皆さんこんにちは。The Linux Foundationの日本の代表を務めております福安と申します。
2024年も残すところあと1ヶ月程度となりました。Open Source の世界では今年も本当に様々な出来事があり、業界動向をウォッチする皆さんにとっても変化が早くてなかなか動向が追いきれないのではないでしょうか?
そんな時はマクロなトレンドを押さえることが大切です。
そこで、 OpenChain Advent Calendar 12月2日号はそんな皆さんのために、2024年を振り返り、Linux Foundationの視点で見た業界マクロトレンドを書いていきたいと思います。(注:長文です!)
では早速いきましょう!
マクロトレンド1:OSPOの勃興
今年の大きなトレンドとしてまず思い浮かぶのがこれです。
今年1月にトヨタ自動車のOSPO (Open Source Program Office)が発足しました。4月にはホンダでもOSPOが発足し、この流れを受けて11月にはAutomotive Grade Linux (AGL)でも、トヨタさんがリーダとなりOSPO Expert Groupが発足しました。この取り組みにより、自動車業界でのOSPO設置が促進され、OSSコミュニティへの積極的なコミットメントが見られるようになることが予想されます。自動車業界ではすでに複数社がOSPO設置に向けて準備中であると聞いています。
これにより、これまでOSSコミュニティ開発(特にコード貢献)に関するルールが存在しなかった自動車業界の企業にルールが整備され、コミュニティ開発がしやすくなる(すなわちコミュニティが活性化される)ことが予想されます。
楽しみですね!
また、日立製作所も11月にOSPO設置をアナウンスしました。
ゆくゆくはグローバルで100人規模のOSPOへと規模を拡大していくことを目指しているようです。私の同僚である TODO Groupのアナ ジメネスがよく「Your OSPO is not my OSPO」と言っているように、OSPOのあり方は千差万別で、企業の規模やフォーカスによって様々なスタイルのOSPOが存在しますが、100人規模のOSPOはなかなかのサイズと言えます。
最近の日立のOSSコミュニティに対するコミットメントは目覚ましいです。私がぱっと思いつくだけでもKeycloakとHyperledger Fabricにメンテナを輩出しており、CNCFのアンバサダーも複数名輩出し、CNCF Japan Chapter (=CNCJ) や FinOps Japan Chapterの発足の中心的な役割を果たしました。
今回のOSPO設置により、この流れがさらに加速されると思います。
こちらも期待したいですね!
トレンド2:クラウドネイティブの夜明け
日本は欧米諸国や中国、インド、それに韓国と比較して(あれ、ほぼ全世界ですね 笑)クラウドネイティブシフトが遅れていると言われています。2023年に発表されたIPAの調査報告書「DX白書2023」では、クラウドネイティブのコンテナに関して、「前者的に活用」と「事業部で活用」を合計しても10%強(米国では52%)である一方で、「活用していない」「この技術を知らない」(!)を合計すると75%弱(米国は28%)にもなるという驚くべき結果でした。わずか2年前です!
また、私たちLFのデータで見ても、日本におけるKubernetesの認定試験の受験者が、世界各国と比較して著しく少ない状況です。米国や欧州との比較では言わずもがな、近隣アジア諸国と比べても、インドの1/8、中国の1/5、そして韓国の1/2程度です。インドや中国に関しては人口比でなんとなく説明がつくかも知れませんが、韓国はちょっと以外です。いずれにしても日本の市場はグローバルのざっくり10%とよく業界では言われていますが、それを鑑みるととても寂しい数字と言えます。
ただこれが今急速に変化の兆しを見せています。
2023年末にCNCJが発足しました。このブログを書いている本日時点で570名近くのコミュニティ登録者がいます。2024年だけで、サブグループも含めると15以上のMeetupを開催しており、その多くが定員いっぱい会場が埋まるイベントになっています。
また、日本のデジタル庁の「ガバメントクラウド」もクラウドネイティブシフトへの大きな追い風となります。計画では2025年末までに、1府2庁11省47都道府県及び1,724市町村の住民基本台帳や税務など20の機関業務が全てクラウド移行されます。これが企業(特にベンダー)によるクラウドネイティブ技術者の育成と事業投資の方向性に大きな影響を与えることになるでしょう。
この流れを受け、来年2025年には、日本で初めてKubeCon + CloudNativeCon Japanが開催されることが先日正式に発表されました。今年はまさに日本における「クラウドネイティブの夜明け」と呼ぶにふさわしい一年だったのではないかと思います。
2025年6月に初めて開催されるKubeCon + CloudNativeCon Japanが楽しみですね!
