新CTO、ビル・レディンガム、オープンソースロジスティクスについて語る。

2014年10月21日(火)
松下 康之

米国ブラック・ダック・ソフトウェアのChief Technology Officer(CTO)、ビル・レディンガム(以下、ビルと略)が来日、顧客とパートナーの皆様に向けてオープンソースの企業における導入の現状とブラックダックが提供するオープンソースロジスティクスの最新情報について解説しました。

以下は、そのセミナーでのビルのプレゼンテーションの概要と直後に行われたインタビューでの発言をまとめたものです。

ブラックダックOSSセミナー(2014年10月9日開催)で解説するブラックダックのCTO、ビル・レディンガム氏

ブラックダックOSSセミナー(2014年10月9日開催)で解説するブラックダックのCTO、ビル・レディンガム氏

ビルは2014年7月にCTO及びエンジニアリングのVice Presidentとしてブラックダックに参加しました。過去にセキュリティ関連のソフトウェア企業や音声認識のベンチャー企業においてエンジニアリングの責任者、ビジネス開発のVPなどを歴任しており、ハーバード大学でMBA、スタンフォード大でマスターオブサイエンスを取得しています。

今回ブラックダックが主催するセミナーにおいて、ビルはオープンソースソフトウェアの現状についてIDCのデータなどを使い、企業での利用が拡がっているという話題からセッションを開始しました。
Fortune 500※1の企業が使うソフトウェアの中で、オープンソースの割合は既に3分の1を超えたことを米国の調査会社IDCが発表したことを紹介し、この割合は3年から5年のうちに50%から75%になると想定されていると述べました。またオープンソースを活用したクラウドコンピューティングや仮想化技術が拡がっていること、様々なモノとインターネットを繋ぐInternet of Things(IoT)などにおいても半分以上のプラットフォームでオープンソースが使われていると説明しました。

ビルはこれらの内容についてより詳細に解説しました。ブラックダックのナレッジベースが追跡しているWeb上でのオープンソースのプロジェクト数は百万を超え、そこで開発されているソフトウェアのバージョンが500万を超えていること、さらにオープンソースのライセンスの種類も2300を超えているということです。これはオープンソースソフトウェアを使おうとする企業において、利用や監査などに大変な管理工数を必要とすることを示し、手動によるライセンス管理では限界があるということになります。

(※1)米ビジネス誌のForuneが年1回発行する、全米での総収入上位500社のリスト。

オープンソース・ソフトウェアはあらゆる分野で利用が広がっている(クリックで拡大)

「どうしてこれほどまでにオープンソースソフトウェアが拡がったのでしょうか?それはソフトウェア開発における3つの要因と関連があります。その3つとは、開発日程、必要とされるコスト、ソフトウェアが提供する機能です。オープンソースソフトウェアはそれらの要因をバランス良く解決する特効薬として期待されているのです。またIoTにおいても接続されるデバイスが爆発的に増えると予想されるわけですが、そのデバイスで利用されるソフトウェアだけではなく様々な部分においてもオープンソースが使われることが想定されています。既にスマートフォンでも同様のことが起こっています」と述べ、オープンソースが企業内でさらに活用されることを紹介しました。

次に開発者におけるオープンソースソフトウェアの利用について解説しました。開発者がWebからオープンソースソフトウェアのソースコードを取り込んで活用することは既に多くのプロジェクトで浸透しており、結果的にセキュリティが問題になることが明らかになっています。特に、2014年4月に発生したOpenSSLにおけるHeartbleedの脆弱性や、Bashシェルにおけるコードインジェクションの脆弱性についても言及し、オープンソースソフトウェアをきちんと管理しないとこれらの脆弱性によるリスクが企業に損害を与えると解説しました。
ひとつの例として、ある金融機関で利用している8000種類のアプリケーションにおいて、コードをスキャンした際に25000もの脆弱性が発見された例があると紹介。オープンソースソフトウェアが社内のどこで、どのように利用されているのかを正確に把握することはリスクを低減するためにも重要であるとビルは強調しました。

またセキュリティだけではなく、オープンソースのライセンスにおける法的な義務や知的財産においても問題となる可能性について解説しました。「特に我々が監査しているお客様が持つソフトウェアにおいても、GPLやコピーレフトのライセンスのソフトウェアが一部でも含まれるケースが50%を超えることを確認しています。これはもしも企業の法務部門などが無関心で居るような場合には潜在的な契約違反となるリスクを秘めていることになります」と延べ、オープンソースソフトウェアのライセンス管理が企業のコンプライアンスとしても必要であることを解説しました。
さらにオープンソースのプロジェクトがどのように運営されているのかを知ることは運用上の問題点として必要であると説明しました。これはそのオープンソースソフトウェアのプロジェクトが活発に活動しているのかどうか、バグ修正が素早く行われているのか等、コミュニティの状況を知ることはそのソフトウェアを利用する上で重要であることを示しています。

