オープンソースソフトウェア（OSS）は、現代のソフトウェアソリューションを構築する上で不可欠な要素です。社内ニーズに対応する場合でも、顧客向けソリューションを提供する場合でも、今日の組織はオープンソースソフトウェアに大きく依存しています。オープンソースソフトウェアの各コンポーネントはそれぞれ独立したライセンスの対象であり、これらの条件に違反すると、組織はセキュリティや知的財産（IP）のリスクにさらされることが多く、企業のブランド価値を損なう可能性があります。

開発チームがソフトウェアバージョンのリリースに追われる中、最優先事項はプロジェクトの期限を守ることです。そのため、プロジェクトに導入されたコンポーネントのバージョン、ライブラリ、サードパーティ製のコードを追跡する際に、必要な厳密さを怠りがちです。その結果、ライセンス制限や脆弱性のあるオープンソースソフトウェアコンポーネントがコードベースに含まれ、顧客に提供される可能性があり、顧客とソフトウェアソリューションを提供する企業の両方にリスクをもたらします。

開発者がオープンソースプロジェクトに貢献する分野は、ますます困難になっています。参加する企業は、スキルの最新化、従業員の維持、組織で働く開発者の誘致、企業イメージの向上など、多くのメリットを得ることができます。多くのオープンソースプロジェクトでは、開発者が貢献者ライセンス契約に署名することを義務付けています。この契約では、開発者が作成した知的財産は開発者個人ではなくプロジェクトに帰属することが明記されています。このような場合、組織は、ソースコードが公開されていない知的財産や企業秘密がオープンソースプロジェクトに譲渡されないようにする必要があります。

開発者に対し、オープンソースライセンスについて教育を行い、コミュニティをいつ、どのように、どの程度支援すべきか、そしてどのパッケージが組織の評判を損なう可能性があるかを判断する必要があります。戦略的なポリシーと運用手順を策定することで、これらを規制することができます。その実現方法の一つとして、オープンソース関連のあらゆる事項を扱う専門部門、オープンソース・プログラム・オフィス（OSPO）を設立することが挙げられます。

OSPOは、従業員がオープンソースソフトウェアを利用できるエコシステムを構築し、コンプライアンスリスクを適切に管理しています。OSPOの役割は、オープンソースソフトウェアの利用を監視するだけにとどまりません。ウェビナーやプロモーションイベントなど、様々な活動への積極的な参加を通じて、コミュニティへの貢献や、会社の市場成長の促進にも貢献しています。

この記事では、企業が OSPO を設立する必要がある理由と、それがオープンソース ポリシーと管理手順においてどのように重要になってきたかを詳しく説明します。

なぜオープン ソース プロジェクト オフィス (OSPO) が必要なのでしょうか?

オープンソース ソフトウェアは広く使用されているため、製品開発サイクル全体にわたってその使用状況を監視し、コンプライアンス戦略を維持するようチームに大きなプレッシャーがかかることがよくあります。

開発者はライセンスに関する責任を見落としがちですが、経営陣や関係者でさえ、オープンソースライセンスを遵守しなかった場合の影響を十分に認識していない場合があります。社内用でも社外用でも、OSPOはオープンソースソフトウェアの導入からエンドユーザーへの提供まで、あらゆる段階に対応いたします。

OSPOは、ソフトウェア開発ライフサイクルの早い段階からコンプライアンスと規制監視を開始することで、強固な基盤を構築します。これは通常、組織の価値に資する方向へチームメンバーを導き、連携させることから始まります。OSPOは、オープンソースの利用に関するポリシーとプロセスを確立し、社内の役割と責任を管理します。

要約すると、OSPO は製品開発に携わるすべてのチームの取り組みを統合するのに役立ち、それによって組織がオープンソースをより良く、より効果的に使用する能力を強化します。

オープンソースプロジェクトオフィス（OSPO）の台頭

Microsoft、Google、Netflixなどの企業は、既に組織内に成熟したOSPOを構築しています。さらに、ポルシェやSpotifyなどの企業も、オープンソースの効率的な活用を実現するために独自のOSPOを構築しています。

以下は、OSPO の実践に関する有名企業のリーダーの見解です。

• 「企業にとって、これは文化的な転換です」と、長年マイクロソフトのOSPOを率い、現在はGitHubのプロダクトリーダーとして企業におけるオープンソースの推進に尽力するジェフ・マカファー氏は説明する。「多くの企業は社外チームとの連携に慣れていません。」
• 「エンジニアリング、ビジネス、法務といった各ステークホルダーはそれぞれ独自の目標と役割を持ち、スピード、品質、リスクの間でトレードオフを迫られることがよくあります」と、Spotifyのオープンソース責任者であるレミー・デカーズメーカー氏は説明します。「OSPOの使命は、これらの個々の目標を調整・連携させ、摩擦を軽減する包括的な戦略に統合することです。」
• ベライゾン・メディアのOSPO責任者であるギル・ヤフダ氏は、次のように見解を述べています。「私たちは、才能ある人材が参加したくなるような職場環境づくりを目指しています。当社のエンジニアたちは、オープンソースフレンドリーな環境にあり、業務に関連するオープンソースコミュニティとのコラボレーションが奨励されていることを認識しています。」

図1：2018～2021年における様々な業界におけるオープンソースプロジェクトオフィスの人気度（出典：https://github.com/todogroup/osposurvey/tree/master/2021）

オープンソースプロジェクトオフィス（OSPO）の機能

OSPOの機能は、組織の従業員数、OSPOチームの規模、オープンソースの利用目的によって異なります。組織によっては、オープンソースソフトウェアを製品開発のみに利用したい場合もあれば、コミュニティへの貢献も計画している場合もあります。

