OSS監査サービス

開発中のアプリケーションやシステム内にどのようなオープンソースソフトウェア(OSS) が含まれているか、どんなライセンスが埋め込まれているのか、どのように対応すればよいのかをきちんと理解しないまま製品を配布してしまうと、ライセンス規約に違反する法的なリスクを抱えることになります。ローグウェーブのOSS監査サービスは、お客様がライセンス義務条項や対応方法を正しく理解して製品をリスクなしに配布するためのサポートを提供します。

ローグウェーブの専門家が、OSSを使って開発されたお客様のソフトウェアを隅々までスキャンし、OSSの明細(BOM) やライセンス義務条項を洗い出してリスト化します。豊富な経験を持った専門家が複雑に絡み合った情報を分析して詳細なレポートを作成し、企業が決定を下すのに必要なアドバイスを提供します。

OSS監査

オープンソース義務条項

オープンソースソフトウェア(OSS) は利用者に最新の技術とコストの低減をもたらします。しかしながらOSSを商用ソフトウェアに利用する場合、関連するライセンスに伴う義務条項が発生します。これに従わないと、結果として法的処置、金銭的な損害賠償、社会的評判の低下、知的財産の侵害等の悪影響を及ぼす可能性があります。

なぜライセンスのコンプライアンスは重要なのでしょうか?多くの企業にとってGPLに代表されるようなOSSライセンスの「コピーレフト」の概念は既におなじみでしょう。しかし、多くのOSSのパッケージが内部に複数のコンポーネントがバンドルされていたり別のコンポーネントへの依存性を持ち、それぞれ異なるライセンスを持っている、という事実は案外知られていません。「リベラル(自由)」なライセンスを持つOSSは、実はGPLなどの制限的ライセンスのもとにあるコンポーネントをバンドルしているかもしれません。オープンソースのライセンスは互いに競合することもあり、そこから生じる法的な問題はきちんと理解され解決されなければなりません。関連する全てのライセンスを理解することなしには組織は常にライセンス義務条項に関して法的リスクを抱えることになるのです。

このリスクが存在するのはソフトウェアの販売や配布が主業務である企業にとどまりません。パートナーや顧客に偶発的に渡したり、コンサルタントが内部的に利用するような場合でも義務は生じます。

サービス内容

OSS監査サービスは企業がソフトウェア内のOSSとライセンスを迅速かつ簡単にチェックするための手段を提供します。内容は以下のとおりです。

  • 含まれているOSSパッケージと関連するライセンス名のリスト
  • OSSパッケージに含まれるライセンスと参照情報をまとめたもの
  • 次のステップに進むためのアドバイス。スキャン結果に基づき、オープンソース利用に付随したリスクを減らします。

サービス利用の流れ

OSS監査は1回きりでも、またサブスクリプション契約で何度でも実行可能です。サービスの依頼を受けたら私たちはお客様の開発者と面談して対象のアプリケーションの主な問題を把握します。内容は例えば開発工程でどのようにOSSのパッケージが利用されているか、ソースコードは変更されているか、リンクの仕方、そのアプリケーションが外部に配布されるかどうか、などです。

インタビューが終わったら OSS監査チームがいくつかのツールと方法でファイルをスキャンし(バイナリでもソースでも可能です)、レポートを作成してお届けします。

複数のツールを利用して検出精度向上

世の中にはオープンソースでも商用でも多くのスキャニングツールがありますが、単独でいかなる状況にも対応できるようなツールは存在しません。個々のツールはそれぞれ特定のOSS利用を想定し、擬陽性(false positive)の結果を出します。OpenLogic のサービスチームは最高の結果を提供するために、対象のアプリケーションに応じた複数のツールを使用してスキャンを実行します。

オープンソースライセンスについて適切に利用していることを保証します

近年オープンソースライセンスが急激に増加し、数百ものライセンスが存在しています。その中にはわずかな差異しかないような類似したライセンスや、意味がないライセンスも含まれます。また、複数のコンポーネントを含んだOSSパッケージの中にはそれらのライセンスが互いに競合することがあります。OSSを含んだ製品を配布する企業にとって、これらを理解し、ましてライセンスの条項や条件を適切に変更することは困難でしょう。そしてもし企業が、自分たちの製品がどんなOSSパッケージを含みどんなライセンスがあるのかをきちんと把握していない場合、その困難さははるかに大きなものになります。アプリケーション監査サービスを利用すれば企業はこのような複雑な状況においても適切に導かれ、オープンソースライセンスのコンプライアンスを実現することができます。

M&A 監査

会社が合併や買収を行う際には、特にソフトウェアの利用とライセンス義務の準拠について格別にデューデリジェンスに配慮する必要があります。この監査サービスでは技術的にデューデリジェンスを配慮してソフトウェアやテクノロジー資産を調査し、いかなるオープンソースも特定することができます。バイヤー、ベンチャーキャピタル、法務やコンプライアンスチームといった関係者は、知的財産権の係争回避や製品がライセンス違反していないことを確認するために監査サービスを利用しています。一方販売する企業側も、監査サービスを利用すれば合併先や買収側との交渉がスムーズに進み、資産の価値低下を防ぐことができます。

アプリケーションセキュリティサービス

その他、検出されたOSSコンポーネントに関連する脆弱性を指摘してセキュリティリスクを低減するためのサービスも提供しています。脆弱性によるデータ漏洩は組織の評判を落とし、金銭的に損害を与え、法的な罰則を被る可能性もあります。ローグウェーブの専門家はNational Institute of Standards and Technology (NIST) などのデータベースを参照し、お客様のコードベースに存在する潜在的なリスクを発見し、対応の必要性ごとにリストアップします。

プロフェッショナルサービスに関するお問い合わせ

Privacy Policy