ステファニー・ドマス氏は、人気のLinuxオペレーティングシステムであるUbuntuの開発元であるCanonicalの最高情報セキュリティ責任者(CISO)である。
最近、Canonicalの創設者でUbuntuの生みの親であるマーク・シャトルワース氏による基調講演を視聴した。彼は広範なオープンソースエコシステム全体に質の高いサポートとセキュリティメンテナンスを提供するというUbuntuのビジョンについて語った。彼のプレゼンテーションは、私たちとオープンソースソフトウェア(OSS)コミュニティ全体がどれだけ進化してきたか、そしてこれからどこに向かうのかという力強い物語だった。
マーク氏は、断片化が当たり前で、一貫したシステムに統合するために膨大な労力を要する、バラバラなウィジェットが存在する過去の状況を生き生きと描写した。
実際、わずか20年前、主要なソフトウェア企業は「外部で書かれたコード」を深く不信の目で見ていた。彼らは自社の知的財産とソフトウェアを厳重に守り、サービス契約でOSSの使用を明示的に禁止することも一般的だった。企業は選択肢のない状況に直面していた:高価だが機能する製品を使うか、あるいはゼロから構築して数ヶ月かけて統合するかだ。現在ではオープンソースと同義語となっているオープン標準と相互運用性は、主流からはほど遠かった。
現在に目を向けると、状況は完全に逆転している。
あらゆる場所に広がるオープンソース
今日、平均的なアプリには、わずか4年前と比較して3倍ものオープンソースファイルが含まれており、97%のアプリケーションがOSSを含んでいる。OSS市場は供給側の価値で4150億ドル、需要側の価値で8.8兆ドルという驚異的な規模に拡大している。実際、OSSが存在しなければ、ソフトウェアに対する世界的な支出は3倍以上になるだろう。
Canonicalでの私たち自身の調査もこの状況を裏付けている。10組織のうち7組織が、ミッションクリティカルなワークロードを実行する上でオープンソースが「極めて重要」だと考えていることを示している。
しかし、OSSはどのようにしてこれほど広く普及したのだろうか?純粋なコスト効率だけが理由なのか、それともOSSは組織により多くのイノベーションをもたらすのだろうか?
私が個人的に見てきたように、どちらの主張にも根拠がある。例えば、当社のユーザーの一つは、オープンソースのクラウドインフラに移行するだけで、クラウドの総所有コスト(TCO)を76%削減し、約37万ドルを節約した。また、キャリアグレードのプライベート5Gモバイルプライベートネットワークなど、かつては「不可能」とされていた導入が、オープンソースツールで完全に実現可能になっている。
オープンソースの未来
オープンソースは今日、あらゆる場所に存在している。しかし、5年後、10年後にはどうなっているだろうか?
優先されるセキュリティ
企業はオープンソースの代替手段をより積極的に模索し始めるだろう。特に、クラウドとインフラを完全に自社でコントロールできる設定に戻し、法外な数十年契約に縛られたり、特定のベンダーエコシステム内に閉じ込められたりしないようにするためだ。
2025年の開発者環境には、ツール、ライブラリ、ソリューションが豊富に存在する。アプリやサービスを構築したい場合、ゼロから構築するか、オープンソースからソリューションの一部を取得するか、すでに構築されたソリューションを使用することができる。今日の課題は、それらがどのように機能するかを完全に把握できるシステムを作ることだ。
しかし、アプリの構築とは異なり、セキュリティには万能のソリューションが存在しない。これにより、すべてを相互運用可能にし、スタックを統合された状態に保つなど、多くの課題が生じる。開発者は選択肢が豊富にあり、それらをすべて安全に管理しながら、使いやすく、過度に複雑ではない環境を維持することが本当の課題となるだろう。
このスタックの保護は容易ではない。これらの新技術は、パフォーマンスと効率を最大化するだけでなく、攻撃対象領域の拡大や、システム間の複雑な相互依存関係から生まれる新たな攻撃ベクトルも意味する。技術革新は「善意の人々」によって開発された正当なソフトウェアだけで起こるわけではないことを忘れてはならない。AIがますます強力になり、AIツールがより接続され、広く普及するにつれて、新たな攻撃手法や技術が必然的に発見されるだろう。
規制の到来と困難
過去4年間で、米国、EU、英国全体で規制の波が押し寄せてきた。もはや無法地帯ではない。オープンソースがソフトウェアの最高レベルで採用されるにつれて、その名声あるグローバルな舞台に伴う厳しく厳格な要求を継承することになるだろう。企業の適格性に必要なコンプライアンスやハードニングのチェックボックスを単にクリアするだけでは不十分になっている。セキュリティチームは、ソフトウェアの信頼ライフサイクルの明確で透明性のある実績を確立し、この透明性を開発プラクティスに組み込むという大変な作業に取り組んでいる。
しかし、透明性は時に厳しい公の注目を浴び、計り知れない困難な作業を伴うことがある。結局のところ、オープンソースの公開と透明性は、クローズドソースのソフトウェアよりも多くの脆弱性が発見され公開されることを意味する。これにより、オープンソースとクローズドソースのセキュリティに関する認識の不均衡が生じることがある。
これは、オープンソースを安全で信頼できるものに保つ責任を持つ人々にとって、より多くの作業を意味する。しかし、それが間違いなく正しい道だ。結局のところ、私たちが求めているのは単に機能するソリューションだけではなく、それらが存在することを可能にしたオープン性と貢献の遺産を反映し、サポートし、継続するソリューションなのだ。
要するに、私たちの前には多くの作業が待ち受けている。しかし、オープンソースの新たな段階に移行するにつれて、私は興奮している。オープンソースはかつてないほど刺激的だ。私たちが数十年かけて構築してきたオープン性は、ほぼあらゆる技術を組み合わせて機能するモデルに統合できるという、真に注目すべき相互運用性の環境を生み出した。オープンソースがソフトウェア環境をいかに変革したかを私は直接目の当たりにしてきたし、今後数年でさらにどれほど革命的になり得るかを知っている。
