第 2 章: オープンソースプログラムオフィス(OSPO)の価値

序文

あなたの組織は、その自覚がなかったとしても、おそらくすでにオープンソースと関わっています。今日開発されるほとんどのソフトウェアには、オープンソースのコンポーネントが含まれているか、オープンソースのツールを利用して開発またはホストされています。ソフトウェアを開発しない組織でも、たいていは、オープンソースのコンポーネントを含むソフトウェアを利用しています。

多くの組織にとって、オープンソースとの関係を積極的に管理することで、どれほどのメリットが得られ、リスクを軽減できるかを検討する価値があります。前章で述べたように、これには、現在のオープンソースの利用状況を理解し、その後に、組織の目標達成を支援するためのオープンソースのより効果的な管理方法を評価することが含まれます。

本章は、OSPO を通じてオープンソースを管理することで組織にどのような価値をもたらす可能性があるかを理解するのに役に立ちます。これは組織ごとに異なるため、あなたの組織の戦略と目標を把握することが重要です。

OSPO の仕事は、オープンソースが組織に価値をもたらすことができる領域を理解し、関連するすべての活動を積極的に管理または監督することです。

どの組織にも OSPO を設立する独自の理由があります。OSPOのビジネスバリュー 1 で挙げられている一般的な理由は次の通りです。

  • オープンソースに関する標準プロセスの構築
  • オープンソースコミュニティへのアプローチ方法の習得
  • オープンソースプロジェクトの持続可能性の尊重
  • コンプライアンス管理
  • オープンナレッジへのアクセス拡大
  • 開発速度の向上
  • セキュリティリスクの軽減

OSPO はどのように価値をもたらすか?

ソフトウェアを開発している場合

これは、OSPO の一般的で比較的包括的なユースケースです。組織によっては、これらの問題の一部のみを検討すれば良いかもしれません。

組織のステークホルダーは、最終製品がオープンソースではないため、自分たちの製品はオープンソースコンポーネントを一切利用していないと思い込んでいることがあります。しかし、ソフトウェアサプライチェーン全体を見れば、ほぼすべてのソフトウェアが、オープンソースの依存関係やアーティファクトを含んでいることがわかります。こうしたオープンソースプロジェクトに取り組んでいるコントリビューターが組織を去ることになった場合、そのプロジェクトが最新の状態でなくなったり、セキュリティ脆弱性の標的になったりする可能性があります。これは、組織が利用または販売するあらゆるソフトウェアに影響を及ぼし、その評判、パフォーマンス、収益に直接的な影響を与える可能性があります。

OSPO は、ソフトウェアにおけるオープンソースコンポーネントの利用状況を理解し、積極的に管理することを通じて支援します。

OSPO の支援方法

  • 脆弱性の管理: オープンソースプロジェクトは、それに依存する製品におけるセキュリティ脆弱性の原因となる可能性がある。また、組織内でオープンソースプロジェクトがどのように利用されているかを追跡し、特定されたプロジェクトのリスクを評価するのが難しい可能性もある。組織内の主要なプロジェクトを特定すれば、共通脆弱性識別子(CVE)を追跡することで、優先的にセキュリティを確保できる。多くの場合、エンタープライズアーキテクチャチームがアプリケーションや技術のオープンソースコンポーネントを追跡し、OSPO が専門知識を提供する。

  • サプライチェーンにおけるリスクの理解: オープンソースの世界は広大で分散しており、個々のプロジェクトのコントリビューターを特定したり、特定したプロジェクトのリスクを評価したりするのは難しい可能性がある。そして、こうした要因により、組織がリスクを正確に評価し、ソフトウェア、ハードウェア、データなどのセキュリティと品質基準を理解するのが難しい場合がある。

