「OSSを安心して使えない」から脱却へ、カギを握る「OSPO」とは何か:製造業×DX キーマンインタビュー(3/3 ページ)
IPAと三菱電機は「OSPOレベル1構築ワークショップ」成果発表会を開催した。本稿では、この発表会の内容を紹介するとともに、主催するIPAおよび三菱電機へのインタビューの内容をお送りする。
ワークショップを主催するIPA デジタル基盤センター デジタルエンジニアリング部 ソフトウェアエンジニアリンググループ(オープンソース推進)の今村かずき氏と、ワークショップに参加し成果発表会を共催した三菱電機 オープンソース&インナーソース共創推進部 部長の追立真吾氏、同部 オープンソース推進グループマネージャーの増井翼氏に、OSPOの必要性と設立の意義などについて話を聞いた。
「本当にOSPOを設立する企業が出るとは思わなかった」
―― 成果報告会も盛況でしたが、「OSPOレベル1構築ワークショップ」の手応えについて教えてください。
IPA 今村氏 もともと多くの企業がOSSの取り扱いに課題を感じているという声をもらっていました。その中でOSPOスターターキットを用意する計画があったので、もともとはその使い方を示すワークショップをやる予定でした。しかし、よりOSPOに対する取り組みを後押しするためにどうするのかを考えて、今の形となりました。
「OSPOレベル1構築ワークショップ」は、「少しでも背中を押す」という程度で考えていたので、本当にOSPO設立につながるような話が生まれるとは思っていませんでした。今回、成果発表会で実際にOSPO設立に至ったケースもいくつか紹介されており、ここまでの成果に驚いています。
主催者であるIPA デジタル基盤センター デジタルエンジニアリング部 ソフトウェアエンジニアリンググループ(オープンソース推進)の今村かずき氏(中央)と、三菱電機 オープンソース&インナーソース共創推進部 部長の追立真吾氏(右)、同部 オープンソース推進グループマネージャーの増井翼氏(左)
―― 多くの製造業が課題を抱えていたといいますが、OSSのどのような点を課題としている企業が多いと感じますか。
IPA 今村氏 多くの製造業でレガシーシステムが残存しており、サポートが終了する中でもこれらのシステムを維持していくのに内製化にシフトするような動きも目立っています。その中でOSSの扱いに困るケースが多いと聞きます。既にシステムとして稼働はしているものの、導入ベンダーとの契約が切れている場合「OSSをアップデートしてよいのかダメなのか分からない」という事態によく出会います。
また、ライセンスがどのようなステータスにあるのか把握できないため、コンプライアンス的なリスクやレピュテーションリスクを抱えることにもつながります。そういう点を課題に感じる企業が多いと見ています。
三菱電機 追立氏 私の考えでは、OSPOが注目されている背景として、生成AI(人工知能)の普及があるように思います。生成AIを使ってコードを生成することが当たり前になっていく中で、OSSがこれらの学習データとなっており、そこにライセンスリスクがないかを考えることが必要になります。そうしなければ、生成されたコードが気付かない間にライセンス違反をしていたということにもつながるからです。
三菱電機 増井氏 2027年に全面適用が計画されている欧州CRA法などによるセキュリティリスクやSBOM対応などの観点からOSPOに関心を持つような動きも出てきています。こうした複数の要素が関連して、OSPOへの関心が高まっているように感じます。
OSSとして公開が増えたことで商談獲得、開発能力の向上も
―― OSPOを設立した場合、製造業としてどういう点でメリットが生まれるのか、具体的な例を教えていただけますか。
三菱電機 増井氏 分かりやすい事例はまだそれほど多くはないですが、1つの成果として、産業用/協働ロボットに対応するソフトウェア「MELFA ROS2 Driver」をOSSとして公開した動きなどがあります。これにより従来はなかった商談が生まれたことがありました。また、社内的にOSSに関する窓口が一元化したことで、OSSに関する質問や担当者の把握に時間がかかり、従来は1カ月かかっていたような確認が1日で解決するようにもなりました。そういう開発能力の向上などにもつながっていると感じています。
―― 「OSPOレベル1構築ワークショップ」は初めての取り組みでしたが、第2弾や第3弾の考えはあるのですか。
IPA 今村氏 レベル1では、最初の一歩として組織としてOSSに取り組むということをまずできるようにするところまでが目標でした。成果発表会に登壇していただいた企業はそういう取り組みができています。次のステップとして、コントリビューションに取り組むのか、さらに高度なOSPOの在り方を模索するのか、内容も含めて、どういうことができるのかを考えていきます。まだ、次回の開催予定は決まっていませんが、前向きに検討しています。
―― 今後の目標としてどのようなことを考えていますか。
IPA 今村氏 まずは企業内外でOSPOと名乗れるような環境を作りたいと考えています。そのためには、OSPOが重要な職務で役割であることを示していかなければなりません。成果を発表していくことで、OSPOの認知度を高めていきたいと考えています。こうした成果がつながり始めれば、自然に企業が協調していき、レベルを引き上げるような動きが生まれてくると考えています。そういう状況を目指したいです。
三菱電機 追立氏 現在三菱電機のグループ会社でOSS活用や公開のガイドラインや契約書のテンプレートなどを準備しているところです。これらが整備できれば、OSSの思想に則り、これらのガイドラインを公開し、オープン化することを検討しています。これは2026年度中に実現することを目指します。こうしたガイドラインがいくつも生まれてくればOSPO共通のプラットフォームのようなものも生まれてくると考えています。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
“縦割り組織”にメスを、三菱電機が「インナーソース」活用で開発リードタイム半減へ
三菱電機は「InnerSource Summit 2025」に先立ち、戦略説明会を実施した。デジタル基盤「Serendie」事業の一環としてオープンソースとインナーソース活用を推進し、部門間のサイロ化を解消。2030年までに開発リードタイム半減を目指す。
エッジAIセンシングプラットフォームをオープンソースで普及拡大へ
ソニーセミコンダクタソリューションズは、OSPOの稼働を本格的に開始した。エッジAIセンシングプラットフォーム「AITRIOS」における、OSSのグローバルな普及と拡大を目指す。
激増するOSSのセキュリティ対策を、SBOMと脆弱性情報の管理基盤を提供開始
日立ソリューションズはSBOM情報やソフトウェアの脆弱性情報を一元管理する「SBOM管理サービス」を提供開始した。
製造業の「SBOM」は誰が構築し運用/管理すべきか【後編】
近年「製品セキュリティ」と呼ばれ始めたセキュリティの新分野に関する事象を紹介し考察する本連載。今回は、製造業においてどの部門がSBOMを管理すべきかについて論じる。
ソフトウェアサプライチェーンセキュリティを「品質」で読み解く
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。
米国大統領令の影響か? 商用ソフトウェアのOSS由来脆弱性が減少傾向に
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2022年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。