LF ResearchがCanonicalとの共同研究レポート「世界のオープンソースの現状 2025」を公表。コスト削減ツールからミッションクリティカルなインフラへ

はじめに

Linux Foundation ResearchはCanonicalとの共同研究として、2025年10月に「世界のオープンソースの現状 2025(State of Global Open Source 2025)」を公表しました。

【参照】世界のオープンソースの現状 2025
https://www.linuxfoundation.jp/wp-content/uploads/2026/03/2025GlobalSpotlight_Oct-27-2025-V4-jp2.pdf

本レポートは世界851名の専門家を対象とした大規模調査に基づき、オープンソースソフトウェア(OSS)の導入実態、ガバナンス、セキュリティ、そしてビジネス価値を多角的に分析したものです。今月は、このレポートに記述されている、その主要な調査結果と実践的な示唆を解説します。

OSS導入の現状：ミッションクリティカルな基盤へ

調査で最も明確に示された事実は、OSSがすでに「コスト削減のための補助ツール」ではなく、「ビジネスの根幹を支えるインフラ」へと進化しているという点です(p.6 図1)。

特に注目すべきはAI/ML領域の伸びです。採用率は40％に達し、2024年比で統計的に有意な5ポイント増を記録しました。これはオープンソースの AIツールが持つ透明性・柔軟性・コスト効率の高さが、急速に拡大するAI市場で評価されていることを示しています。また、回答者の38％が「AI/ML はオープンソースであることで最も恩恵を受ける技術」と位置づけており、今後さらなる採用拡大が見込まれます。

また、P.7図2によると、組織のほぼ半数(46％)が過去1年間でOSSによるビジネス価値の増加を実感しており、83％が「OSSは組織の将来にとって価値がある」と回答しています。生産性向上(86％)、ベンダーロックインの軽減(84％)、ソフトウェア所有コストの削減(84％)など、多面的な価値が広く認識されています。

ガバナンスのギャップ：成熟度が導入率に追いついていない

OSSの採用が広がる一方で、組織のガバナンス体制はそれに追いついていません。これが本レポートの核心的な問題提起です(P.9 図5)。

• 明確なオープンソース戦略を策定している組織：わずか34％(前年比 +2％)
• オープンソース・プログラム・オフィス(OSPO)を導入している組織：わずか26％(前年比 +1％)
• オープンソースに関する明確な公的立場を定義している組織：26〜27％にとどまっています

ここで興味深いのは、組織規模や地域による差異です。P.10 図6によると、従業員1万人以上の大企業は中小企業と比較してOSPO設置の可能性が2.4倍高くなっています(39％ vs 16％)。地域別ではアジア太平洋が36％でOSPO導入率が最も高く、北米30％、欧州22％の順となっています。

ガバナンスが不在のままOSSに依存し続けることは、コンプライアンス違反、セキュリティリスク、知的財産トラブル、ライセンス違反といった深刻なビジネスリスクを生み出します。レポートは、OSPOの導入や明確な戦略策定がリスク管理と競争優位性の両面で重要な役割を果たすと強調しています。

セキュリティ体制の断片化：組織全体のリスクを高める

OSSのセキュリティ評価に関しても、深刻な課題が浮き彫りになりました。P.14の図10によると、新しいOSSコンポーネントを導入する前に組織が実施している評価手法は、いずれも採用率が50％を下回っています。

• プロジェクトコミュニティの活動レベルを確認：44％(最多)
• リリース頻度の確認：37％
• 直接的な依存関係の評価：36％
• 自動化セキュリティテストツールの利用：31％(小規模企業ではわずか16％)

セキュリティ保証の観点でも、単一の主流フレームワークが存在していません。P.14 図10では、ISO 27001とNISTコンプライアンスがそれぞれ25％でトップタイながら「わからない・確信がない」と答えた回答者が28％と最多という状況です。地域によっても選好するフレームワークが異なり、北米はNIST、欧州はISO 27001、アジア太平洋はコモンクライテリア認証(45％)を重視するなど、国際的な整合が取れていないことも課題です。

この断片化は、EU サイバーレジリエンス法(CRA)の観点からも喫緊の課題となっています。CRAは2027年12月の完全施行を控えており、製造業者に対しOSSへの依存部分のセキュリティについて積極的な責任を求めます。現状では製造業者の46％がセキュリティ修正を上流のOSSプロジェクトに受動的に依存しているとされており、早急な対応が求められています。