  • 主要なオープンソースプロジェクトとの健全な関係構築: オープンソースを利用している商業組織は、利用しているプロジェクトの貢献に意欲的であることが多い。しかし、自社製品に機能を追加するプレッシャーから、忙しくなるとオープンソースへの貢献が後回しにされることがある。プロジェクトのフォークを維持するよりも、機能やバグ修正をアップストリームに貢献する方が長期的には労力が少ないとわかっているにも関わらず、組織は短期的な利益を優先し、変更をアップストリームに反映させるための追加の労力を費やさない傾向がある。

  • 主要なオープンソースプロジェクトの支援と影響力: あなたの組織は、オープンソースプロジェクトにリソースを提供する上で有利な立場にある可能性がある。それは、コーディング、専門知識、共通の脆弱性の修正へのインセンティブとしての金銭的寄付などの方法がある。また、セキュリティ上の懸念に包括的に対処するために、業界のワーキンググループと連携することも生産的である。組織の戦略に一致し、オープンソースプロジェクトに価値をもたらす計画を立てることは、有益なコミュニティメンバーとなるための良い方法である。

  • 規制されたプロセスとオープンソースプロセスのギャップを埋める: オープンソースは、貢献が可能な限りスムーズかつ自然に発生する流動的なエコシステムである。金融企業や政府など、規制の厳しい環境で直面する長い調達プロセスは、オープンソースへの貢献や参加の障壁となる。

  • 高利益・低リスクのアプローチを確保するためにオープンソースリテラシーを高める: 意思決定プロセス、管理、ポリシー策定に関わる組織の他の部門は、オープンソースの概念を真剣に受け止めていない可能性がある。これには、組織内でオープンソースのリスクと価値を継続的に教育し、実証することが必要である。

オープンソースから最大限の利益を得るため、そしてリスクを軽減するために、組織は文化面と実務面の両方で、オープンソースの運用を適切に管理することに投資しなければなりません。さまざまなチームや部門が直面するオープンソースの課題を解決するために、組織内で献身的で部門横断的な連携を促進するため、通常これは、OSPO を通じて実現されます。OSPO は センターオブエクセレンス(CoE)として機能します。

公共サービスを提供している場合

OSPO の支援方法

私たちは、より多くの公共機関が、市民へのサービス向上のためにデジタル政策目標を達成するため、そしてこうした目標達成に向けた組織変革を進めるために、OSPO の価値を認識し始めていることを確認しています。

公共機関は、オープンソースの運用管理において、厳格な法律や規制の遵守が必要であることや、透明性と説明責任のある運営を求められるなど、独自の課題に直面しています。OSPO は、政府や公共機関がこれらの課題を克服するのを支援します。

  • コンプライアンスの向上: OSPO は、データプライバシーに関する法律、調達規制、透明性要件などの関連法規や規制に準拠したオープンソースの運用を確保するための支援をする。これにより、組織は、高コストな法的および規制上の問題を回避し、責任ある公共機関としての評判を維持できる。

  • 連携の増加: OSPO は、異なる部門間、および他の公共機関、オープンソースコミュニティ、市民社会組織を含む外部のステークホルダーとの連携を促進するのを助ける。こうした連携が増えることで、組織は、より広い人材とリソースのプールにアクセスし、より優れたオープンソースソリューションを開発できる。

  • リソース配分の改善: OSPO は、リソースをより効果的に配分して、オープンソースの運用が適切に支援され、重要な取り組みが成功するために必要なリソースを確保する。これにより、組織はオープンソース技術のメリットを最大化し、イノベーションと成長を促進できる。

  • サービス提供の改善: OSPO は、より優れた解決策を開発するために、革新的でコストパフォーマンスの高い技術を採用し、外部のステークホルダーと連携できるようにすることで、公共サービス提供の改善を支援する。これにより、組織は、市民により良いサービスを提供し、地域社会の変化するニーズに対応できるようになる。

欧州委員会の OSPO は、公共行政関係者向けに OSPO 関連トピックの進捗に関する最新情報を提供するための、wiki や知識アーカイブとして機能する新しいポータルを立ち上げました。このポータルは、OSPO 関連トピックについてもっと知りたい読者向けに、有用な研究資料、プレゼンテーション、ユースケース、ガイドなど、さまざまなリソースを提供しています。章末の「リソース」セクションに URL を記載しています。

