ソフトウェア会社化する企業に必要なOSSのセキュリティとは? ブラック・ダック新社長に聞く
Black Duck Softwareは、企業が開発やシステム構築において利用するオープンソースについて、情報や管理プラットフォームなどを提供する企業だ。Black Duckのソリューションには、開発されたソースコードから使われているオープンソースコードを検出したり、部門ごとにばらばらに利用されるオープンソースコードのバージョンを追跡したりするシステムなどがある。なお、さまざまなOSSプロジェクトの情報を集積し公開している「Black Duck Hub」も運営している。
Black Duck Softwareの日本法人であるブラック・ダック・ソフトウェア株式会社では、2016年4月にジェリー・フォズニック(Gerry Fosnick)氏が社長に就任した。今回はフォズニック氏と、Black Duck SoftwareのCEO兼代表取締役社長のルー・シップリー(Lou Shipley)氏に、就任の背景や、日本市場の状況について話を聞いた。
まず、Black Duckのグローバル市場と日本市場の状況についてお聞かせください
シップリー氏:Black Duckのビジネスは、セキュリティとコンプライアンスの分野が主導して、ワールドワイドでは毎年成長率100%を遂げています。日本でのビジネスも、強力なパートナーを得て成長しており、米国に次いで2位の市場になっています。主に、見える化の分野です。特に、セキュリティ分野が始まりつつあります。そこで、製品の管理を熟知したジェリー(フォズニック氏)を招きました。
では、フォズニックさんのこれまでのバックグラウンドを教えてください
フォズニック氏:日本に20年ほど住んでいます。最初はAspen Technologyでした。次はSterling Commerceにいましたが、Sterling CommerceはIBMに買収されました。Black Duckの前は、Aprisoに11年在籍していました。製造オペレーション管理(MOM)や製造管理(MES)のシステムのベンダーで、大手製造業が顧客でした。そうした製造管理の分野からなぜBlack Duckに移ったのか疑問に思われるかと思います。ソフトウェア開発はアウトソーシングされていますが、自動車業界における下請けの製造管理のようなフローがソフトウェア開発ではなされていません。そのため、Black Duckの製品やサービスにニーズがあると考えました。特に、日本の市場は機会があると思っています。
シップリー氏:Black Duckはグローバルでも、ソフトウェアのサプライチェーンの管理、特に部品となるソフトウェアの脆弱性の管理などに力を入れています。
フォズニック氏:例えば、クライスラーはソフトウェアが原因で自動車を140万リコールしました。ソフトウェアが工業製品の問題の一つになりうるわけです。これからIoTが広がると、日々莫大なリスクに対応しなければなりません。
日本の状況はいかがでしょうか
フォズニック氏:日本の製造管理には定評がありますが、ソフトウェアの製造管理はまだ遅れています。特に、日本の大手企業はSIerにアウトソースして、完成した中に何が使われているかを理解していないのが危険だと思います。
エンタープライズ以外でも同様でしょうか
フォズニック氏:はい。日本で、主に3つの対象業界があります。1つめは機器の組込みソフトウェアの業界です。2つめは、ERPなどのソフトウェアの業界で、ここではあまりOSSの管理は行なわれていません。3つ目は大企業です。
シップリー氏:Black Duckの顧客の例でいうと、Amazonでは買収した会社のソフトウェアに対する知的所有権の監査から利用が始まりました。やがてAWSやソフトウェア開発にも適用されるようになりました。こうして、ソフトウェアのコンプライアンスだけでなく社内のソフトウェア管理にまで利用されています。米国が先行して、日本ではこれからのトレンドとしては、金融サービスでのOSS利用があります。昨年、ソフトウェアベンダーを表彰する「Hall of Innovation Award」をJPモルガンが受賞しました。こうして大手銀行にもOSSが広がっていると思います。この業界では、コードベースの脆弱性をきちんと見える化していかなくてはいけない。同様に、米国では政府系のビジネスが伸びているので、日本でも今後成長する余地があると思います。
日本の金融業界相手のビジネスはいかがでしょうか
