オープンソース“ロジスティクス”とは？ ブラックダック代表に聞くOSS活用のポイント

「OSS Logistics」-Black Duck Software（以下Black Duck）は自社のソリューションを、こう名付けている。

Black Duckは、企業が開発やシステム構築において利用するOSS（オープンソースソフトウェア）について、情報や管理プラットフォームなどを提供する企業だ。さまざまなOSSプロジェクトの情報を集積し公開している「Ohloh」（現在は「Black Duck Open Hub」）を運営する企業として知っている人もいるだろう。

Black Duckの製品としては、たとえば、開発されたソースコードから使われているOSSを検出したり、部門ごとにばらばらに利用されるOSSのバージョンを追跡したりするシステムなどがある。それにとどまらず、OSSの選択や管理、出荷など、開発においてOSSを利用するための「ロジスティクス」を支える、というのが、「OSS Logistics」という言葉の意味だ。

Black Duckがどのようなソリューションを提供し、企業にどのように必要とされて使われているのか。日本法人であるブラック・ダック・ソフトウェア株式会社の代表取締役の金承顕氏に話を聞いた。

ライセンス準拠目的を中心に、近年はガバナンスでの利用が伸びる

Black Duckは2002年に設立され、本社は米国にある。金氏は「おそらく唯一の、オープンソースの管理とガバナンスのプラットフォームを提供する会社です」と語る。

ブラック・ダック・ソフトウェア株式会社　代表取締役の金承顕氏

同社のソリューションが必要とされる背景として、クラウドやソーシャル、ビッグデータなど、開発においてOSSが不可欠になっていることがある。その一方で、OSSは無数に存在し、また同じOSSでも複数のバージョンが使われている。「現在、OSSのプロダクト数は約100万、バージョンの違いを含めると500万以上あります」と金氏は説明する。

そこで問題になるのが「セキュリティ」と「コンプライアンス」だ。大きな企業では、部署ごとにそれぞれ製品を開発しており、使っているOSSやバージョンもばらばらだ。ここでたとえば、さきごろ世界的な問題となったOpenSSLの「Heartbleed」のような脆弱性が発見されたときに、該当するOSSとバージョンが、自社のどのアプリケーションに含まれているのかスピーディーに調査するためには、一元管理が必要となる。

また、OSSにはそれぞれライセンスが設けられており、ライセンスを遵守して利用しないと訴訟リスクもある。企業としてコンプライアンスを守るためには、各OSSのライセンスを認識し管理して利用し、知らないうちに混入するようなことがないようにチェックする必要がある。

そこで、社内で使っているOSSや、世の中にあるOSSの情報を、社内の1箇所にまとめて管理するのが、Black Duckの提供するプラットフォームだ。

金氏によると、導入企業は国内、国外ともに「SIやISV、組み込み系など、さまざまな分野の技術系企業が多い」という。これらの企業では主に、ライセンス関連のコンプライアンスのソリューションを中心に採用している。

一方、「ここ5〜6年では、金融やエンタープライズ企業での採用が増えてきました」とも金氏は語る。「そうした企業では、コンプライアンスより、OSSの利用の履歴を把握してコントロールする、ガバナンスの目的で採用しています」。コンプライアンス目的で導入していた企業も、利用データが集まってきたことによって、ガバナンスのソリューションも導入するようになってきているという。

主に導入しているのは中〜大規模の企業が中心で、世界で1300社が採用しているという。なお、日本法人のブラック・ダック・ソフトウェア株式会社は2009年に設立。国内では、代理店6社経由で販売している。