OpenChain認証取得、日立製作所の取り組み

By August 17, 2020Featured, News

株式会社 日立製作所 野村祐治

はじめに

日立製作所では、「オープンソース ライセンス ガバナンス プロセス認証」を取得しました。
この認証はOpenChainプロジェクトが求める仕様に適合しており、OpenChainプロジェクトが認める最初の第三者認証の取得事例になります。

image.png

今回は認証の取得にいたる、日立の取り組みを紹介します。

日立製作所のOSSコンプライアンスへの取り組み

日立製作所では、OSSコンプライアンスを遵守するため以下の取り組みを実施しています。

  • OSS専門組織
  • OSS取扱いに関する会社規則
  • OSS取扱いに関するガイドライン
  • OSS取扱いに関する社内教育
  • OSS取扱いに関する社内インフラ

OSS専門組織

OSS専門組織 として、OSSソリューションセンタを2015年10月に設立しました。
OSSソリューションセンタは、OSS活用の日立グループ内の取りまとめとして以下をミッションに活動しています。

  • ミッション: OSSによる日立グループへのビジネス貢献
    • OSS活用ノウハウおよび、サポート・ソリューションの提供
    • OSSを安心して利用するためのインフラ・ガイドの提供
    • OSSコミュニティ貢献・標準化活動を通じたプレゼンス向上

OSS取扱いに関する会社規則

OSSの特性に合わせたOSS取得に特化した会社規則を制定しました。OSS取得の規則においては、以下を規定しています。

  • OSS取得に関する審議体の規定
  • OSS取得に関する審議項目と、審議担当部署の規定
  • OSS取得の決裁者  

OSS取扱いに関するガイドラン

OSSの取扱いにおいて、利用者の行うべき作業・検討すべき項目をガイドラインとして規定しました。
日立製作所の標準開発方法論で定義する開発フェーズ、開発プロセス毎にワークシート形式で必要な作業をガイドしています。

ガイドラインの例(抜粋)

フェーズプロセス検討・作業項目
企画要件定義・OSSの提供状況の確認
・脆弱性事故への対応方法の確認
基本設計システム方式設計OSSの入手手続き
受入テスト導入・受入ライセンス遵守状況の確認

OSS取扱いに関する社内教育

OSSに携わる人全員が受講するe-learningと、より深い知識習得のための集合教育に分けて教育を実施しています。

  • OSSの基礎(e-learning)
    • OSSを利用するために必要な基礎知識を習得する教育(コンプライアンスのポイント、活用するための検討事項)
  • OSSコンプライアンス教育(集合教育)
    • OSSのコンプライアンス(ライセンス、知財、他)、ガイドラインに関する教育  

OSS取扱いに関する社内インフラ

会社規則、ガイドラインで規定した作業を効率よく行うため、社内インフラを開発・整備しています。

社内インフラの構成

image.png

OpenChain認証の取得

OpenChainプロジェクトでは、OSS取扱いのプロセスに関する仕様を定めています。
日立製作所では従来より独自の社内プロセスによりOSSの取扱いを行っていましたが、今後広くビジネスを行って行くには業界標準のプロセスを取り込んでいくのが良いと判断し、OpenChainの仕様に準拠する活動を行いました。
具体的な作業として、OpenChainで定められた仕様に準拠するように、社内の取り組みを改善しました。

OpenChain仕様カテゴリ対応する社内の取り組み
G1. FOSSに関わる責任の理解
・OSS取扱いに関する社内教育
・OSS取扱いに関するガイドライン
G2. コンプライアンスを履行するための責任者のアサイン・OSS専門組織
G3. FOSSコンテンツのレビューと承認・OSS取扱いに関する社内インフラ
・OSS取扱いに関する会社規則
G4. FOSSコンテンツ ドキュメントとコンプライアンス関連資料の頒布・OSS取扱いに関する社内インフラ
G5. FOSSコミュニティへの(積極的な)関わり方の理解・OSS取扱いに関する社内教育
・OSS取扱いに関するガイドライン
G6. OpenChain 要件適合の認定・OSS取扱いに関する会社規則・OSS取扱いに関するガイドライン
・OSS取扱いに関する社内教育

※FOSS:Free/Open Source Software

従来の日立製作所のプロセスは、OpenChainの仕様で定めるプロセスと大きな差異は無く、軽微な改善でOpenChain仕様に準拠可能でした。

社内のプロセスを改善している時期に、OpenChain仕様準拠の認証サービスを行う企業が登場し、その企業に依頼して仕様準拠の認証をしてもらうことにしました。

image.png

2018年11月に、認証取得を得ました。

image.png

おわりに

OpenChainの認証を取得する企業は、どんどん増えています。OpenChainプロジェクトで情報交換も出来ると思いますので、皆さん、OpenChainプロジェクトに参加しましょう!

さて、明日の記事は、2019年12月19日に行われたJapanWG全体会合のレポートが投稿される予定になっています。
ますます活発な活動になっているJapanWGですが、最新のトピックスもレポートされると思いますのでお楽しみに!

他社商品名、商標等の引用に関する表示

Black Duck は、Synopsys, Inc. の米国およびその他の国における登録商標です。