エンタープライズグレードのサポートへの高まる期待

OSSがミッションクリティカルなインフラとなった結果、組織のサポートへの期待も商用ソフトウェアと同等水準にまで高まっています(P.11 図7)。

• 本番環境の重大問題に対し12時間以内の応答を期待：71％
• 長期サポート(LTS)保証を期待：53％
• 迅速なセキュリティパッチ適用を期待：47％

業界別(P.12 表1)に見ると差は顕著です。製造業では97％が有料OSSサポートを必須とみなし(76％が12時間以内対応を要求)、金融サービスでは96％が必須と回答しています(83％が12時間以内対応を要求)。政府機関でも92％が必須としており、有料サポートが特に求められる環境はミッションクリティカルなワークロード(54％)、機密データを扱うシステム(43％)、規制対象業界(38％)の順となっています。

この変化は、従来の「コミュニティサポート」モデルとの根本的な乖離を示しています。OSSが基盤ビジネスシステムとして機能する以上、商用サポートプロバイダーはSLAによる保証、長期サポート、迅速なセキュリティパッチを提供する役割を担うことが求められます。

積極的な関与がもたらすビジネス価値

OSSを単に「利用する」だけでなく「積極的に関与する」組織は、様々な競争優位を得ています(P.19 図15、図16、P.21 図18)。

• 積極的な組織は受動的な組織より競争優位を認識する可能性が約20％高くなっています(79％ vs 66％)
• OSSへの貢献による主な組織メリット：スタッフの知識・スキル向上(77％)、ソフトウェア品質の向上(76％)、セキュリティの向上(72％)
• OSSが職場をより良くする：78％が同意(技術系人材の獲得に有利と回答：74％)
• 非常に積極的な組織は受動的な組織より人材獲得での有利さを認識する割合が高くなっています(84％ vs 68％)

P.22 表2によると、今後1年間の投資優先事項として、組織が依存する重要なOSSプロジェクトへのスポンサー(44％)、OSS利用・貢献のための開発者トレーニング(41％)、上流への貢献拡大(39％)が上位に挙げられており、受動的利用から能動的参加へのシフトが加速していることが分かります。

OSS関与を妨げる主な障壁

OSSへのより積極的な参加を妨げる要因も明らかになりました。貢献を制限する最大の障壁は「知的財産(IP)漏洩への恐怖」と「法律・ライセンスに関する懸念」がともに33％で並んでいます。利用の障壁としては「知的財産に関するライセンス懸念」(37％)が最多で、「技術サポートの不足」(36％)、「セキュリティ上の懸念」(33％)が続いています(P.23 図20)。

障壁が29〜37％の範囲に密集していることは、単一の問題への対処では不十分であることを示唆しています。知的財産ガバナンス、法令遵守、技術サポート体制、セキュリティ評価プロセスを包括的に整備する組織能力こそが、OSSへの深い参加を可能にする鍵となります。

結論と実践的示唆

本レポートが描き出すのは「広大な導入と脆弱なガバナンス」という矛盾した現実です。OSSはすでに企業テクノロジースタックの中核に組み込まれていますが、それを安全・確実・戦略的に活用するための体制整備は大きく遅れています。レポートは以下の3点を主要な推奨事項として提示しています。

(1)ガバナンス構造の確立
OSPOの導入または明確なOSS戦略の策定により、コンプライアンス・セキュリティ・貢献ワークフローを体系的に管理することが必要です。知的財産ガバナンスフレームワークと法的コンプライアンスプロセスの整備も不可欠となります。

(2)セキュリティ評価の強化
コミュニティヘルスチェックに偏った現状から脱し、自動化セキュリティテストツールの導入、SBOM(ソフトウェア部品表)の整備、直接依存関係の体系的な評価へと移行することが求められます。CRAへの対応も見据えた包括的なフレームワークを構築することが重要です。

(3)エンタープライズグレードのサポート体制の整備
ミッションクリティカルなワークロードに対しては12時間以内の応答時間を確保できる商用サポート体制を整え、有料サポートが必要な環境を明確に定義するとともに、コスト・ビジネス継続性の双方を考慮したサポートプロバイダー選定の基準を設けることが重要です。

OSSへの積極的な関与を受け入れる組織は、業界の技術進化を「適応する」立場ではなく「形成する」立場に立つことができます。ガバナンスと投資の両面でOSSを戦略的エコシステムとして捉え直すことが、今後の競争優位を左右する鍵となるでしょう。