製品でのOSS利用が広がる中で OSS管理のシステム化が不可欠に

電化製品や電子機器の開発において、機器に求められる機能の多様化に伴い「ソフトウェア」の重要性が増している。多様なニーズに応えるソフトウェアを、効率的に開発していく上で、オープンソースソフトウェア(OSS)を適切に活用できるスキルとプロセスは、メーカーにとって欠かせないものになっている。

プリンター(複合機)、ラベルプリンターをはじめ、ミシン、産業用機械、業務用カラオケ機器等の開発製造を手がけるブラザー工業。そのP＆S(プリンティング＆ソリューションズ)事業でLC開発部 主任を務める竹内瞬氏は「当社では、主に2000年代以降、徐々にOSSを活用する機会が増えてきました」と話す。OSS活用が進むに従い、徐々に課題として浮上してきたのが「OSSの適切な管理」だった。

「製品開発にOSSを活用したいという声が出始めた時、どんなOSSを、どのように使うべきかという社内ルールを定めました。それ以来、OSS活用については、比較的慎重に進めてきたのですが、OSSの利用範囲が拡大する中で、これまでのやり方を、よりシステマティックにしていく必要に迫られました」そう話すのは、同社、開発センターでソフト技術開発部のグループ・マネジャーを務める松田誠氏だ。開発センターは、製品事業部とは独立した部門として設置されており、ソフト技術開発部では、主にソフトウェアの技術活用を通じて、各事業を支援する役割を担う。当初のルールでは、製品にOSSを利用する場合、開発担当者が知財部門にOSSの出自やライセンス等について調査を依頼し、問題無い事を確認の上、製品開発プロジェクトで承認を取るプロセスをとっていた。「OSSの種類や量が増えるにつれ、自己申告による、人の手に頼ったOSS調査・管理には限界を感じるようになりました。ミスによる申告漏れや、開発者自身が意図せずにOSSを使ってしまう懸念も払しょくできませんでした。」(竹内氏)

こうした課題を解決するため、同社では、テクマトリックスが提供するOSS管理ツール「FossID」を導入し、OSS管理の自動化と効率化を進めている。

高いコードスニペット検出率を備えた「FossID」をOSS管理ツールとして採用

同社がツールによるOSS管理を検討し始めたのは、2018年のこと。当時、開発センターに所属していた竹内氏は、Webで存在を知った「FossID」について、テクマトリックスの担当者に、展示会で直接、話を聞いたという。「複数のOSS管理ツールについて、慎重に比較検討を行いました。選択基準としては、われわれが開発業務で利用しているOSSを検出できること。そして、将来的に全社規模で利用していくにあたり、十分な拡張性とコスト面での合理性があるかという点を中心に検討しました」(竹内氏)

最終的に「FossID」を導入する決め手となったのは「コードスニペット検出における精度の高さ」だったという。コードスニペット検出とは、OSSのコードから、一部のみが利用されている場合でも、元となっているOSSを特定できる機能である。「製品開発においては、OSSをまるごと組み込むのではなく、部分的に必要な機能を取り出して利用することが多くなります。そのためコードスニペット検出が高精度に行えるかどうかは、特に重視しました。社内の検証において、他のツールでは期待する結果を得られなかったのに対し、FossIDは、われわれが求めていた精度で検出できたことが、採用の決め手になりました」(松田氏)

検出率の高さに加えて、FossIDでは、実際のソースコードではなくソースコードから生成した不可逆であるハッシュ値によるスキャンが可能な点も、同社のセキュリティポリシーに合っていたという。

ツールによる信頼性の高いOSS管理が可能に Jenkinsとの連携で開発プロセスの一部に

同社では、2019年4月から、主に「ワンショット」形式でFossIDの利用を開始。2020年以降は、プリンター開発を主に手がけ、規模が大きいP＆S事業の一部において、開発プロセスに「FossID」を組み込み、定期的にコー ドスキャンを行うといった形でも、活用範囲を広げている。

「ワンショットは、新しいコードを開発する際、担当者がそれぞれに含まれる OSSをチェックするという形式で、現在では、さまざまな事業の開発現場で実施されています。P＆S 事業では、ワンショットに加え、プロジェクトの区切りなどで、コード全体を自動的にスキャンするプロセスを、先行して導入し始め ています」(開発センター ソフト技術開発部 主任研究員の新井健太郎氏)

コード全体のスキャンにおいては、開発プロセスの自動化ツールとして導入している「Jenkins」を、FossIDと連携している。新井氏は「FossIDは、外部連携のAPIが充実しており、プロセスへの組み込みも容易に行えました」と話す。

「FossIDの導入検討や環境構築において、テクマトリックスのサポートは大変役立っています。導入前のトライアルにおいては、われわれの扱いやすい、 Dockerコンテナベースでパッケージされたものを提供してもらえましたし、導入後に技術的な問題が起こった際にも、サポートチームがメールで迅速に対応してくれました」(竹内氏)

FossIDの導入効果として、竹内氏は「何よりも、OSS管理についての信頼性と、現場の安心感が高まったことがメリット」だと話す。また、松田氏も「会社としても、開発したソフトウェアにおけるOSSの利用状況に関して、 自信を持って説明できる環境が築けたことが大きい」とする。

FossIDによるスキャンを開発プロセスに取り入れている事業では「ツールでのチェックがあることで、個々の開発者も、OSSを製品内で使う際のコンプラ イアンスやセキュリティを意識するようになってきていると感じる」(松田氏) という。

さらなる自動化や脆弱性追跡への活用も視野 製品品質と開発者のOSSへの意識を高める基盤に

開発センターでは、より多くの開発現場、プロダクトにおいて、FossIDによるOSS管理を標準的なものにしていくことを視野に入れている。

「ブラザー工業では、多様な製品を開発しており、その開発プロセスや、OSSの活用状況はさまざまです。FossIDを、開発の中でどのように活用していくかは、各チームの判断に任されていますが、脆弱性対応などを含む、OSSの適切な管理は、OSSを利用しているすべてのチームにとって避けられないも のになっています。開発センターとしては、FossIDを先行して利用しているチームの事例や、効果的な活用方法などを社内に広めることで、より多くのチームが、効率的で信頼性の高いOSS管理が行える体制を広げていきたいと考えています」(新井氏)

ブラザー工業では、今回導入したFossIDを、OSS管理の技術的な基盤と して、脆弱性情報の継続的な追跡や、OSS管理にまつわる作業プロセスのさらなる自動化などにも取り組んでいきたいとしている。 

「当社では中期戦略として“お客様とのつながりの強化・拡大”というテーマを掲げています。これを実現する上で、製品面ではネットワーク関連機能の強化などが求められ、必然的にソフトウェアの重要性は増していきます。利用するOSSを適切に管理し、その上でセキュリティを高めていくことも不可欠です。FossIDは、そのための基盤として活用するとともに、開発者の、OSS活用やセキュリティへの意識を高めるための仕組みとしても、広く活用していきたいと考えています」(松田氏)

事例の続きは、資料ダウンロードのお申し込みをお願いいたします。

---

＊ 掲載日：2022年8月
＊ 資料記載の担当部署は、取材時の組織名です。