IBMのJeffrey Borek氏にインタビュー。OSPOに関する課題と未来を考察

2023年12月に開催されたOpen Source Summit Japan 2023に合わせて来日したIBMのオープンソースプログラムのディレクターJeffrey Borek氏にインタビューを行った。オープンソースソフトウェア（OSS）におけるライセンス変更のトレンドや、企業内でオープンソースソフトウェアに関する担当部署を設置する際の問題点や将来の展望などについて、1時間以上も時間を割いて話をしてくれた。

お久しぶりです。1年ぶりですね。

2022年にもインタビューを行っているがその内容は記事化していない。2019年に行ったインタビューについては以下を参照して欲しい。

●参考：2019年に来日した際に行ったインタビュー記事：IBMのオープンソースプログラムのトップJeff Borek氏が語るOSSについて

Jeff Borek氏（左）と同席したカスタマー・サクセス事業部の大西彰氏（右）

Borek：そうですね。新型コロナによってさまざまな制限が加わるといった事態が起きてしまいましたが、ようやくその制限も緩和されて今回のサミットのようなリアルのイベントも開催されたのが嬉しいですね。

今回のOpen Source Summit Japanで複数のOSSに貢献しているエンジニアを招いて座談会をやりました。それをやった理由は「どうして一般企業のエンジニアがOSSに貢献しないのか？」という根源的な疑問について、何らかのヒントを探そうとしたからです。IBMやRed HatのようにOSSに貢献することが仕事になっているような企業は別にして、一般企業で働いているエンジニアにとって業務である仕事をしながら外部のコミュニティが開発しているソフトウェアに貢献するというのは非常に難しいというのが一般的な認識です。

●参考：CNCFジャパンチャプター結成の背景：クラウドネイティブ啓蒙のためのジャパンチャプター結成の背景をインタビュー

Borek：それについては少しだけIBMの秘密をお話しましょう。私はどうも秘密を守るというのが苦手なのですが、ここから話すことで誰も傷つかないことを祈ります。昨日Open Source Summit Japanが終わって（2023年12月5日と6日の2日間開催）今日The Linux FoundationのエグゼクティブディレクターJim Zemlinなどが箱崎にやってきて、LFのメンバーに向けた非公開のミーティングを行いました。そこには日立やトヨタなどが参加しましたが、実は日本アイ・ビー・エムもレッドハットもそれには参加してはいなかったのです。それは残念な状況でしたが、「日本でOSSに貢献している企業」と貴方が言っている組織であっても、そういうことが起こり得るのです。

その場ではJimから現在のOSSに関する現状の報告がありましたが、そこでもKubernetesは世界中で受け入れられているが、日本市場にはあまり浸透していないという報告がありました。Jimと私はかつてパシフィックノースウェストで通信会社のエンジニアとして働いており、そのころからの付き合いですが、当時のベビーベル（AT＆Tが分割された後に作られた地域別の通信事業会社）はソフトウェア開発という意味では実に保守的で「彼らはスイス時計を巻くのは上手いが、スイス時計を作ることはできない」などと揶揄されていました。今の日本の状況と似ているのかもしれませんね。つまり先進のソフトウェアを使う、消費することはできても、それ自体を作り上げることは苦手であると。

その状況を変えるためには何をすれば良いと思いますか？

Borek：今回のOpen Source Summit Japanでのセッションはその点にフォーカスして、OSPO（Open Source Program Office）という新しい組織における「やってはいけないこと」を解説しました。それにより皆さんの意識が少しでも変わればというのが私の願いだったのです。

今回のセッションは「How Future-Proof Is Your OSPO? Avoid These 5 Common Missteps for Better Outcomes」と題され、OSPOを作り継続するための5つのヒントについて解説している。

●OSPOに関するセッションの動画：How Future-Proof Is Your OSPO? Avoid These 5 Common Missteps for Better Outcomes

●セッションで使用されたスライド（PDF）：How to Future-proof your OSPO Avoid These 5 Common Missteps for Better Outcomes