文化的な影響として

ソフトウェアが支配する世界において、OSPO は、組織内の強力な文化的触媒として機能します。単にオープンソースソリューションの技術上の統合を管理するだけでなく、オープンな連携、透明性、イノベーションを促進することで、組織文化を根本から変革します。

組織が社会的、経済的、技術的にミッションクリティカルな問題においてオープンソースへの依存度をますます高めるにつれて、OSPO の文化的影響は、マインドセットやワークフローの再構築に不可欠なものとなります。この文化的変革により、組織は、オープンソースを単に価値を抽出するリソースと見るのではなく、より広範なオープンソースエコシステムにおける積極的な貢献者となる方向へと向かいます。OSPO は、オープンソースの価値とプラクティスを組織全体に根付かせることで、内部のオープンソース推進者を育成し、協働の規範を確立し、知識共有が盛んな文化を育みます。

この文化的変革は、リスク管理とイノベーションを支援するだけでなく、組織が依存するオープンソースコミュニティの持続可能性を確保します。OSPO が文化的影響を継続的に与えなければ、組織はオープンソースの専門知識を失い、セキュリティや法的な脆弱性を高め、コミュニティエンゲージメントを減らし、評判を損なうリスクがあります。

オープンソースは、静かながらも極めて重要なニーズであり、OSPO の文化的影響は、組織の文化と知識を進化させ、より安全で持続可能なオープンソースを構築する上で不可欠です。

OSPO の支援方法

  • カウンセラーとしての役割: 戦略的なアプローチとは、時には一歩引き、特定のプロジェクトに適したエンゲージメントモデルの種類や、組織が各プロジェクトにどの程度関与すべきかといった難しい質問についてじっくりと考える時間を取ることである。また、既存のプロジェクトへの貢献と新規プロジェクトの作成のどちらが適切かという問題もある。このような戦略レベルの議論を行っている OSPO は、各チームの従業員にガイドラインを提供できる。そのため、従業員は、問題解決に取り組むたびに異なるオープンソースエンゲージメントモデルのビジネス上の影響を考慮する必要がない。
  • ファシリテーターとしての役割: OSPO は、組織のチームや意思決定者のオープンソースに関する関心とオープンソースコミュニティからのニーズの間の橋渡し的な役割も果たす。また、組織がオープンソースコミュニティと効果的かつ健全な形で関与するために必要な文化、プロセス、ツールの変更をスムーズに進められるよう支援する。

  • 支持者としての役割: OSPO は、オープンソースとそのベストプラクティスの活用を組織内のさまざまな部門に普及できる。これにより、人々がオープンソースプロジェクトへの貢献や新たなプロジェクトの立ち上げに関与するだけでなく、組織がオープンソースのメリットを実感できるようになる。

  • 環境保護者としての役割: OSPO は、セキュリティ、メンテナンス、プロジェクトの健全性などの課題に対処することで、組織がオープンソースプロジェクトを長期的に支援し、維持するのを助ける。これにより、オープンソースプロジェクトが長期的に健全な状態を保ち、より広いコミュニティに利益をもたらし続けることが保証される。

  • ゲートキーパーとしての役割: OSPO は、オープンソースポリシーの施行とオープンソースガバナンスの強化を支援する。これにより、組織はコンプライアンスを確保し、オープンソースのセキュリティリスクを軽減できる。

ospo-support

分散型オープンソース管理モデルへの中間ステップとして

OSPO は、オープンソースを継続的な活動として管理し、組織のすべての部門に適切に統合する取り組みを支援します。一部の組織ではさらに一歩進み、通常の組織構造と機能の中でオープンソースの管理を完全に担うよう取り組んでいます。OSPO が、この目標達成の中間ステップとなるかどうかについては、まだ明確な答えはありません。