企業でオープンソースを使う場合はどこで使われているか、またライセンス条件をクリアしているかなどの把握が重要になる(クリックで拡大)

「このようなポイントをクリアするためにブラックダックは『オープンソースロジスティクス』というプラットフォームを開発しました。これは組織内のオープンソースのコンポーネントについてインベントリ(一覧のようなもの)を作り、脆弱性や法的なリスクに対して管理することを目的としています。この発想は、例えば物品のサプライチェーンの仕組みと同様に、自動的にオープンソースソフトウェアの在庫管理を行うことです。手動での管理を止め、自動化されたプロセスを運用することで、常に社内で利用されているオープンソースソフトウェアのBill of Material(目録)を作ることを目的としています。このプラットフォームによって脆弱性の管理、ライセンスの管理が自動化されます」と解説し、それによって企業が様々なリスクを低減することが可能になると述べました。

最後にブラックダックのCTO及びエンジニアリングの責任者として今後もオープンソースロジスティクスの開発を進めていく予定であることを説明し、セミナーを終えました。

セミナー後のビルに質問

セミナーの後、ビルにこんな質問を投げてみました。

松下:「オープンソースソフトウェアが企業内で活用されている状況についてですが、日本では大企業とまだ小さなスタートアップなどが先行していて、中小企業での導入が進んでいないという調査について日立ソリューションズ様から紹介がありましたが、これについてコメントはありますか?」

ビル:「なかなか興味深い調査ですね。企業が積極的にオープンソースソフトウェアを活用するようになったのはここ10年くらいで、それまではライセンスに関する知財的な懸念からオープンソースを使うことを躊躇っていたのですが、ソフトウェア開発のコストとイノベーションのスピードからみてオープンソースを活用するほうが企業にとってプラスであると判断されたことが大きいと思います。それは特に大企業で顕著ではないでしょうか。
また大企業には社内に開発者が多く存在することも影響していると思います。大企業に就職する若者たちが既に大学でのオープンソース活用を経験して慣れているということもあると思います。実際に大企業においてはグループ会社や取引先などの関連企業との関係から大企業が活用しているオープンソースソフトウェアがグループ会社に広がっていくということも現象としてみられますので、これからさらに広がっていくであろうと思います。これは日本国内でも自動車関連の企業において既に起こっていることです。」

松下:「セキュリティの観点からオープンソースの脆弱性を常に管理することが企業において必要であると説明していましたが、どうやってそれを企業に理解してもらうんですか?」

ビル:「ある企業においてオープンソースを管理するためにマニュアルで実施していた例があります。この企業ではエクセルのスプレッドシートで各コンポーネントを管理していたんですが、オープンソースソフトウェアの数と脆弱性の数が少ないうちは管理ができていましたが、利用が進んで行くに連れて管理ができなくなってしまいました。この例を挙げるとだいたい理解して貰えるようですね(笑)」

松下:「オープンソースの脆弱性を追跡するためにブラックダックはどのような方法をとっているんですか?」

ビル:「我々は様々なルートから情報を得ています。例えば米国政府が管理しているNational Vulnerability Databaseなどがあります。ここで発表される情報のフィードを常に監視することで、いつどのようなコンポーネントで脆弱性が発見されたのかを追跡し、我々のナレッジベースに追加しています。ブラックダックの顧客はこのナレッジベースと自社のインベントリを自動的にマッチングすることで利用しているオープンソースソフトウェアが脆弱性を含むのか、どう対処すべきかなどを管理することができるのです。」

松下:「ブラックダックのCTOとしての目標はなんですか?向こう1年で達成したいことは?」

ビル:「私のゴールとしてはもっと自動化を進めること、です。オープンソースのプロジェクトは日々新しく追加され、常にソフトウェアが更新されています。例えば、OpenStackやDockerなど常に新しいソフトウェアが登場して、あっと言う間に利用者が増えていくことが起こっています。マニュアルでこれを管理することはもう不可能です。ですので、これに対応するためにオープンソースロジスティクスのプラットフォームを進化させ、ナレッジベースを充実させる必要があります。我々自体がオープンソースの利用者としてHadoopやPostgresなどを活用していますし、最新のバージョンではApache Solrを活用して検索機能を追加しています。我々もオープンソースのベネフィットを受け、オープンソースを活用しながら、ソフトウェアを開発するということを日夜進めています。利用者であり、ツールベンダーとしてオープンソースの発展に貢献したいと思っています。」

セミナーでのレディンガム氏。これまで数多くのスタートアップを経験したオープンソースとセキュリティの専門家だ。

セミナーでのレディンガム氏。これまで数多くのスタートアップを経験したオープンソースとセキュリティの専門家だ。

フリーランスライター&マーケティングスペシャリスト。DEC、マイクロソフト、アドビ、レノボなどでのマーケティング、ビジネス誌の編集委員などを経てICT関連のトピックを追うライターに。オープンソースとセキュリティが最近の興味の中心。

データシート