OSS活用で得られるメリットとは
2001年にOSSとして公開されたPHS製のCMS「Drupal」。GPL(GNU General Public License)バージョン2以降のライセンスにもとづき配布されているDrupalは世界でも最もポピュラーなCMSの一つである。
日本での認知度は「WordPressと比べると今ひとつ」と丸山氏は言うが、100万を超えるWebサイトで稼働しており、Drupal開発者は4万6000人超、アクティブコントリビューターは11万人超、コミュニティメンバーは140万人超を抱えると丸山氏は言う。最新メジャーバージョンは9となっている。
Drupalをはじめ、世界には星の数ほどのOSSが存在しており、「コロナ不況な中、OSSの利用が増加している」と丸山氏は言う。もちろん、日本も例外ではない。セキュリティ要件の厳しい金融機関にも、さまざまなシステムにOSSとオープンAPIの活用が広がっているという。それに伴い、OSSをビジネスとしている企業も多数、登場している。Drupalの創始者であるドリス・バイタルト氏が創業したアクイアもその1社である。
アクイアはエンタープライズでもDrupalを安心して扱えるよう、Drupalの有償サポートとホスティングを提供している。「お客さまがDrupalというアプリケーションの開発ができるよう、我々アクイアはDrupalに最適化されたPaaSと強力な開発ツールとしてCI/CDなどのDevOps環境を提供。一番のポイントは24時間365日監視をしており、アップタイムSLAは99.95%。つまり年間で約4時間しか落ちないサービス品質を実現しています」(丸山氏)
OSSの利活用がなぜ、進んでいるのか。それはOSSを活用すると「ローコスト、開発スピードの速さ、高品質」という3つのメリットが得られる。「OSSは商用サービスと比較すると、一般的に開発コストを抑えながら、スピーディーに高品質なソフトウェアを導入することが可能になるという特長とメリットを備えているからです」と丸山氏。
第一のメリットである「ローコスト」。「ライセンス費用以外にも、開発リソースが潤沢であることもOSSの特徴」と丸山氏は言う。Drupalの場合、4万6000人超の開発者、11万人のコントリビューターがいると先述したように、大規模OSSプロジェクトでは、世界中に万単位の開発に携わっている人材が存在しているのだ。ライセンス費用がかからないので、コストを抑えて構築でき、OSSなのでベンダーロックインもない。
第二のメリット「スピード」については「2軸ある」と丸山氏。一つがイノベーションスピードで、Drupalの場合、新機能リリースが半年に一度、バグフィックスが毎月リリースされる。「世の中の技術革新に追従して常にアップデートをしてきました」と丸山氏は続ける。もう一つが開発期間のスピード化である。「必要としている機能がすでにOSSで公開されている場合、それを活用することで開発期間の短縮につながります」(丸山氏)
第三のメリット「高品質」は、不特定多数の使用者による改良が重ねられているため。Drupalの場合は専門のセキュリティチームが存在し、日々、セキュリティ問題への対応を行い、その結果をDrupalに反映している。
安心してDrupalを活用するためのアクイアが提供するサービスとは
このようにメリットがあるOSSだが、活用するのはそう容易ではない。経済産業省が今年4月に公開した「OSSの利活用およびそのセキュリティ確保に向けた管理手法に関する事例集」に、OSS利活用の留意点として「一定のスキル・ノウハウが必要」と記述されているように、「OSSを利用する際には考慮すべきポイントがいくつかある」と丸山氏は指摘する。
まずは選定・評価方法。次にライセンスコンプライアンスである。「OSSはライセンスにもとづいて公開されているので、ライセンス違反にならない使い方になっているか、チェックする必要がある」と丸山氏。そのほかにもライフサイクルが短い、サポートが十分ではないという留意点がある。
「実はOSS活用が提供する3つのメリットは、裏を返せばリスクになる」と丸山氏。OSSはローコストで活用できるが、ベンダーがソフトウェアを保証するのではなく、利用者側に責任が生じるからだ。次の開発スピードの速さというメリットは、「アップデートや脆弱性対応に追従することを前提としていないと享受できない」と丸山氏は言う。
またOSSの場合、開発がストップしてしまうこともある。その場合もやはり自分たちで脆弱性に対応していかなければならなくなる。そして日本人にとって最もやっかいなのが、OSSの大半が海外発であること。「英語の壁がつきまとってしまう」と丸山氏は言う。