フォズニック氏:遅れていますが、大きなニーズがあります。4月に起こった、国際銀行間通信協会(SWIFT)のソフトウエアの問題でバングラデシュ中央銀行の口座からから8,100万ドルが不正送金された事件などもあり、金融業界は気にしています。金融業界ではたくさんの古いシステムが使われていて、ソースコードの確認をしなくてはならないので、そこがビジネスになります。また、日本の金融機関も海外とのビジネスにより、グローバルなアプリケーションを作っていく必要があります。そのときにシステムが古いと不便なので、新しいシステムが必要になって、Black Duckも必要となるでしょう。これからいい事例が出てくると思います。
金融業界を開拓していくのは、パートナーの役割でしょうか
フォズニック氏:おそらくパートナーと直販の両方あります。OSSにおける問題が金融業界で知られていないと思うので、まずはそうした問題の説明をセミナーなどで伝える必要があります。これにはパートナーと直販の両方の方法をとれます。どちらがいいかはお客様の判断になります。
日本市場に機会があるとのお話ですが、数字的な目標はありますか
フォズニック氏:具体的な数字は出せませんが、グローバルで90〜100%の成長をしています。そこで、日本も同じく90〜100%、つまり2倍の成長の可能性があると思っています。
さきほど金融市場の話がありましたが、そのほかに日本市場で伸ばしたい分野はありますか
フォズニック氏:私が長年、製造の分野に携わってきたこともあり、自動車業界は開拓していきたいと考えています。また、現在弊社のお客様であるパナソニック様やオリンパス様などの製造業企業では、コンプライアンス製品は採用していただいていますが、セキュリティ製品はまだなので、そこも広げていきたいと思います。どちらが先になるかはわかりませんが。金融と違って自動車は日本だけでなくグローバルでも販売します。そのためにはサプライチェーンの管理が重要になり、メーカーは頭がいたいのではないかと思います。ソフトウェアの開発でもセキュリティ管理などを最初から考えなくてはなりません。製造では品質管理を重視していますが、そのような企業でもソフトウェアについてはまだ同様のことはできていない。それらの企業にわれわれのソリューションを説明し、効率的にソフトウェア開発する方法をいっしょに導入していきたいと思います。
シップリー氏:いまトレンドとして「企業はみなソフトウェア会社になる」「デジタルトランスフォーメーション」といった言葉が言われるようになりました。そこでよく例に出されるのが、GMからテスラまでの自動車メーカーです。いまや自動車メーカーも、コネクテッドカーや自動運転車などソフトウェアへのシフトがグローバルなトレンドです。
Black Duckに競合会社はありますか
シップリー氏:われわれはこの事業に長く取り組み、ナレッジベースにも投資してきたので、非常にユニークなポジションにあります。ただし、セキュリティ市場が今後開けるにつれて、シリコンバレーのベンチャーなども今後参入してくると思います。
競合が増えてきたときの差別化ポイントはどのあたりでしょうか
シップリー氏:最近、ナレッジベースまわりで2件の投資を発表しました。1件はカナダの会社で、ナレッジベースのキュレーションに機械学習をとりいれるというもので、これによりマッチング機能を強化します。もう1件は、ベルファストのセキュリティリサーチ企業で、OSSのセキュリティが発見されたときにそれを修正していきたいという要望に応える技術です。われわれはナレッジベースに多大の投資をしているので、後から参入してもそれに匹敵するのはなかなかないと思います。新規参入企業はそれとは違ったアプローチで、たとえばパッケージマネージャーでチェックするといった方法をとります。しかし、OSSの中に組込まれたOSSなどまでチェックするには、われわれのようにスキャン&マッチすることになります。そのためには、われわれの幅広いナレッジベースがあってこそ安全・安心が実現できます。
最後に、今後の抱負をうかがいます。まずシップリーさんからフォズニックさんへの期待をお願いします
シップリー氏:日本は世界第2の市場ですので、セキュリティなどにおいて、金融や政府系などの新しい市場の開拓を期待しています。
では、それを受けてフォズニックさんの抱負をお願いします
フォズニック氏:売上を大きく上げたいと思います。Black Duckの名前や可能性も広まります。OSSの開発にはBlack Duckが必要、という認知を作りたい。
シップリー氏:昨年発表した新製品「Black Duck Hub」は、今四半期で1/2の売上を期待されています。今後、日本市場でもBlack Duck Hubの売上を期待したいと思います。