FOSS調達ポリシーで会社を守る：Magi's View（1/3 ページ）

FOSSがビジネスツールとして普及するにつれ、企業のソフトウェア調達ポリシーを大きく変え始めている。業務で使っているだけの大企業の認識はまだ甘いといわざるを得ないのが現状だ。

[Bruce-Byfield，Open Tech Press]

　フリー・オープンソース・ソフトウェア（FOSS）の革新性というと、FOSSによって得られるソフトウェアの自由が語られるのが通例だ。しかし、ビジネスツールとして普及するにつれ、FOSSは企業のソフトウェア調達ポリシーをも大きく変え始めている。リスク管理に適したポリシーの策定と実践を指導する企業Palamidaの創立者の一人で、現在はマーケティング担当バイスプレジデントであるテレサ・ビュイフライデー氏と、やはり同様のビジネスモデルによる企業Black Duck Softwareの創立者であり現在CEOのドン・レビン氏は、このように指摘している。

　レビン氏によると、FOSSを利用すると企業にありがちな対立が露呈するという。FOSSはインターネットに接続さえできれば誰でもどこにいても入手でき、購買部門を通す必要がない。所要時間もごく短時間で済むことが多い。これは、購買部門を無駄と見なす多くの開発者にとって大いに歓迎すべきことだ。しかも、FOSSの特性、中でもライセンスは、開発者にとって極めて納得しやすいものだ。その上、経営陣の多くも、顧客の必要性より自分たちの都合を優先するかのようなソフトウェアベンダーの現状に不満を持っている、あるいは、社内で使用するソフトウェアのコストを抑えつつ大いに活用できる手段としてFOSSを見ているという。

　FOSS利用で難しいのは、それによってあらゆる種類の問題が発生する可能性が生まれることだ。FOSSの入手は容易だ。従って、セキュリティーやライセンスの問題を抱えるコードが、誰もそれに気づかないまま、ファイアウォールの内側に持ち込まれる恐れがある。ソフトウェア開発会社であれば、あってはならないコードが自社製品に紛れ込み、法的あるいはマーケティング上の大問題を引き起こすかもしれない。FOSSプロジェクトではなくFOSSベンダーから入手するようにすれば問題は緩和されるが、それでもクライアントが危険にさらされるコードが含まれている可能性は残る。

　また、OpenOffice.orgやFirefoxなどのよく知られたソリューションが一般利用者の目にも触れるようになるにつれ、社内サーバでもFOSSが利用されるようになってきたことが事態をさらに悪化させている。

　ビュイフライデー氏によると、Palamidaのある顧客は、こうした複雑化する状況に対して、「調達責任者を数百人も抱えているような」気分だ、「サンノゼにいる開発者が何を何のためにダウンロードしているかなんて知りようがないし、東欧にいる開発者がダウンロードしてコードに組み込んだものとそれが同じかどうかなんて分かるはずがない」と述べたという。

　さらに、企業組織の分散化と開発の外注化が進んでいることも問題を大きくしている。「外注先の開発者たちに書面にないことを守れと要求することはできません。ですから、オープンソース調達手続きとそれにまつわるセキュリティー要件があることを明示しない限り、外注先にはそうした点に関する注意義務はありません」と、Palamidaのシニア・コミュニケーションズ・マネジャーのメリッサ・ラバンスブリーズデイル氏は言う。

　もちろん、そうした問題が必ず発生するというわけではないだろう。レビン氏が指摘するように、懸念の程度は企業が受け入れるリスクレベルに大きく依存する。「保険をかけたがる人もいれば、そうでない人もいます。当社としては、ソフトウェアを評価しコードを調べるよう勧めています。発覚してから驚くより、先に知っていた方がまだよいからです」。また、ビュイフライデー氏が指摘するように、一部の企業、とりわけ金融機関や公的機関は社内手続きを管理するよう義務づけられている。

　レビン氏は、「サードパーティーからソフトウェアを入手した瞬間に、リスクの性格は変化します。自社製作のコードなら比較的管理しやすい。しかし、サードパーティーから入手すればリスクレベルが上がります」という。