OSSライセンス違反を防ぐため「OSSチーム」がOSS管理を徹底

帳票やBIツールで国内市場トップクラスのシェアを誇るウイングアーク１ｓｔ株式会社(以下、ウイングアーク１ｓｔ)。同社は品質管理を重視し、全社横断の専門部署として「ソフトウェアプロセス＆品質改善部」を設置している。部長を務める伊藤潤平氏は「後工程のテストで製品の品質を保証するだけでなく、前工程であるプロセス改善から積極的に関与し、PDCAを回すことで継続的な品質管理を実現することが私たちのミッションです」と語る。

同部には専門の「OSSチーム」があり、製品の品質管理担当者と連携しながらOSS管理を徹底している。同社の製品開発においてOSSの利用は不可欠なため、OSSライセンス違反がひとたび発生すると対応に多大な工数を要し、社会的評価の低下にもつながるなど大きな事業リスクとなる。これを防ぐためには、OSS運用ルールの制定とルールの遵守徹底が重要だ。

そこでOSSチームでは、開発チームへの監査を行い、OSSの適切な選択と規約を遵守しているかを確認している。主力エンジニアである大沢尚史氏は「当社ではOSS管理ツールとしてFossIDを使い、開発チームのOSS利用を定期的にチェックしたり、リリース後の脆弱性を監視したりしています。多数の製品を複数チームで開発していることから開発チームごとに異なる文化があり、OSSに対する意識もまちまちです。そこで、FossIDによる管理と並行して、チーム間の認識ギャップを埋めるための説明会や勉強会をOSSチームが主催しています」と語る。

強力なスニペットスキャン機能とユーザー単位のライセンス体系を評価

同社がFossIDを導入したのは2019年。きっかけは従来利用していたOSS管理ツールの契約終了だ。移行先を検討した同社は、スニペットスキャン機能のほか、必要とする機能を標準装備していること、また同社では大量のソースコードを扱うため、データの容量課金でなく、開発者数に応じたライセンス体系を採用していることを選定基準とし、FossIDを選択した。

「OSSツールを見直すことで、大幅なコスト削減が可能だとわかり、新しい発見をした感覚でした。テクマトリックスの担当者からは、OSS管理の仕方、運用のための組織作り、ルール作りなども支援するという提案があり、FossIDのライセンス提供と併せてコンサルティングもお願いすることにしました」と伊藤氏は語る。

「FossID」による脆弱性の監視では、情報を共有するツールを自社開発

同社は現在、全製品のOSSライセンス管理とセキュリティ管理にFossIDを利用している。開発フェーズでは、コードをZIPファイルでアップロードしてスキャンを実行。結果はFossIDのレポート機能を利用して出力し、リリース承認の際にOSSの種類や脆弱性について問題がないことの証左としている。

「当社では、製品リリースの出荷判定会議のワークフローにOSS監査のプロセスを組み込み、開発工程で品質を維持していることを文書化しています。監査フローにはOSSスキャンのプロセスがあり、ライセンス違反がないことのエビデンスとしてFossIDのレポートを添付しています。FossIDは製品リリースに欠かせないツールという認識です」と伊藤氏は説明する。

運用フェーズでは、脆弱性の監視ツールとしてFossIDを利用し、脆弱性を発見した際にはアラートで開発者に対処を促している。また、同社独自の工夫として、検出された脆弱性情報を共有するツールを自社開発して運用している。FossIDから脆弱性情報(メール)が届くとPythonプログラムが起動し、プロジェクト管理ツールにタスクを登録して開発者に確認を促すチケットを発行する。登録された脆弱性情報は、同社のAIプラットフォーム製品である「dejiren(デジレン)」に送られ、dejirenのビジネスチャット機能で共有する流れだ。

「FossIDを導入した当初は脆弱性情報を手作業でチャットに登録していました。それではあまりにも手間がかかることから自動化を検討し、その中で自社製品のdejirenの活用を思い付きました」と大沢氏は語る。

同社では、SBOM(ソフトウェア部品表)の作成もFossIDで行っている。作成したSBOMは同社の独自形式に変換してデータベースに登録し、自社のBI製品である「MotionBoard」で管理。必要に応じてExcelやPDFファイルに変換して取引先などに提供している。

事例の続きは、資料ダウンロードのお申し込みをお願いいたします。

---

＊ 掲載日：2025年12月
＊ 資料記載の担当部署は、取材時の組織名です。