トレンド3:OSS AI 定義の混沌
皆さん、AIといえばやはりChatGPTを思い浮かべるのではないでしょうか?このChatGPTを提供しているOpenAIは大変罪作りな会社です。何せ、私たちがOSS的な意味合いでオープンなAIの話をする際に、カジュアルに「オープンAI」と言えないからです。めんどくさいけど、わざわざ「オープンソース AI」と言わねばなりません(笑)
冗談はさておいて、AIとOSSは一体どのような観点というかレイヤーで論じるべきなのでしょうか?
ChatGPTは無料で利用ができ、AI技術を広く一般的に利用が利用できるように広めたという意味ではオープンと言えます。でも学習モデルなどがオープンになっており、私たちが再利用できるか、というOSS的観点から言えばオープンではありません。
モデルがオープンになってるという観点ではMetaのLlama はOpen Source AIモデルとLlamaのウェブページでも謳われています。モデルが公開されており、Llamaのライセンスに基づいて再利用やカスタマイズが可能である点を鑑みると私たちが慣れ親しんでいるOSSに近いです。ただAIモデルの学習データはどこからどのように収集されたかはオープンではないので、Llamaは真のオープンソースではない、と主張する方もいるようです。
このOSS AIの神学論争に一定の方向性を示したのが Open Source Initiative (OSI) による The Open Source AI Definition - 1.0 です。ではこれによってこのOSS AIの定義論争に終止符が打たれたかと言えば、そうでもないようです。ポイントは何点かあると思いますが、OSIの定義は学習データがオープンである必要がある点は、やはり議論が別れるとこだと思います。
一方で、私たちLinux FoundationのAIプロジェクトである LF AI and Data Foundation (LF AI&DATA) でもOSS AIの定義に関する議論が始まっています。 LF AI&DATAでは プロジェクトにおけるオープンネスに関するガイド・原則としてModel Openness Framework (MOF)を制定しています。このMOFの中では「Open Source AI Model」と「Open Science AI Model」という二つのレイヤーでオープンネスが定義されている点が特徴です。
この点に関して、LF AI&DATAのExecutive Director であるIbrahim Haddadがブログで解説をしていますので、関心がある方でぜひ読んでみてください。
いずれにしても、このOSS AIの定義には実は重要な役割があります。現在欧州ではAIに関する規制が制定され、米国などでも規制に関する議論がされています。AIの分野における「オープン」の程度は、私たちがこれらの規制を正しく解釈し、準拠していくために重要な役割を果たすと言えます。
またコミュニティにおけるコラボレーションの場でもこの「オープンネス」に関する理解や解釈に予めコミュニティ参加者間での合意がなければ、後に大きな混乱を生む事になってしまう事が想定されます。
そのためこの定義はこれからのオープンソースAIのエコシステムを成長させていく上で大きな役割があると思われます。
トレンド4:OSSセキュリティは新たなフェーズへ
最後にセキュリティに関してふれたいと思います。
OSSのセキュリティに関して言えば今年は新たしいフェーズに入ったような感覚があります。その中でも二つ重要なキーワードがあると思います。一つは「トラスト」もう一つが「オープンソースと規制」です。
まずは「トラスト」です。
これまでセキュリティに関しては、ソフトウェアに存在する脆弱性を悪意を持ったプレイヤーに攻撃される事象を私たちは想定していましたが、今年発生したXZ Utilsの脆弱性は、OSSのセキュリティに新たな課題として「トラスト問題」を提示したと言えます。
このXZのケースでは、Jia Tanという開発者がXZの開発コミュニティに参加し、2年間ほどコミュニティに開発貢献をし、コミュニティからの信頼を得て、コミュニティのメンテナに就任し、メンテナの権限を利用してバックドアを仕込んだというものです。このJia Tanという開発者は、「Jia Tan」というハンドルネーム(?)以外は全く素性が知られておらず、どこの会社で働いているかもわからず、コミュニティのイベントなどで顔を見かけた人もいない状態でメンテナになってしまいました。(コロナという特殊状況も重なってしまいましたが)
今後は、コミュニティにおいてメンテナのような重要な役割を担うにあたり、「トラスト」に関わる何らかの仕組みが導入される方向性になると思われます。少なくともLinux Foundationが管理する1000以上のプロジェクトはそうなっていくはずです。
LFではOSSのセキュリティを考える上で以下の3点が重要であると考えています。
- 誰が書いたコードか?
