はじめに
こんにちは。あるいは、はじめまして。
OpenChain Japan WGの渡邊歩です。OSS活用に関するコンサルをしています。好きなライセンスは、Beerware Licenseです。
今日は、2021年12月1日~3日に開催されたオンラインセミナー、OSSマネジメントフォーラム2021~トヨタ/ユニ・チャーム/ソニー/メルカリ/NEC/富士通/日立が大集合~のイベントレポートをお送りします。
OSSマネジメントフォーラム2021の概要
本セミナーの概要は下記の通りです。
今回は、OpenChain JapanWGで活躍しているOSSコンプライアンスのプロフェッショナルの方々をお招きし、パネルディスカッション形式で色々なトピックスについて語っていただく、非常に密度の濃い1時間×3日間のセミナーをお届けすることができました。資料配布NG、録音や画面のキャプチャNGで行われた非常に貴重なセミナーの模様を、特にOpenChainに関するところを少しだけピックアップして公開しちゃいます。
イベントレポート
Day1は「どうするべきか?企業のOSSコンプライアンス業務」をテーマに、ユニ・チャームさん、トヨタ自動車さん、日立製作所さんの知的財産部門の方々にそれぞれの会社でどのようなタスクを行っているのか、またそれに対する工夫点などを共有していただきました。各社に共通的だった事項として、OSSライセンスに関するコンプライアンス遵守のための取り組みや特許調査などに加え、社内のエンジニアに対する啓発活動を知的財産部門が担当しているということがわかりました。過去の係争事例やホラーストーリーなどを通してリスクを理解して貰った上でライセンス遵守を促すような内容で、会社によってマンガ形式にしたり生々しい具体事例を含めたりという工夫をしながら、他言語に翻訳し全世界向けに提供しているとのことでした。
Day2は「先輩事例に学ぶ!OSS専門組織(OSPO)の作り方」と題して、メルカリさんとソニーさんのOSPOについて教えていただきました。それぞれの会社のOSPOの成り立ちは全く違うものの、両社とも同じ「コミュニティの良き一員であろう」という目標を掲げて活動されているというのが印象的でした。また、このような活動を通じてエンジニアのEmployee Engagementを向上し、それが企業風土や採用、ひいては本業のビジネスに良い影響を与えていくというプラスの循環についても言及されていました。単なる管理のための組織ではなく、社内の雰囲気の醸成やエンゲージメントの向上をOSPOという組織が担っているというメッセージが印象的でした。
Day3は企業のOSS活用推進やいま話題のSBOMについて、NECさんと富士通さんにお話しいただきました。OSS活用推進の活動の中では、使用するOSSのライセンスや脆弱性のチェック、技術情報の発信、教育などを行っており、複数の専任メンバーが国外のグループ会社を含めた企業全体のポリシーに基づく管理・サポートを担当されているとのことでした。SBOMについては、以前から社内ではSBOMの作成・管理を行っており、必要に応じて管理要素を増やしたり減らしたりしながらフォーマットを工夫し続けている、管理することによって得られた統計的な情報を社内で共有するなどの情報の活用も行っているとのことでした。SBOMのフォーマットの共通化については、今後どのフォーマットが主流になってくるかを見極めつつ、どうなっても良いように準備をしておいた方が良い、営業や調達などの担当者にも理解して貰う必要がある、というようなお話がありました。
おまけ
Day3では、バイデン政権のサイバーセキュリティ大統領令で言及されているSBOMの代表的な3種類のフォーマットに関しての投票を行ったのですが、その結果が興味深かったので共有します。今年ISO化されたSPDXの勢いが感じられる結果となりました。面白いですね!
