株式会社 日立製作所 野村祐治
はじめに
日立製作所では、「オープンソース ライセンス ガバナンス プロセス認証」を取得しました。
この認証はOpenChainプロジェクトが求める仕様に適合しており、OpenChainプロジェクトが認める最初の第三者認証の取得事例になります。
今回は認証の取得にいたる、日立の取り組みを紹介します。
日立製作所のOSSコンプライアンスへの取り組み
日立製作所では、OSSコンプライアンスを遵守するため以下の取り組みを実施しています。
- OSS専門組織
- OSS取扱いに関する会社規則
- OSS取扱いに関するガイドライン
- OSS取扱いに関する社内教育
- OSS取扱いに関する社内インフラ
OSS専門組織
OSS専門組織 として、OSSソリューションセンタを2015年10月に設立しました。
OSSソリューションセンタは、OSS活用の日立グループ内の取りまとめとして以下をミッションに活動しています。
- ミッション: OSSによる日立グループへのビジネス貢献
- OSS活用ノウハウおよび、サポート・ソリューションの提供
- OSSを安心して利用するためのインフラ・ガイドの提供
- OSSコミュニティ貢献・標準化活動を通じたプレゼンス向上
OSS取扱いに関する会社規則
OSSの特性に合わせたOSS取得に特化した会社規則を制定しました。OSS取得の規則においては、以下を規定しています。
- OSS取得に関する審議体の規定
- OSS取得に関する審議項目と、審議担当部署の規定
- OSS取得の決裁者
OSS取扱いに関するガイドラン
OSSの取扱いにおいて、利用者の行うべき作業・検討すべき項目をガイドラインとして規定しました。
日立製作所の標準開発方法論で定義する開発フェーズ、開発プロセス毎にワークシート形式で必要な作業をガイドしています。
ガイドラインの例(抜粋)
フェーズ | プロセス | 検討・作業項目 |
---|---|---|
企画 | 要件定義 | ・OSSの提供状況の確認 ・脆弱性事故への対応方法の確認 |
基本設計 | システム方式設計 | OSSの入手手続き |
受入テスト | 導入・受入 | ライセンス遵守状況の確認 |
OSS取扱いに関する社内教育
OSSに携わる人全員が受講するe-learningと、より深い知識習得のための集合教育に分けて教育を実施しています。
- OSSの基礎(e-learning)
- OSSを利用するために必要な基礎知識を習得する教育(コンプライアンスのポイント、活用するための検討事項)
- OSSコンプライアンス教育(集合教育)
- OSSのコンプライアンス(ライセンス、知財、他)、ガイドラインに関する教育
OSS取扱いに関する社内インフラ
会社規則、ガイドラインで規定した作業を効率よく行うため、社内インフラを開発・整備しています。
社内インフラの構成
OpenChain認証の取得
OpenChainプロジェクトでは、OSS取扱いのプロセスに関する仕様を定めています。
日立製作所では従来より独自の社内プロセスによりOSSの取扱いを行っていましたが、今後広くビジネスを行って行くには業界標準のプロセスを取り込んでいくのが良いと判断し、OpenChainの仕様に準拠する活動を行いました。
具体的な作業として、OpenChainで定められた仕様に準拠するように、社内の取り組みを改善しました。
OpenChain仕様カテゴリ | 対応する社内の取り組み |
---|---|
G1. FOSSに関わる責任の理解 ・OSS取扱いに関する社内教育 | ・OSS取扱いに関するガイドライン |
G2. コンプライアンスを履行するための責任者のアサイン | ・OSS専門組織 |
G3. FOSSコンテンツのレビューと承認 | ・OSS取扱いに関する社内インフラ ・OSS取扱いに関する会社規則 |
G4. FOSSコンテンツ ドキュメントとコンプライアンス関連資料の頒布 | ・OSS取扱いに関する社内インフラ |
G5. FOSSコミュニティへの(積極的な)関わり方の理解 | ・OSS取扱いに関する社内教育 ・OSS取扱いに関するガイドライン |
G6. OpenChain 要件適合の認定 | ・OSS取扱いに関する会社規則・OSS取扱いに関するガイドライン ・OSS取扱いに関する社内教育 |
※FOSS:Free/Open Source Software
従来の日立製作所のプロセスは、OpenChainの仕様で定めるプロセスと大きな差異は無く、軽微な改善でOpenChain仕様に準拠可能でした。
社内のプロセスを改善している時期に、OpenChain仕様準拠の認証サービスを行う企業が登場し、その企業に依頼して仕様準拠の認証をしてもらうことにしました。
2018年11月に、認証取得を得ました。
おわりに
OpenChainの認証を取得する企業は、どんどん増えています。OpenChainプロジェクトで情報交換も出来ると思いますので、皆さん、OpenChainプロジェクトに参加しましょう!
さて、明日の記事は、2019年12月19日に行われたJapanWG全体会合のレポートが投稿される予定になっています。
ますます活発な活動になっているJapanWGですが、最新のトピックスもレポートされると思いますのでお楽しみに!
他社商品名、商標等の引用に関する表示
Black Duck は、Synopsys, Inc. の米国およびその他の国における登録商標です。