OSS活用の「思い込み」に警鐘、BCP対策や「SBOM」によるソフトウェアサプライチェーン管理を促すガイドブックを公開 IPA
情報処理推進機構(IPA)は、企業や組織におけるオープンソースソフトウェア(OSS)の安全かつ戦略的な活用を推進するため、ガイドブック「その『思い込み』がリスクになる?OSSに対する誤解を解く5つの処方箋」を公開しました。
現在、多くの業務システムなどでOSSの利用が不可欠となる一方、「無料だから品質やセキュリティが低い」「ネットのコードは自由に使っていい」といった無意識の思い込み(バイアス)が依然として存在しているとIPAは指摘しています。こうした知識不足が、有用な技術の採用遅れやセキュリティ事故、ライセンス違反といった危機を招く原因になると警鐘を鳴らしています。
ガイドブックでは、OSSを単なるコスト削減の手段ではなく、BCP(事業継続計画)の強力な武器として位置づけています。
商用ソフトウェアには「ベンダーロックイン」という依存リスクがあります。ベンダーの倒産やサポートの終了、大幅なライセンス値上げなどが発生した場合、ソースコードを持たないユーザー企業はベンダーの言いなりになるか、コストをかけて移行することになります。一方、ソースコードが手元にあるOSSであれば、自社で保守を続ける「永続性」、ベンダーを待たずに修正できる「自律性」、他のベンダーに切り替えられる「代替性」を確保でき、「自分たちでコントロールできる」状態を作れると説明しています。
外部にシステム開発を発注する際のソフトウェアサプライチェーン管理の重要性についても言及しています。納品物に不適切なOSSが含まれていた場合、混入した脆弱性によるセキュリティ事故や、ライセンス違反による損害賠償請求など、企業は社会的信用に関わる重大なリスクを負うことになります。そのため、納品物にどんなOSSが含まれているかをリスト化(SBOM:ソフトウェア部品表)して提出させ、中身を「ブラックボックス」にしないことがリスク管理の前提となると記しています。
ガイドブックでは、OSSに対する「品質」「権利」「コスト」「キャリア」「参加」の5つのバイアスを取り上げ、それを解消するための具体的な処方箋を提示しています。
