使用・改変・再配布ができるため、OSSをうまく利用することで、開発のスピードアップやコスト削減・開発の柔軟性など、さまざまなメリットが得られます。しかし、OSSの利用には約束(ライセンス)があります。OSSのライセンスを把握せずに、配布をしてしまったため、気が付いた時には著作権侵害をしていたという問題が突如発生するかもしれません。また、開発を外部に委託しており、そもそもOSSを利用していることを把握できていないケースもあります。製品開発サプライチェーンで関係するすべての企業がOSSのライセンス情報を提供することが必要です。

では、お聞きします「OSSを使うためのライセンスを理解していますか?」
OSSのライセンスとは何か、ライセンスを守らなかったことによるコンプライアンス違反の例や、OSSの意図しない経路からの混入の例についてご紹介します。

コンプライアンス:FossID

OSSのライセンスとは、ソフトウェアの利用許諾契約書(ライセンス)のことです。誰でも自由に入手、利用、改変、再配布等してよいとする内容を示したものです。

ライセンスを守らないことはコンプライアンス違反になります。例えば、GPL系のライセンスで開示義務があった場合、開示は配布するための条件であり、従っていない場合は著作権侵害となります。

OSSは、知らないうちに紛れ込みます。意図せず混入したOSSの完全な特定は、複雑化・肥大化した現在のソフトウェア開発の現場では難しく、OSSの部分利用の特定はより困難になります。

OSSのライセンスとは?

OSSは、利用者の目的を問わずソースコードを使用、調査、再利用、修正、拡張、再配布が可能なソフトウェアですが、
OSSには、OSSのライセンス(オープンソースライセンス)があります。OSSを頒布する場合の条件が課されていることが多く、ライセンスを意識しないことは、著作権侵害という企業コンプライアンスに関わる問題のリスクを抱えることにつながります。

OSSライセンスとは、ソフトウェアの利用許諾契約書(ライセンス)のことです。誰でも自由に入手、利用、改変、再配布等してよいとする内容を示したものです。

 

OSSのライセンスとは?

 

ソフトウェアの利用許諾契約書(ライセンス)

 

誰でも自由に入手、利用、改変、再配布等してよいとする内容を示したもの

OSSのライセンスとは?:FossID

ライセンスを守らないことはコンプライアンス違反

OSSを採用する前に、必ずOSSのライセンスの確認をすることを推奨します。
OSSライセンスで公開義務があった場合、公開は配布するための条件であり、従っていない場合は著作権侵害となります。
著作権侵害、OSSライセンス違反の例をご紹介します。例の中に思い当たる節はありませんか?

・開発は委託をしていいたため、ソースコード内のOSSの利用を把握していなかった。
→どんな場合でも、最終的に製品を販売する企業に責任があります。

 

・WEBサービスでソースコードの“再配布“はしていなので問題ないと思っていた。
→AGPLライセンスでは、実際に再配布をしていなくても、開示義務が発生します。

 

・部分的に流用しただけなのでオープンソースを使っていても、実際は見つからないと思っていた。

→ライセンス遵守を目的とした団体が活発に活動しています。訴訟されなくとも、SNSの普及などにより情報は拡散される可能性があり、企業イメージ低下は免れません。また、見つかる見つからない以前に、著作権侵害は犯罪であることも認識すべきです。

OSSは、知らないうちに紛れ込む。意図しない経路からの混入

OSSは、知らないうちに紛れ込みます。意図せず混入したOSSの完全な特定は、複雑化・肥大化した現在のソフトウェア開発の現場では困難です。しかも、OSSの部分利用により、その特定はより困難になります。

 

  • Webで検索して見つかったソースコードを流用
  • 旧来からのコードに実はOSSが使われていた
  • 他社に委託したコード・機能にOSSが使われていた
  • Dockerのコンテナ内部で古いOSSが使われていた

OSSについて理解することでリスクは防げます。
利用しているOSSの把握・管理をすることです!

利用しているOSSを把握・管理することで、リスクを未然に防ぐことはできます。
しかし、ソフトウェア開発の中で、手作業でOSSの利用を完全に特定することは、複雑化・肥大化した現在のソフトウェア開発の現場ではほぼ不可能です。さらにOSSが部分利用されている場合は、その特定はより困難となっています。
そこで、ツールを利用することをオススメします。

OSSの部分利用も特定できる「FossID」なら、その問題を解決します!FossIDは、さまざまなプログラミング言語のファイルに対し、独自のコード検索アルゴリズムで高速にスキャンを行い、コードの派生元であるオープンソースを特定します。

ブログ記事:「ソース コード スニペットの検出はなぜ重要か?」もご参照ください。

リリースする前に、 OSSのライセンスを確認し、利用しているOSSを把握と管理することが重要です。
FossIDでソースコードスキャン・OSSの管理を行うことで、コンプライアンスリスクや管理作業を低減させます。

FossIDツールを上手に活用しましょう。

ソニーグループ様が語る!組織的なOSS管理を担うOSPOとは~サイバーセキュリティ対策の強化とSBOMの最新動向~

2023年10月12日に実施したOSSコンプライアンスセミナーの講演動画+講演資料を提供中です。

詳細申し込みはこちら

OSSコンプライアンスセミナー