その答えは、OSPO をどう捉えるかによって異なります。OSPO にはさまざまな組織形態がありますが、その本質は人材です。OSPO は、すべてのオープンソース活動に関するサポート、知識、そしてマネジメントを提供するオープンソース領域の専門家集団です。この先さらに多くのオープンソースの統合が進むことは避けられないため、こうした人材を単に維持するだけでなく、将来に向けて強化し、効果的に資金を提供しなければなりません。

理想的なシナリオでは、オープンソースに関する知識、技術的専門性、文化は、他の従業員のスキルと同様に統合されるべきです。しかし、現実はこれとは程遠い状況です。現在、オープンソースコミュニティと特定の業務部門(たとえば、セキュリティ、法務、ビジネス)の間のギャップを効果的に埋めることができるオープンソースの専門家を見つけるのは困難であり、ましてやビジネス全体のあらゆる部分に配置できるような人材を見つけるのはさらに困難です。

しかし、今後数年で変わるかもしれないことは、OSPO に対する中央集権的な見方です。こうした従来の認識は薄れ、チームや事業部門を超えた、より分散化された構造へと移行するかもしれません。

ospowork

出典: OSPOs, key lever for open source sustainability

組織への OSPO の適用

オープンソースの利用価値を評価する

組織は、オープンソースの利用にどのくらいすでに依存しているかを過小評価しているかもしれません。いくつかの研究が、業界におけるオープンソースの利用を分析しています。たとえば、Synopsys Open Source Security and Risk Analysis Report 2024 2 によると、平均的なソフトウェアプロジェクトの 77% がオープンソースで構成されています。さらに、ハーバード・ビジネス・スクールの研究 3 によると、広く利用されているオープンソースの供給側の価値は 41.5 億ドルであるのに対し、需要側の価値はそれよりもはるかに大きい 8.8 兆ドルと推計されています。さらに、OpenForum Europe による研究 4 では、オープンソースが欧州連合(EU)の GDP に 650 億から 950 億ユーロ貢献し、同地域のデジタル経済に著しい成長機会をもたらすと推定しています。

次のような手順を実行して、あなたの組織にとっての価値を評価してください。

  • 開発チームと運用チームが利用しているオープンソースについての情報を収集する。
  • 購入している商用ソフトウェアや利用しているサービスにどのようなオープンソースコンポーネントが含まれているかを明確に把握する。また、ベンダーにソフトウェア部品表(SBOM)を要求するなどして、利用しているオープンソースについて問い合わせる。
  • 商用代替品に置き換えた場合のコストを評価し、現在のオープンソースの利用によるコスト削減効果を評価する。
  • 既存のオープンソースコンポーネントの利用が、イノベーションのスピードやエンジニアリングの俊敏性をどのように向上させるかを評価する。

OSPO が将来もたらす価値を検討する

組織の戦略や目標が変化するにつれ、組織における OSPO の価値は時間とともに高まる可能性があります。OSPO は、組織にとっての価値を定期的に見直し、必要に応じてその成熟度レベルを上げる計画を立てる必要があります。OSPO の成熟度に関する詳細は、成熟度モデルについて紹介する第 3 章に記載されています。

ステークホルダーとのコミュニケーション

OSPO の価値を組織に伝える際は、組織の戦略と最も明確に一致する上位 2 ~ 3 つの価値領域を提示するのが最善です。OSPO が付加価値をもたらす領域は他にも数多くあるかもしれませんが、研究によれば、メリットを長々と列挙すると、ビジネスケースを強化するどころかむしろ弱めてしまう可能性があることがわかっています(「説得力のない議論効果(Weak Argument Effect)」についてオンラインで検索すると、より詳しい情報が得られます)。明確で説得力がある簡潔な価値の提案を作成し、あらゆる状況において OSPO を提示する際のアンカーとして活用してください。

