##はじめに
こんにちは。富士通の青木です。
富士通で唯一**”オープンソースソフトウェア(OSS)”という名前が付く組織「OSS技術センター」**に所属しています。
私のプロジェクトでは、社内でのOSS利活用推進全般を実施しています。
今日は、OpenChainプロジェクトの活動に至るまでの富士通のOSS専門組織や社内の関連部門とスクラムを組んで歩んできた取り組みについてご紹介します。
#富士通のオープンソース専門組織「OSS技術センター」
富士通とOSSとの関わりは、1999年に富士通サーバーのLinuxサポートをスタートし、現在のOSS技術センターの前進組織として2000年1月設立の富士通Linuxセンターが発足しました。
###OSS技術センターの発足
ミッションクリティカルな領域でOSSがどんどん使われるようになり、富士通社内でもOSSの重要性が認知されて、お客様の要件や用途に合わせた適材適所なオープン技術の選択によってお客様の新たな価値を創造していくことを目指して2005年11月に専門組織**「OSS技術センター」**が組織化されました。
OSSの選定や技術支援など富士通のフィールドと一体となった活動には多くの実績がありますが、ここ3年ほどはOSSのライセンスリスクや技術リスクなどをお客様自身が課題ととらえて、様々な相談が寄せられるようになってきています。
###社内でのOSSコンプライアンス活動
社内では、ツールを利用したOSSの混入チェックや、ライセンスポリシーを自動判定、さらにBOM管理を実施して、脆弱性を通知するサービスを開発部門へ提供し、OSSのライフサイクルマネージメントを実現しています。
主に実施していること
・利用しているOSSの見える化。
・製品で利用しているOSSコンポーネントとライセンス情報や脆弱性情報との紐付け。
・会社として問題ないと判断したソフトウェア/バージョン/ライセンスのリスト化と判定。
・工程ごとの承認の仕組みとエビデンスを導入。(ワークフロー機能)
###社内プロセスの整備
上記の仕組みを確立するまでは、長い時間をかけ、知財部門、品証部門、もちろん開発部門も巻き込んで、社内でライセンスを正しく守りつつOSSを利用するための枠組みを整理しました。
知財部門が中心となって、OSS利活用ガイドを作成しルールとプロセスを定め、全社規格や部門規格にOSSの規定を盛り込んでいます。
富士通では、適用領域が多岐にわたることもあり、複数の部門横断の体制を組み総合力を活かしてOSSの活用を推進しています。
##OSSの利用拡大と全社教育
OSSがOSの模倣や商用製品の代替と呼ばれていた時代から変化し、AIなどをはじめとするデファクト技術がOSSから生まれるようになり、我々の業務もかなり変化をしていると感じます。
少し前までは開発に携わるキーマンがOSSのライセンスについて熟知していればよかったところ、今や調達部門や営業部門などもOSSに対する知識を身に着けていく必要があると感じています。
そこで従来は、開発部門に向けた集合教育やe-learningをメインに実施していましたが、2年前に全社員を対象にしたリテラシー教育を新規に作成し、e-learningでいつでもだれでも受講できるようにしています。
どちらかというと、OSSのライセンスの話や義務履行の話が多いため、今はOSSのコントリビューションの教育を整備しているところです。
#OpenChainプロジェクトとの関わり
2017年12月のJapan WG発足時に、トヨタさん、日立さん、SONYさん達と富士通の知財部門や組込みLinuxの開発部門がOpenChainの日本の活動を盛り上げようと参加しています。
サブWGのFAQ, ライセンス情報, Planning, Promotionなどなどで10名ほどが活動しています。
富士通では、グループ会社を含む全社活動のOSS利活用WGにてその活動報告を共有し、仲間づくりを進めつつ、もっともっと参加していくべきということで、2019年2月にplatinumメンバーになりました。
今年度は、社内でも全社員に向けたメールマガジンで、OpenChainの紹介をしたり、Japan WGの本会合を社内で開いたりして、今まで興味をもっていなかった営業部門ほか関係部門の方々にも活動をアピールしています。
##SPEC2.0 認証
2019年11月に富士通は自己認証を取得しました。もともと整備してきたOSSの全社規格や部門規格をあらためて見直し、OpenChain仕様にそって改善を加え、知財部門、OSS技術センター、開発部門(組み込みLinux開発部門・ソフトウェア事業部門)と大きな組織で教育展開を一斉に実施し、認証を取得しました。
これは、従来のプロセスやルールを振り返るとても有意義な取り組みで、教育の再実施により、デファクトスタンダードとなる仕様と自分たちの実践活動を紐づけができた、とてもいい機会となりました。今後も継続して仕様に準拠して取り組んでいきたいと思います。
##OSPOとして
OSS技術センターが富士通のOpen Source Program Officeとして社内外から認知されて相談に乗れるように、今後も専門組織として取り組んでいきます。
また、富士通はグローバルカンパニーとして、富士通の北米、欧州、アジア部門とも連携してOpenChainの取り組みをはじめ、連携しながら活動していきます。
今後は、社内実践で培ったノウハウをお客様やパートナー様へ向け提供し、OpenChainプロジェクトやオープンソースへの貢献を実施していきたいと思います。
#明日のテーマは・・・
明日は、浜さんのFossology の新しいOSSライセンススキャンについてです。Fossologyは私も使っていて今後SW360との連携もとても興味深いです。楽しみにしています!!