OSSの活用で実際に起こりがちなこととして、実際に聞いた話を丸山氏はいくつか紹介。まずはバージョンアップできない、パフォーマンスが出ないという話。さまざまなイノベーションの恩恵を享受できる。それ故にバージョンアップのスピードが速く、Drupalの場合は、半年に一度マイナーバージョンがリリースされ、毎月バグフィックスをするなど、セキュリティアップデートも頻繁に行われている。
「OSSはソースコードがすべてオープンになっている。これはセキュリティ的に非常に狙われやすいということ。だからDrupalは非常に早くセキュリティアップデートをするのです」(丸山氏)
つまり裏返せば、利用者側でソフトウェアのアップデートができないと、安全なはずのOSSがセキュリティリスクの高いアプリケーションに変わってしまうわけだ。この背景にあるのが、ベストプラクティスに沿っていない設計だったり、膨大なカスタムコードが存在したり、バージョンアップを考慮していない運用体制だ。
中でもDrupalの場合、慣れている開発者が少ないので、間違った設計、ベストプラクティスに沿っていない設計をしてしまい、後に苦しむこともある。
「Drupalはモジュールのエコシステムも非常に発達している。それをうまく活用することで、カスタムコードが減らせるのですが、知見がないと活用できないので、8割カスタムコードになってしまうケースもあるようです。そんな状態のまま運用フェーズに入ってしまうと、バージョンアップしようとしてもテストが大変なのでできない負のサイクルに陥ってしまうことになります」(丸山氏)
そこで、アクイアジャパンでは「Drupalを活用したいが、知見がない」という人でも安心して使えるよう、さまざまなサポートを用意している。まずはDrupal7のEOLに対する商用の拡張サポートの提供である。
「コミュニティサポートだと2022年11月でサポートが切れてしまいますが、アクイアのプラットフォームに乗せてもらえれば2025年まで延長したサポートが受けられます」(丸山氏)
次は開発者体験を高めるためのツールの提供だ。「テスト環境、ステージング環境、本番環境をまるごと一式提供しています」と丸山氏。またCI/CDツール、CLI、リモートIDEなどのツールも提供している。
第三はDrupalの技術支援である。「海外にあるナレッジを日本に波及するため、積極的に行っている」と丸山氏は力強く語る。そのほかにもDrupalの啓蒙にも注力している。日本語での開発者向けの情報提供としてウェビナーやブログ、ハンズオン、チュートリアル動画を提供。さらにDrupalの開発者の可視化を目的に、日本語認定試験を提供。
「アクイアジャパンとして非常に力を入れており、19年と比較して20年の認定資格者数が350%の成長率で増加。日本のDrupal開発者が目に見えて増えているんです」(丸山氏)
最後に先に紹介した経済産業省の資料に、「OSSの概念および志向は、世界中のユーザーがソースコードを共有の知的財産として扱い、修正や改良を重ねながらよりよいソフトとして磨き上げていくことである」と記されているように、「OSSには顧客、ベンダー、開発者など関係者全員で一緒に製品を作り上げていく、商用ソフトウェアにはない面白さがある」と丸山氏は言う。
だからこそ、OSSを使う側としては繁栄のための活動も行っていくことも重要になる。OSSの拡張と維持には間違いなくGiver(≒Maker)の存在が必要不可欠である。Drupal生みの親であるドリス・バイタルト氏が執筆した、オープンソースエコシステムの拡張と維持について述べた記事「Balancing Makers and Takers to scale and sustain Open Source(オープンソースを拡張、維持するためのMakerとTakerのバランス)」を紹介し、そこでは巨大なオープンソースプロジェクトを長年に渡って束ねてきた経験を元に、貢献者(社)を増やすための仕組み作りについて述べられている。
「OSSに貢献したいと思っても、なかなか難しいところがあると思います。ですが、Drupalコミュニティに参加するのも一つの手。日本のDrupalコミュニティも活発に活動しており、Drupalの知見を広めるため、有志のメンバーでさまざまな書籍を出版しています」(丸山氏)
「OSSを利用するだけではなく、企業、個人として貢献に携われることはないか、そういう側面でも考える一つのきっかけになれば」と最後にこう語り、セッションを締めた。
