OSSの管理徹底と積極活用を提言、「2025年度OSS推進レポート」公開 IPA
情報処理推進機構(IPA)は5月13日、オープンソースソフトウェア(OSS)の活用状況を日本と海外で比較し、AI時代におけるデジタル主権の観点から課題と機会を分析した「2025年度オープンソース推進レポート」を公開しました。米国の大統領令(Executive Order 14028)や欧州連合(EU)のサイバーレジリエンス法(CRA)などを背景に、製品に含まれるOSSの構成やバージョンを可視化するSBOMの整備は、重要なセキュリティ要件になりつつあります。レポートでは、OSSポリシーの整備や組織横断的な管理を担うOSPO(オープンソース・プログラム・オフィス)の設置などを推奨しています。
レポートは大きく3つのパートで構成されています。パートIでは、日本のOSS活用の現状を定量的に分析しています。国内企業362社を対象とした調査によると、OSSポリシー整備率は前年度実績から大幅に増加し36.7%に達しました。ただ、組織横断的な管理を担うOSPOの設置率は4.1%に留まりました。
日本の行政OSSについては、国土地理院や国土交通省の「PLATEAU(プラトー)」を筆頭に、地図・空間情報(GIS)分野に活発なコミュニティが形成され、AI時代に不可欠な基盤が既に育ちつつあると分析しました。
続くパートIIでは、AI、セキュリティ、持続可能性の3軸から世界のトレンドと日本のギャップを分析しています。現在、AIモデルや学習データのオープン化が急進しており、AIシステム基盤の多くがOSSで構成されるようになっています。これに伴い、欧州ではOSSを「デジタル主権」の基盤として位置づける動きが加速しています。EUやドイツ、フランス、ラトビアなどでは、デジタル主権の推進においてOSSを核心として据えるという方向性が、具体的な政策・法制度として進められていることが紹介されています。
EUサイバーレジリエンス法(CRA)への対応にも言及しています。CRAは商業目的でOSSを組み込む製造業者に対し、そのOSSも含めた厳格なセキュリティ責任を課す法律です。OSSコミュニティを保護するため非営利のOSS開発は適用除外とされていますが、プロジェクトを持続的に支援する法人(実質的な管理者)は新たに「OSSスチュワード」と定義され、製造業者よりは軽減された形で、ポリシー策定などの一定の実務的な役割が求められます。
パートIIIでは、OSSの国家戦略への位置づけ▽OSPO設置推進▽政府調達におけるOSS優先(OSS first)の明記▽官民連携による公的支援制度の整備▽CRAコンプライアンス対応の早期着手――とする政策提言を5つ示しました。特定の海外ベンダーへの依存から脱却し、データ主権やシステムの継続性を確保する観点から、OSSを戦略的に優先すべきだと指摘しています。