- どんなモチベーションで書いたコードか?
- セキュアか?
XZ Utilsの脆弱性問題は、まさにこの3つの視点の全ての重要性が再確認されたケースだったと言えます。
最後に「オープンソースと規制」に関してです。
私たちのオープンソース業界は、オープンソースという公知のソフトウェアを扱っている事から、これまであまり規制の対象にはなりませんでした。
しかし、状況は変わりつつあります。
今年10月に欧州サイバーレジリエンス法(通称CRA)が成立しました。
これにより、欧州でデジタル製品を販売する事業者は、製品のセキュリティのために様々な義務が課せられることになります。製品のセキュリティアップデートは5年間出し続け、最低10年はアップデートをアベイラブルにし続ける必要があります。もちろんSBOMも必須です。
OSSの観点からも今後は様々な変化が出てくることが予想されます。
例えば、長期のメンテナンスや脆弱性情報のハンドリングのベストプラクティスなどが容易に想定されます。長期メンテナンスに関しては、すでにLinuxやKubernetesを始めとするいくつかのコミュニティで議論が始まっています。
とにかく、業界は2027年末までにはこのCRAに準拠できる体制を整える必要があります。一人(一社?)で悩むのはとても非効率的なので、この課題に積極的に取り組んでいるOSSのコミュニティに参加して、コミュニティの仲間と共同でベストプラクティスを積み上げ、体制を整えて行くことをおすすめします。例えば、Linux Foundationのプロジェクトでは、Open Source Security Foundation (OpenSSF)や OpenChain がそれに該当します。
タイムリミットは3年です!
以上、2024年のOSSのトレンドをLF的観点から振り返ってみました。
当初の想定よりもやや長文になってしまいましたが、逆に言えばそれくらい様々な変化があった一年だったということが言えるかと思います。
来年2025年はどんなトレンドが出てくるでしょうか?
いくつか予測をして、今回の記事を終了したいと思います。
予測1:OSPO普及さらに拡大!
雨後の筍のようにOSPOを設置する企業が出てくるのではないかと思います。単純にセキュリティのことだけ考えてもで、OSPOなしで対応するのは正直困難だと思います。
予測2:クラウドFinOpsの普及
日本のクラウドネイティブシフトは、FinOpsとセットで進んでいくのではないでしょうか?FinOpsによりクラウド利用の可視化、最適化がクラウドネイティブシフトに拍車をかけるのではと期待しています。
予測3:エンジニア人材問題のさらなる顕在化
単純にクラウドネイティブシフトが進めば新しい分野のエンジニアが必要なわけで、それはそんなにすぐに準備できるものではありません。本来であれば先行投資的に準備ができればよいのですが、そうもいかないので、おそらく一時的にはエンジニア不足がクラウドネイティブシフトのボトルネックになる可能性も予想されます。
また組込開発の分野でも、自動車業界のLinuxシフトにより組込Linux開発人材不足が進むことが予想されます。そもそも組込みソフトウェアの開発人材は予てから高齢化が問題視されてきましたが、ここ数年でさらに組込ソフトウェア開発人材がリタイアすれば、いよいよこの課題の深刻度は増してきます。
先日Linux Foundationは組込システム技術協会(JASA)との組込人材育成に関する協業に関してアナウンスをしました。課題がどんどん深刻化していく中で、スピード感をもって解決に取り組んで行きたいと思っています。
2025年の予測をざっと3つしてみました。
ぜひ来年のこの時期に、このOpenChain Advent Calenderで答え合わせをしたいと思っています。
それでは皆様、良い年末年始をお過ごしください。
Happy Holidays!