OSPOの役割には、どのオープンソースライセンスが適切か、またオープンソースプロジェクトにフルタイムのスタッフを関与させるべきかどうかを評価することが含まれる場合があります。また、意欲的な開発者向けにコントリビューターライセンス契約（CLA）を策定し、製品の急速な成長と品質向上に貢献するオープンソースコンポーネントを特定することも、OSPOの重要な責務です。

OSPO の主な機能は次のとおりです (ただし、これらに限定されません)。

• 組織の知的財産リスクを軽減するために、オープンソースのコンプライアンスとガバナンス ポリシーを確立します。
• 開発者のより良い意思決定能力を育成する
• ポリシーとガイドラインを策定し、企業によるオープンソースの全面的な導入を推進します。
• 組織の内外におけるオープンソース ソフトウェアの使用状況を監視します。
• 各ソフトウェアのリリース後には、オープンソース ソフトウェアのコンプライアンス プロセスの利点と改善領域について話し合う会議が開催されます。
• ソフトウェア開発ライフサイクル（SDLC）を加速する
• 部門間の透明性と連携を向上させる
• プロセスを合理化することで、早い段階でリスクを軽減します。
• チーム メンバーは、オープン ソース プロジェクトの共同作業と革新的な利点を享受するために、アップストリームに貢献することが推奨されます。
• 適切な是正措置と製品チームの推奨事項を含むレポートを提供します。
• ライセンス義務を確実に満たすためにコンプライアンス文書を準備します。

オープンソースプロジェクトオフィス（OSPO）の構築プロセス

OSPOは通常、社内の複数の部門から構成されます。このプロセスでは、関連部門に対し、オープンソースコンプライアンスの基礎とオープンソースの利用に伴うリスクについて研修と教育を行います。OSPOは、オープンソースの目標達成を確実にするために、法的および技術的なサポートを提供する場合もあります。

組織内の OSPO には、次の人員が含まれる場合があります (これは、参加者の可能性のあるリストのみであり、網羅的なリストではありません)。

• ディレクター／チーフ：ディレクターまたはチーフは、通常、OSPOの責任者です。彼らは、オープンソースの利用に関するあらゆる側面、例えば様々なコンポーネントの利用による影響、ライセンスの意味、開発およびコミュニティへの貢献などを包括的に管理します。これらの要件は、企業のニーズに完全に依存します。
• プロジェクトマネージャー：プロジェクトマネージャーは、対象ソリューションの要件と目標を設定します。製品チームおよびエンジニアリングチームと連携し、ワークフローを調整します。これには、開発者にとって使いやすい方法で戦略とツールを実装することも含まれます。
• 法務サポート：法務サポートは社内外から提供されますが、OSPOにおいて重要な役割を果たします。法務チームはプロジェクトマネージャーと緊密に連携し、オープンソースソフトウェアの利用管理戦略を策定します。これには、各製品に適用可能なオープンソースライセンスや、既存のオープンソースプロジェクトへの貢献方法（あるいは貢献の有無）などが含まれます。
• 製品およびエンジニアリングチーム／開発者：エンジニアリングチームは、オープンソースライセンスとそれに伴うリスクについて理解しておく必要があります。オープンソースコンポーネントを使用する前に、OSPOの承認を取得する必要があります。また、オープンソースコンプライアンスの基礎知識とその使用方法について、定期的なトレーニングを受ける必要がある場合もあります。
• 最高技術責任者（CTO）／情報責任者（ITO）／ステークホルダー：企業のリーダーシップはOSPO戦略に大きな影響を与えます。ステークホルダーは、あらゆる製品ソリューションの意思決定プロセスにおいて大きな意思決定権を有しています。そのため、エンジニアリング担当副社長、CTO／情報責任者、または最高コンプライアンス／リスク責任者がOSPOの取り組みに関与する必要があります。
• ITチーム：IT部門からのサポートは不可欠です。OSPOには、開発者の生産性向上のための社内ツールの導入、オープンソースコンプライアンスの監視、オープンソースセキュリティ対策の設定といったタスクが割り当てられる場合があります。ITチームは、ワークフローの連携を促進し、開発者にとって使いやすい方法で戦略が実装されるよう徹底する上で重要な役割を果たします。

2021 年に TODO 組織が実施した OSPO 調査から、次の主な結果が得られました。

• 教育関連企業にとって、OSPO がどのようなメリットをもたらすかを理解できる大きなチャンスがまだ残っています。
• OSPO はスポンサーのソフトウェア実践に大きなプラスの影響を与えますが、その影響の具体的な効果は組織の規模によって異なります。
• OSPO を設立しようとする企業は、OSPO によってイノベーションが促進されることを期待していますが、目標を達成する上で、戦略策定と予算配分が依然として主な課題となっています。
• OSPO をまだ設立していない調査参加者のほぼ半数は、OSPO が自社の発展に役立つと考えています。しかし、OSPO が自社の発展に役立たないと考えている回答者のうち、35% はまだその件について検討していません。
• 調査参加者の 27% は、企業のオープンソースへの関与レベルが組織の購買決定に大きな影響を与えると回答しました。

今日では、あらゆるソフトウェアソリューションを構築する上で、オープンソースソフトウェアへの依存はほぼ避けられません。しかし、オープンソースライセンスに伴う潜在的なリスクも無視できません。そのため、オープンソースコンポーネントの使用に伴うコンプライアンス問題に効果的に対処するための戦略的なプロセスが必要です。

OSPOは、一元化された専門チームを設立することで、企業が標準化されたオープンソース文化を確立し、従業員が組織内でのオープンソース活用に関するあらゆる側面を理解し、精通できるよう支援します。さらに、OSPOは業界トップクラスの人材を惹きつけるための指導的役割も果たし、ビジネス目標の達成に間違いなくプラスの影響を与えるでしょう。