見出し画像

OSSコンプライアンス活動「OpenChain」Japan WGオンライン会合レポート

テクノ大仏

OSSコンプライアンスに関する国際的なプロジェクト「OpenChain」。そのJapan WG(ワーキンググループ)の全体会合が、4月23日に行われました。

新型コロナウイルスの影響もあり、今回初のオンライン開催でしたが(zoom会場の提供と運営はソシオネクストの大和田さんに手配いただきました。ありがとうございます!)、初参加の方も含めて80名以上が参加し、大いに盛り上がりました。

00:00:00 開会あいさつ
00:04:45 プロモーション
00:25:35 FAQ作成
00:50:39 サプライチェーン上流向けリーフレット作成
01:05:14 教育資料作成
01:22:57 組織間ライセンス情報授受
01:41:55 OSS関連ツール
02:00:59 まとめ

このnoteでは、OpenChainのGeneral Manager・Shaneさんの開会あいさつに続いて行われた、各SWG(サブワーキンググループ)の発表内容について、ざっと紹介していきます。

OpenChainの紹介&プロモーションSWGの活動

OSSコンプライアンスやOpenChainについてのプロモーションを担当しているチームです(自分もここに所属)。トヨタ自動車・遠藤さんから全体のイントロとしてOpenChainの説明とプロモーショングループの活動に関する発表がありました。

画像1

OpenChainの“Chain”はサプライチェーンのチェーンが由来。システム開発のサプライチェーンが多層化・複雑化していく中で、

サプライヤーから使用しているOSSの通知が行われず、情報が不透明になり、最終製品の提供者が適切なライセンス管理ができない

という問題が発生していました。

この問題に対してはサプライチェーン内でルールを作ることで解決できれば良いのですが、各社のOSSコンプライアンスに対する理解度に差がある状態ではなかなか難しい。

そこで「各社が取り組むOSS活動について、信頼構築の基準となる運用体制や教育体制などの品質を担保する仕組みを作る」というのが、OpenChainプロジェクトの基本的なコンセプトとなります。

画像2

上記のコンセプトに基づいて、OpenChainプロジェクトには3つの活動の柱があります。それが「仕様(Specification)」「適合(Conformant)」「カリキュラム(Curriculum)」です。大まかに説明すると

仕様(Specification):組織としてOSSコンプライアンスを実施するために必要な業界標準(組織体制・活動内容・教育体制など)を定義する
適合(Conformant):組織がSpecificationに適合しているかを確認・認証する
カリキュラム(Curriculum):組織がSpecificationに適合するために利用可能な教育資料を提供する

になります。

OpenChainの業界標準は、すべての市場のあらゆる規模の企業に適用できる必要があります。そのため、守るべきルールを標準として定めるのではなく、各社が継続的にOSSコンプライアンスに取り組めるような体制・活動・教育ができているかを確認するような内容になっています。

例えば下記にSpecificationの一部を掲載しますが、「SBOMの具体的な仕様」ではなく「SBOMを作成・管理するプロセスを組織として持っているか」を確認する内容になっているのがわかると思います。

画像8

OpenChainのSpecificationの一例:OpenChain ProjectにおけるOSSのTransparency向上への取組 より引用

Specificationの内容は2020年内のISO化が見込まれており、Web診断を用いた自己認証・認証機関を用いた第三者認証の仕組みが整えられています。現時点でも、クアルコム・マイクロソフト・インフォシス・グーグル・ソニー・Uberなど、名だたる企業が認証を取得しています。

画像3

グローバルに展開されているOpenChainプロジェクトですが、「日本企業ならではの課題を解決しよう」ということで、OpenChain Japan WGが作られました。

Japan WGでは現在7つのSWGが作られており、参加者が自分の興味のあるSWGに参加して、日々活動しています。

国別のWGは2017年に日本で作られたのが初ですが、その盛り上がりを受けて2019年以降に中国・インド・韓国・台湾・ドイツなどでWGが作られています。Japan WGは議論は日本語で行っていますが、成果物は英語で共有するというポリシーを取っており、各国での議論がグローバルに共有される形を目指しています。

画像4

OpenChainの説明、Japan WGの説明に続いて、最後にプロモーションSWGの説明がありました。同SWGの目的は「そもそもOSSコンプライアンスの重要性を認識していない人々(会社・職種など)の人に、OSSコンプライアンスについて興味を持ってもらう」ことです。

最近の成果としては、2019年末に各SWGの活動内容などを紹介するアドベントカレンダーを企画したり、2020年のCESに出展してリーフレットを配布したり、といった取り組みをしています。

自分もそうなのですが、OSSの専門的な知識が無くても活動に参加できるのでコミュニティ活動の入門にもお勧めかと思います。

FAQ作成

続いてFAQ作成チームの活動について、富士通・大内さんから説明がありました。

画像5

FAQ作成チームでは主に初心者に向けたFAQの内容を検討し、一問一答の形で資料を作成しています。2019年12月時点で27件のFAQを作成して公開、その後2020年1月にOSSライセンス研究所と共同制作の形でFAQ資料(OSSライセンス簡単FAQ V2)を公開しています。

