オープンソース製品の管理に悩むCIO――ツール不足がネック:Column
オープンソース導入の主な目的はコスト削減だというのに、その管理のために費用を掛けるのは不本意だと考えるCIOは多い。
ダウンロードするソフトウェアを管理していない企業にとって、オープンソースは危険な代物だ。しかし、野放しの状態から脱却して管理を進め、ガバナンスの構築を目指そうとすると、支援ツールが少ないというまったく別の問題にぶつかることになる。
企業内でさまざまなオープンソース製品を使うことには、リスク(法的リスクを含む)が伴う。だが、ベンダーもユーザーも、こうしたリスクを無視していることが多い。問題の1つは、ベンダーの側に、オープンソース技術を管理するための製品を開発する動機がほとんどないことだと、フォレスターリサーチのシニアアナリスト、マイケル・グールド氏は語る。
「オープンソースは普及が進んでいるが、既存のソフトウェアに取って代わってはいない」とグールド氏。「利用シェアはごく小さいため、管理ツールの市場機会もあまりない。オープンソースはまだメジャーな存在とは言えない」
とはいえ、管理製品がまったく提供されていないわけではない。451グループのリサーチディレクター、レイブン・ザカリー氏は、「一部の企業はオープンソース利用のサポートを提供したり、独自の品質検証に合格したオープンソース技術を集めたリポジトリを運営している。彼らは、オープンソース製品のポートフォリオを管理できる企業向けツールを開発、提供することにビジネスチャンスを見いだしている」と語る。
同氏はその例として、オープンロジックとその製品「OpenLogic Enterprise」や、ソースラボとその新システム「Open Source Management System」(OSMS)を挙げる。これらのベンダーは、問題のあるオープンソース製品を特定するだけでなく、社内でどのオープンソース製品がどのように使われているかという追跡を支援する、基本的なガバナンス機能とワークフロー機能を提供している。
避けて通れない課題
オレゴン州福祉サービス局の元CIO、ビル・クローウェル氏は、オープンソース技術のガバナンスは、「極めて重要だ」と語る。
クローウェル氏によると、同氏の同僚だった運輸局のCIOが局内のオープンソース技術のインベントリを実施したところ、5000インスタンスのオープンソース技術が使われていることが分かった。これは、企業などに普及していることが各種調査で明らかになっている10〜15の有名なオープンソース技術を、同局内のシステムが含んでいるかどうかを調査した結果だ。
クローウェル氏は、オレゴン州福祉サービス局に勤務していた当時を振り返り、さまざまな局でインベントリを実施することは、「どんな技術がどこで、どんな目的で使われているか、そしてオープンソースが、率直な言い方をすれば、有意義なものになったのかどうかを理解する上で重要だった」と語る。
また、オープンソース技術の入手にかかわる調達上と法律上の問題の検討につなげることも、インベントリを実施する大きな目的だった。実のところ、各局は何も調達していなかったからだ。「われわれはインターネットからフリーソフトウェアを入手していただけであり、このことに不安を感じていた」とクローウェル氏は語る。
オープンロジックのマーケティング担当副社長、キム・ウェインズ氏は、適切な管理を行わずにオープンソースを利用すると、幾つかのリスクを負うことになると語る。
「まず、オープンソースをめぐって訴訟を起こされるかもしれない。開発者の立場でもユーザーの立場でも、その可能性がある」とウェインズ氏。同氏によると、オープンソースを現場レベルで採用している組織が、特定の知的財産とオープンソースコンポーネントを、その知的財産の所有者に無断で統合してしまうケースがある。これらの著作権者が、このように技術を乱用する開発者を訴えることや、あるいは、そうした乱用によって作られた技術のユーザーを訴えることが考えられるという。
また、ウェインズ氏は、適切なガバナンスが確保されていない組織では、オープンソース技術のライセンス違反が発生しやすいと語る。
「オープンソースライセンスには、かなり独特の要件が規定されているというユニークな側面があるからだ」とフォレスターのグールド氏は説明する。
さらに、オープンソースにはダウンタイムのリスクもある、とウェインズ氏は語る。オープンソース技術によるシステムがダウンした場合に、どのように対処すべきかを認識しておかなければならないという。そして最後に、コンプライアンスのリスクがある。オープンソースに関するポリシーを徹底させるためのワークフローを整備することにより、企業は適切な管理を実現し、自社に適用される規制の遵守に取り組むことができる。
「このワークフローは、社員がITポリシーに従って、オープンソースコンポーネントを利用することを促進することに主眼がある」とグールド氏。「つまり、ソフトウェアが適切に保存、保護され、アクセス権限が適切に設定、付与されることを目指している」
オープンソース調査会社エンティバグループの主席技術アナリスト、アレックス・フレッチャー氏は、一部の管理ベンダーが提供しているような、信頼性の高いオープンソースソフトウェアやコンポーネントのライブラリを構築するのは、大変な作業だと語る。さらに同氏は、オープンソースは多種多様であるにもかかわらず、こうしたライブラリに含まれる検証済みの製品だけを使うようにするのは、企業にとって窮屈だと指摘する。
またフレッチャー氏は、オープンソースを管理するには、支援製品に頼るだけでは不十分だと考えている。「ソフトウェアだけで管理を実現するのは、非常に困難だと思う。ソフトウェアを利用するだけでなく、ポリシーと管理施策を組み合わせなければならない。ソフトウェアとベストプラクティスが取り組みの両輪になる」
グールド氏はこう付け加える。「多くの企業はコスト削減を目的としてオープンソースを導入しているため、その管理を行うとなると、彼らはジレンマに直面する。オープンソースの管理のために費用が掛かるのは、彼らにとってうれしくないことだ」
「最終的には、商用ソフトウェアを管理するツールのベンダーが、オープンソース技術の管理機能を製品に統合するはずだ。おそらく、それはオープンソース分野の管理ベンダーを買収することで実現されるだろう」とグールド氏は見る。同氏は、商用ソフトウェアとオープンソースソフトウェアを別々に管理する理由はないとしている。
「結局のところ、どちらのソフトウェアも標準的なプログラミング言語で作成されている」とグールド氏。「こうした資産を管理するなら、2つのツールを使わない方が理にかなっている。これらの資産はカテゴリーは異なるものの、同じツールで管理すべきだ」
Copyright © ITmedia, Inc. All Rights Reserved.