一般的な「グッドプラクティス」の議論に頼ってはいけません。それらは正しいかもしれませんが、たいていは説得力に欠け、組織全体の強い支持を得るのに役立ちません。

OSPO が将来的にニーズを満たすという憶測的な価値に頼ってはいけません。準備を整えることは素晴らしいことですが、OPSO が支援できる明確な取り組みがすぐに開始される場合を除き、今ここで提供できる価値に焦点を当てる方が賢明です。

OSPO の価値の例

OSPO が組織にどのような価値をもたらすかを示すために、いくつかの事例を挙げることは、組織内の賛同を得るための優れた方法です。ここでは、OSPO が極めて重要となりうる 2 つの例を紹介します。

ソフトウェアサプライチェーンにおける脆弱性の管理

例えば、重要なオープンソースライブラリである xz/liblzma 5 を標的としたソーシャルエンジニアリング攻撃がありました。この攻撃は綿密に計画され、悪意のある攻撃を実行する前にコミュニティ内での信頼を獲得していました。このインシデントは、無関係のプロジェクトによって偶然発見され、このような脆弱性の巧妙さと隠蔽性が浮き彫りになりました。OSPO の課題は、こうした脆弱性を特定し、軽減することです。こうした脆弱性は、発生してから初めて明らかになる場合もあります。既存の手順やポリシーがあったとしても、OSPO はこのような脅威を積極的に測定し対応するための仕組みの必要性を認識しています。

OSPO の支援方法

  1. SBOM 準拠の準備: すべてのソフトウェアコンポーネントが、自動生成されたソフトウェア部品表(SBOM)を通じて文書化されていることを確認する。この文書化により、脆弱性が公開された際、侵害された可能性のあるコンポーネントを迅速に特定できる。

  2. 自動セキュリティチェック: OpenSSF スコアカード 6 などの自動セキュリティチェックを導入し、プロジェクトのセキュリティ状態を継続的に評価する。この事前対策により、追加の調査が必要な脆弱性や異常を目立たせることができる。

  3. 組織内にコンピュータ緊急対応チーム(CERT)を設置し、OSPO と緊密に連携する。この専門チームは、セキュリティインシデントに迅速に対応するためのツールと権限を備える必要がある。こうしたチーム内の既存の関係は、インシデントの深刻度に関する内部コミュニケーションを迅速化する。

  4. スコアカード管理: セキュリティと脆弱性のスコアカードを最新の状態に保つ。これらのスコアカードは、最新のセキュリティチェックと評価を反映し、危機発生時における迅速な意思決定を支援する。

  5. 自動フィードバックループ: バグ報告と修正のための高度に自動化されたフィードバックループを構築する。特定のバグに対応する責任者が誰であるかを明確にし、このプロセスを可能な限り自動化することで、対応時間を大幅に短縮できる。

ソフトウェアサプライチェーンにおけるライセンス変更の管理

OSPO は、ライセンス変更への対応とソフトウェアの信頼性評価という課題に直面しています。Redis7のようなプロジェクトがライセンス条件を変更すると、利用、配布、貢献に重大な影響を与える可能性があります。OSPO はこれらの変更を明確に伝え、新しいライセンス条件が定める役割と責任を理解する必要があります。さらに、OSPO はソフトウェアの信頼性を評価する役割も担っています。これはプロジェクトが単一のベンダーによって維持されているか、財団によってホストされているかによって異なります。たとえば、AlmaLinux OS Foundation8は、プロジェクトを財団に寄贈することで、単一ベンダーによるガバナンスに関連するリスクを軽減し、プロジェクトへの信頼性を高めた事例です。

OSPO の支援方法

  1. ライセンスの影響に関する教育的取り組み: 組織内の開発者やユーザーがさまざまなライセンスのニュアンスを理解できるよう、教育資料やセッションを開発する。この理解は、オープンソースプロジェクトの利用や貢献において、適切な意思決定を行うのに役立つ。

  2. 明確なライセンス条件: 法務チームと連携し、ライセンス条件が可能な限り明確で明瞭になるようにする。明確な条件は、誤解や法的紛争のリスクを回避するのに役立つ。