そのセッションを要約してください。

Borek：これはOSPOを設置する際の留意点を5つに分けて解説していますが、「どうしてそのような組織が必要になるのか？」という理由を突き詰めて考えるべきだというのが最初のポイントです。その次に「OSPOが企業に与える価値を考えること」、それについては組織のあり方や社内社外の双方に向けて考える必要があることを説明しています。3つ目は「OSPOを設置しないリスクについて考えること」、同時に自社が使うオープンソースソフトウェアがどのような性格のものであるかを見極めることでリスクを軽減できることなどを解説しています。4つ目は「デベロッパーアドボケイトという役割について説明」し、最後の5つ目のポイントは「経営層からのサポートを取り付けることの必要性」を説明しています。

欧米でのOSPOはオープンソースソフトウェアに関する法的なリスクを避けるという意味合いが大きく、その後、社内のデベロッパーを活用するためのインナーソースなどの面にも注目されているということだと思います。一方日本では事業会社側にデベロッパーがいない、システムインテグレーターがデザインから実装までを請け負い、ユーザーは運用を担うという問題がスルーされているように思います。それに関しては？

Borek：それはその通りですね。ですからOSPO以前にソフトウェアを消費するだけではなく自社のニーズに従ってデザインし構築し、必要があればプログラミングを行うというエンジニアがいなければ意味がありません。

実際に日本のユーザー企業、事業会社もエンジニアを自社で雇い外部に丸投げするような傾向は徐々に減っているとは思いますが、エンジニアがいないということについてはテクノロジーの問題というよりも経営、そして組織の作り方の問題であるように思えます。サミットの時にサイバーエージェント、サイボウズ、日立のエンジニアに集まってもらって座談会をやった時にも、OSPOは専業の組織ではなく兼業でバーチャルな組織のほうが良いという意見もありました。

Borek：組織についてはそれぞれ個別の状況があるので、一概に何が良いとは言えないのですが、一般企業が使っているシステムの大部分にOSSが使われているという状況は続いていくでしょうし、今後も増えていくはずです。なので「自社が使っているツールが何か？」という部分を意識せざるを得ないことも続いていくでしょう。今回はSBOMについても多くのセッションがありましたが、アメリカではSBOMよりもAttestation（真実であることの証明や認証）に大きな注意が向けられるようになりました。SBOMはアウトプットですが、そのソフトウェアが、誰がどのような構成物から作り上げたのか？ という証明書を、開発する側も利用する側も意識しなければいけないのです。

別のセミナーの取材でデジタル庁の人が「これからはSBOMが大事！」って解説しているセッションがありました。大事と言う割にSBOMを作る際のプロセスの自動化については何のコメントもしていないので、セッションが終わった後にその人に「SBOMが大事なのはわかりますが、それ以前にビルドからテスト、実装までが自動化されたプロセスの中でSBOMが作られるようにならないと意味がないのでは？」と質問したところ、「それはその通りだが今回はSBOMの解説に留めた」と言っていました。日本ではSBOMという単語が独り歩きしてる感がありますね。

Borek：（苦笑）

最後にOSSについて最近はライセンスを変更することで、より制限の強い利用方法に変える動きも出ています。その辺りについてのコメントはありますか？

Borek：最近のHashiCorpの例ですね。ベンチャーキャピタリストからの圧力でそうならざるを得ないというのは理解します。それよりもIT業界的にはBroadcomがVMwareを買収したことの影響の方が大きいかもしれません。Open Source Summit Japanでキーノートとして行われたLinus Torvaldsのセッションは、最近はいつも友人のDirk Hohndelとのチャットですが、DirkもVMwareからVerizonに転職してしまいました。他にもVMwareから離れたエンジニアは数多いと聞いています。

Jeff Borek氏は他にも多くの話題に脱線しながらも常にオープンソースの支持者としての姿勢は崩さず、日本の状況も理解した上でIBMを含むさまざまな組織の過去の失敗について率直に説明してくれる稀有な有識者と言える。次に会う機会はパリのKubeCon 2024 Europe、もしくはソルトレークシティーのKubeCon 2024 North Americaだろうか。次回の対話が楽しみだ。