#English Summary
##Introduction
I belong to the only organization in Fujitsu called "OSS Technology Center" (OSS).
My project is to promote the overall use of OSS within the company.
Today, I would like to introduce you to some of the activities that we have been working in Scrum with Fujitsu's OSS specialized organization and related departments until the OpenChain Project.
##Fujitsu Open Source Specialty Organization "OSS Technology Center"
The relationship between Fujitsu and OSS started in 1999 with Linux support for Fujitsu servers, and the Fujitsu Linux Center was established in January 2000 as a forward-looking organization of the current OSS Technology Center.
###Establishment of OSS Technology Center
The increasing use of OSS in mission-critical areas and the recognition of the importance of OSS within Fujitsu itself led to the formation of a specialized organization "OSS Technology Center" in November 2005. The purpose of this organization is to create new value for customers by selecting the right open technology for the right person, in the right place, according to their requirements and applications.
Fujitsu has a long track record in the selection of OSS and the provision of technical support and other activities that are conducted in tandem with Fujitsu's field. Over the past three years, however, customers have come to seek advice on a variety of issues, such as licensing risks and technical risks associated with OSS.
###Internal OSS compliance activities
We implement OSS lifecycle management by using tools to check for OSS contamination, automatically determine license policies, and provide vulnerability notification services to development departments through BOM management.
Mainly implemented
*Visualization of OSS used.
*Linking OSS components used in products to licensing and vulnerability information.
*Determined that the company has listed the software/versions/licenses that it has determined to be acceptable.
*Introduction of process approval mechanisms and evidence. (Workflow Features)
###Development of internal processes
Until the above system was established, we took a long time to organize the framework for the use of OSS while properly protecting licenses within the company, involving the intellectual property division, the product certification division, and, of course, the development division.
The Intellectual Property Department plays a central role in the creation of a guide for the use of OSS, the establishment of rules and processes, and the incorporation of OSS into company-wide and divisional standards.
Fujitsu has a wide range of applications, and we are promoting the use of OSS by taking advantage of our comprehensive capabilities through a cross-divisional system.
##Increased use of OSS and company-wide education
I feel that our business has changed a lot since OSS was called a copycat of operating systems or a substitute for commercial products, and AI and other de facto technologies have come from OSS.
Up until a while ago, it would have been better if the key people involved in development were familiar with the licensing of OSS, but now I feel that procurement and sales departments need to acquire knowledge of OSS.
In the past, group education and e-learning were mainly provided to development departments. Two years ago, however, a new literacy education program was created for all employees so that anyone can take e-learning courses at any time.
Because there is more talk about OSS licensing and fulfillment of obligations, we are currently developing an OSS contribution education.
##Working with the OpenChain Project
When the Japan WG was established in December 2017, Toyota, Hitachi, Sony, Fujitsu's intellectual property division and embedded Linux development division participated in the project to boost OpenChain's activities in Japan.
About 10 people are active in sub-WG FAQs, licensing information, planning, promotion, etc.
Fujitsu became a platinum member in February 2019 to share its activity reports at the OSS Utilization WG for company-wide activities, including Group companies, and to encourage more participation while fostering closer ties.
This year, we are introducing OpenChain and holding a plenary meeting of the Japan WG in an internal mail magazine for all employees to promote our activities to the sales department and other related departments, who had not been interested in it.
##SPEC 2.0 Certification
In November 2019, Fujitsu acquired self-certification. We reviewed and revised the company-wide and departmental standards for OSS, which we had originally developed, and made improvements in line with the OpenChain specifications. The intellectual property division, the OSS Technology Center, and the development division (Embedded Linux development and software divisions) all conducted training activities simultaneously, and acquired certification.
This was a very meaningful effort to look back on conventional processes and rules. It was a very good opportunity for us to link the de facto standard specifications with our own practical activities through the re-implementation of education. We will continue our efforts to comply with the specifications.
##As OSPO
We will continue to work as a specialized organization so that the OSS Technology Center can be recognized both internally and externally as Fujitsu's Open Source Program Office for consultation.
As a global company, Fujitsu will collaborate with Fujitsu's North America, Europe, and Asia in various activities such as the OpenChain initiative.
In the future, we intend to contribute to the OpenChain Project and Open Source by providing our customers and partners with the know-how we have cultivated through our internal practices.