ForgeRockとの提携やOpenStandiaにみるNRIのオープンソース戦略

野村総合研究所（NRI）は7月、シングルサインオンのアクセス管理製品を開発するForgeRock社とパートナー契約を結び、国内唯一の販売パートナーとなった。ForgeRock社は、オープンソースのシングルサインオン製品として大きなシェアを持つ「OpenAM」などを開発している企業だ。国内でもOpenAMを推進する企業が集まって「OpenAMコンソーシアム」を結成しており、NRIが事務局を運営している。

またNRIは、オープンソースソフトウェア（OSS）のワンストップサービス「OpenStandia」を提供している。OpenStandiaではOSSを組み合わせた各種ソリューションも提供しており、OpenAMなどを使ったアクセス管理ソリューションも含まれる。

ForgeRockとの契約によりどのような製品やソリューションがNRIから提供されるのか。NRIはアクセス管理ソリューションやOSSに対してどのようなアプローチをとっているのか。こうした疑問について、IT基盤イノベーション事業本部　オープンソースソリューション推進室の高橋雅人グループマネージャーと内山昇氏に話を聞いた。

エンタープライズ版とコミュニティ版の違いは

ForgeRockが開発するOpenAMは、旧Sun Microsystems（現Oracle）の「OpenSSO」からフォークして作られているシングルサインオン製品だ。ForgeRock自身、Sun Microsystemsからスピンアウトして設立された。現在ForgeRockでは、OpenAMのほか、ディレクトリサーバーの「OpenDJ」や、アイデンティティ管理製品の「OpenIDM」などを開発している。

NRIはForgeRockとの提携により、ForgeRockの全製品のサブスクリプション販売と、全製品の日本語サポート、トレーニングや相談などのスタートアッププログラムを提供する。また、OpenStandiaのシングルサインオン＆ID管理ソリューション「OpenStandia/SSO&IDM」にForgeRock製品を組み込む（11月初予定）。

ForgeRockの製品はOSSとしても公開されており、販売するのはそのエンタープライズ版に当たる。ForgeRockの方針として、OSSのコミュニティ版としては、4年の周期でメジャーリリースされる初期リリース（最初のバージョン）か、開発中のナイトリービルドだけが公開されるという事情がある。コミュニティ版はあくまで開発版という位置づけだ。

正式なメジャーバージョンがリリースされると、そこで開発用のソースコードリポジトリからエンタープライズ版の非公開なリポジトリが分かれて新しく作られる。リリースされたバージョンへのバグフィックスなどの修正はエンタープライズ版のリポジトリに加えられ、エンタープライズ版でのみマイナーバージョンアップがリリースされるわけだ。

図2: ForgeRock製品のエンタープライズ版とコミュニティ版の違い（クリックで拡大）

「コミュニティ版を使う場合は、JIRAで公開されるパッチをひとつひとつ検証して当てていく作業が必要になります。認証はセキュリティが極めて重要な領域なので、エンタープライズレベルでのサービスを提供する以上、迅速性と確実性、そして世界のエンジニアの技術がコミットされて安定した製品を提供する必要があるとの判断から、ForgeRockと契約しました」と高橋氏は説明する。

すでに数社からエンタープライズ版の引き合いがあり、一部ユーザーはすでに導入しているという。