  3. ソフトウェア信頼性評価システム: ガバナンス構造、メンテンナンス業務、コミュニティエンゲージメントなどの要素を考慮し、ソフトウェアの信頼性を評価・格付けするシステムを実装する。信頼できる財団の下でホストされているプロジェクトは、監督とガバナンスが行き届いているため、信頼性評価で高い評価を受ける可能性がある。

  4. 財団がホストするプロジェクトの奨励: 単一ベンダーによる管理に伴うリスクを軽減するため、財団にプロジェクトを寄贈することを推奨する。AlmaLinux のような成功事例を取り上げ、信頼性の向上やコミュニティのサポートなど、このアプローチのメリットを説明する。

  5. ライセンス決定へのステークホルダーの参画: 開発者、法律顧問、エンドユーザーなど、幅広いステークホルダーをライセンス変更や新規プロジェクト採用に関する議論に参画させる。そうした人々の洞察は、組織の価値観やリスク許容度に一致したバランスの取れた意思決定に役立つ。

起こりうる問題とその克服方法

本セクションでは、組織全体でオープンソース管理を行う際に遭遇する現実のシナリオをいくつか紹介します。また、それぞれのシナリオについて、オープンソースの専門家の実体験に基づく推奨事項を紹介します。

問題

組織全体でオープンソースのプラクティスに関する理解が不足しています。

推奨事項

組織内でオープンソースの理解が不足していると、OSPO の価値を示すのが困難でしょう。組織の主要な価値領域について語ることに注力し、ストーリーの力を活用することで、組織内での理解を迅速に深めることができます。また、組織がオープンソースを活用している実例や OSPO が組織をリスクから救った事例を共有することで、繰り返し利用可能なストーリーを通じて人々を啓蒙できます。

時間が経つにつれ、オープンソースリテラシーの文化を育むために、教育ワークショップの開催、アクセスしやすいリソースの作成、さまざまな部門にオープンソースの推進者を配置するなど、組織全体でオープンソースのプラクティスに関する理解を促進し始めることができます。


問題

OSPO の価値は売上利益やマーケティングツールだと見なされています。

推奨事項

OSPO はオープンソースコミュニティやパートナーとの関係を支援する役割を担っているため、営業やマーケティング部門がこの取り組みに何らかの価値を見出すのは自然なことです。

OSPO として、第三者との信頼関係を時間をかけて築くことでしかその責任を果たせません。営業やマーケティングとの間に境界線を設け、エコシステムにおける評判を落とす可能性のあることには「ノー」と言いましょう。OSPO を組織のデジタル、ソフトウェア、IT 戦略の不可欠な要素として社内で理解してもらうように努め、オープンソースのベストプラクティスの促進、技術革新への貢献、組織全体の目標達成支援に重点を置きましょう。


問題

OSPO の価値は二次的または裁量的なものと見なされ、組織の中核機能にとって重要ではないとされています。

推奨事項

この問題の原因は、OSPO が組織のニーズと一致していないか、OSPO の価値をうまく伝えられていないかのどちらかです。OSPO の価値を見直し、OSPO がどれだけ主要なビジネスプロセスを強化し、イノベーションを促進し、戦略目標を直接的に支援しているかを強調するコミュニケーション計画を立て、組織の運用フレームワークの不可欠な要素として統合してください。


問題

OSPO は経営陣の支持と賛同を得ることが困難です。

推奨事項

経営層には特別なコミュニケーションが必要です。そうした人々は、組織の各部門が果たす役割と価値を明確に理解する必要があります。メッセージが詳細すぎたり、漠然としていたり、テーマが専門的すぎると、経営層は理解できないと感じる可能性があります。OSPO として、オープンソースと OSPO がそれを管理する業務の戦略的価値を伝える必要があります。ケーススタディ、成功事例、数値レポートなどを通して目に見えるメリットを示すことで、OSPO の取り組みが組織の主要優先事項に一致していることを明確かつシンプルに表現し、道を切り開くことができます。

リソースと脚注

リソース

脚注