画像6

公開されているFAQの一覧

内容の検討をする際には、問題が起こらないように、下記のルールを採用しています。

・解釈がグレーな内容やビジネス的な判断が必要な内容は記載しない
・弁護士のレビューを行ったうえで公開する
・誰が話した内容かは口外しない(Chatham House Rule)

続いて、FAQのレビューを体験してみようということで、資料には未掲載の質問について皆で考えてみる時間を取りました。オンラインでアンケートを取ってその場で集計ができるのは、zoom会合ならではでとても良いなと思いました。

画像7

その後FAQ資料SWGメンバーによるディスカッションをリアルタイムで配信。回答のYes/Noだけではなく、

・その解となる根拠や解説、対応策についての具体的な文言
・前提となっている条件の説明が漏れていないか
・質問や回答について、フォーカスをもっと絞った方が良いのではないか

といった内容も含めて議論が行われていました。

様々な専門的な知見が無いと議論に参加するのが難しそうですが、質問を投稿するだけの参加もOKとのこと。OSSコンプライアンスについて理解が深まりそうだなと思いました。

サプライチェーン上流向けリーフレット作成

続いて、リーフレット作成SWGについて、ソニー・上田さんのセッションがありました。各国語でのリーフレット作成実績やCESでの配布実績(1000部を配布)を紹介した後に、参加者に質問する形でリーフレットの活用事例を共有。初心者向け研修などで活用しているといった話がありました。

画像12

リーフレットの各国版は、OpenChainプロジェクトのGitHub にて公開されている

現在作成中の新たな資料として「OSSのバグを見つけたエンジニアと、OSSの経験に乏しい上司の議論」を題材に、OSSとのかかわり方・OSSコミュニティへの貢献について理解が深まるような資料の紹介がありました。

画像9

「OpenChainのSpecificationの中に、『組織内にOSSコミュニティに貢献する仕組みがあるか』という項目があるが、具体的にイメージしにくいという声があった」ということで読み物の形でまとめた資料で、この他にも同様の資料を全部で4つ作成中とのことです。

教育資料作成

全体会合も後半戦。ソニー・オリンパス・日立製作所の3社で行われている役割ごとの教育資料SWGからは日立製作所・岩田さんの発表がありました。

画像10

同SWGでは、企業内におけるOSSコンプライアンスに関する教育内容を「教育内容・対象者・タイミング・提供形態」などの観点から整理

画像11

まずはソフトウェア開発者を対象に教育資料案を作成、日本語版を作成してフィードバックを受けつつ、英語版の作成に着手しているとのことです。

日本語の教育資料案はGitHubに公開中。OpenChainのSpecificationの各項目と、教育内容の対応付けを分かりやすくするなど工夫をしているとのことでした。

画像13

教育資料案は、OpenChainプロジェクトのGitHubにて公開されている

組織間のライセンス情報授受

続いては、組織間のライセンス情報授受SWGからルネサスエレクトロニクスの伊藤さんから発表がありました。

同SWGでは、組織間で受け渡しが必要な情報を整理。その内容を基にライセンス情報の受け渡しをする際に使われるSPDXの改善提案や、人がエクセル上で記入できるSPDX Liteの検討などを行っています。

画像14

SPDXやSPDX Liteの想定活用事例として、商品の開発段階ごとのライセンス管理を紹介。途中で使うのは構わないが最終製品には組み込んで欲しくないライセンスを上流から下流まで一括で共有、管理ツールを使ったライセンス状況の機械的なチェックや管理を各工程で行うケースが紹介されました。

また具体例として、トヨタ自動車の車載情報機器分野での導入事例が紹介されました。

画像15

OSS関連ツールの活用

最後に、Tooling SWGの活動について、東芝の忍頂寺さんから発表がありました。

画像16

同SWGでは、OSSを活用する際に便利なツールについて情報を整理・発信。さらに実際に使いながら勉強する場の提供や各ツールの改善に向けた提案などを行っています。

画像17

昨年度の活動報告では、SW360やFOSSologyなどについて、勉強会が開催されていました。

OpenChain Japan WGへの参加方法

OpenChain Japan WGに興味を持っていただいた方は、まずは全体会合のアナウンスなどが行われるメーリングリストに参加いただくのがお勧めです。

全体会合などのイベントに一度参加してみて、さらに深く議論したいということであればSlackに入って各SWGのチャンネルで議論するのが良いかと思います。

画像18

OpenChainのプラチナメンバー一覧。OpenChainの公式HPより引用

サポートいただいた分は下記にまとめた本を読んで還元したいと思います! デジタルヘルスケア https://is.gd/4XCPtN スタートアップ×知財 https://is.gd/KHV8G8 中国スタートアップ https://is.gd/KG2zcF