米国防総省、オープンソースをプロプライエタリより優先的に採用する調達方針を明らかに。同省CIOが書面で通知

2022年2月14日

米国防総省は「Software Development and Open Source Software 」（ソフトウェアの開発とオープンソース）と題する同省CIO John B. Sherman氏の1月24日付けの書面を公開し、プロプライエタリな製品を購入する前に、既存の政府ソリューションやオープンソースソフトウェアの採用を優先する方針を示しました。

この書面は、セキュアなオープンソースソフトウェアや商用ソリューションの採用を増やすことを同省に指示した2018年7月発表のサイバー戦略の下で、どのようにオープンソースソフトウェアを位置づけるかを説明するものです。

書面の本文で、オープンソースを採用する上で2つの懸念を示した上で、付録のガイドラインで具体的な方針を明らかにしています。

オープンソースの2つの懸念に対処する

2つの懸念の1つ目は、悪意あるコードの混入です。

First, using externally maintained code in critical systems potentially creates a path for adversaries to introduce malicious code into DoD systems.

外部でメンテナンスされているコードを用いることで、敵対者が国防総省のシステムに悪意のあるコードを入れ込む経路を作る可能性がある。

この懸念には、他の製品の採用時と同様に、オープンソースに対して厳格なサプライチェーンリスク管理の基準を満たすことと脆弱性診断（Cyber Threat Testing）にパスすることが求められるとしています。

2つ目の懸念は、国防総省のために開発されたソフトウェアをオープンソースとして開示することで、敵対者を利する可能性があることです。

Second, imprudent sharing of code developed for DoD systems potentially benefits adversaries by disclosing key innovations.

2つ目は、DoDのために開発されたソフトウェアのコードを軽率に開示することは、重要なイノベーションを開示して敵対者を利する可能性があることだ。

これについては「MOSA」（Modular, Open-Systems Approach）と呼ばれる、オープンな標準に基づいたシステムをモジュールとして組み合わせることでシステムを構築する手法を用い、イノベーティブなコンポーネントを切り離すことでリスクを管理するとしています。

オープンソースを優先して採用へ

こうしたオープンソースへの懸念に対処する方法を示した上で、付録2（Attachment 2）で「GUIDANCE ON SOFTWARE DEVELOPMENT AND OPEN SOURCE SOFTWARE」（ソフトウェア開発とオープンソースソフトウェアについてのガイダンス）として、オープンソースをどのように扱うのかを具体的に紹介しています。

ポイントを引用しましょう。

ガイダンスとなる付録2の冒頭、オープンソースを用いることの重要さについて触れています。

1. GENERAL. This attachment provides guidance on OSS and the implications for DoD software development. Generally, custom software is constructed from pre-existing components. Since there are millions of off-the-shelf OSS components available, how the Department uses OSS has a significant impact on overall DoD software development.

1.概要：本付録は国防総省におけるオープンソースソフトウェア（OSS）とソフトウェア開発に関わるガイダンスである。一般にカスタムソフトウェアは既存のコンポーネントから構成される。それゆえ、すでに利用可能な形で存在する何百万ものOSSコンポーネントの存在と、そのOSSをどのように用いるかは、国防総省のソフトウェア開発全体において大きな影響を持つ。

この概要に続く2.で、商用ソフトウェアよりもオープンソースを優先して採用しなくてはならないことが明示されます。

2. USE OF OPEN SOURCE SOFTWARE
A. The Department must follow an "Adopt, Buy, Create" approach to software, preferentially adopting existing government or OSS solutions before buying proprietary offerings, and only creating new non-commercial software when no off-the-shelf solutions are adequate.

2.オープンソースの利用
A.本省はソフトウェアに対して「採用、購入、開発」のアプローチをとらなくてはならず、プロプライエタリな製品を購入する前に優先して既存の政府あるいはOSSのソリューションを採用し、既存のソリューションが十分でない場合にのみ、非商用のソフトウェアを作成しなくてはならない。

ガイダンスの具体的な項目の先頭にこの説明が来ていることからも、オープンソースの採用を優先したい意志が明確であることを表しているようです。

この説明の最初にある「採用、購入、開発」のアプローチとは、まず既存のソリューションやオープンソースでそのまま使えるものがあればそれを「採用」する、それが見つからなければプロプライエタリな商用製品を「購入」することで実現できないかを検討し、どうしても既存の製品で実現できないものだけを「開発」するという、検討すべき内容の順番を示したものです。

歴史的に秘密主義と自前主義が強い国防総省は、自前で開発することを優先するカルチャーがあったはずです。それゆえに生じる高コストかつ時間のかかる体制を、「採用、購入、開発」アプローチにより、まずオープンソースや既存のソフトウェアへと目を向けさせ、コスト削減とアジリティを実現するよりモダンな体制へと塗り替えたい意図が込められているのでしょう。

政府職員は公務としてオープンソースに貢献してよい

付録2の続く項目では、オープンソースの評価や選定する際に考慮すべき点として、公開されたソースコードによる継続的かつ広範なレビューはソフトウェアの信頼性やセキュリティの向上に貢献すること、制限なくソースコードが変更できることで変化や脅威に柔軟に対応できること、ロックインを低減できること、一方で長期的なサポートに関するリスク、信頼できるソースであるかを検証しなければならないリスクがあることなどが説明されています。

さらに「4. CONTRIBUTION TO OPEN SOURCE SOFTWARE PROJECTS 」（4. オープンソースソフトウェアプロジェクトへの貢献）という項目では、国防総省が用いるオープンソースソフトウェアの開発に国防総省の職員が参加することは政府の利益になり、政府資源の正当な使用であることを明記。

政府職員は上司と相談した上で、公務の一環としてオープンソースプロジェクトに貢献できると説明しています。