LF Research・LF Europe・Canonicalが公開した検証したレポート「欧州の戦略的優位性としてのオープンソース」から見える欧州のOSS事情
こんにちは、吉田です。2025年8月、LF Research、LF Europe、Canonicalが協力し、欧州のOSSエコシステムにおける新たな動向と優先事項を検証したレポート「欧州の戦略的優位性としてのオープンソース」が公開されました。オープンソースに関するレポートは既にいろいろとリリースされていますが、このレポートには欧州独特の事情がそのまま反映されている部分もあるので、今回はそのあたりを中心に紹介します。
【参照】欧州の戦略的優位性としてのオープンソース
https://www.linuxfoundation.jp/publications/2025/09/world-of-open-source-eu-2025-jp/
欧州組織における オープンソースの動向
欧州でもOSSが広く利用されており、そのメリットも高く認識されています。しかしながら、組織によってオープンソースの成熟度にはばらつきがあります。下図は依存しているOSSプロジェクトへの貢献について、14%が非常に積極的、28%が中程度に積極的である一方、組織の30%はOSSを使用するものの、貢献していない、もしくは第三者に依存している受動的な消費者であることを示しています。
デジタル主権のためのオープンソースの必須事項
欧州では、地政学的情勢の変化によりデジタル主権と戦略的自立性に関する議論が活発になっています。「デジタル主権(digital sovereignty)」とは国家や個人、組織が自らのデジタル資源やデータ、インフラ、技術に対して主権的なコントロールを持つことを意味します。特に近年、クラウドサービスやSNS、AIなどのデジタル技術が国境を越えて広がる中で、他国や大企業に依存しすぎることへの懸念から注目されています。そのような中で、欧州ではオープンソースに対する捉え方を技術的な考慮事項からデジタル主権のための戦略手段へと変化しています。
デジタル主権とオープンソースは、以下のような文脈で語られています。
- 透明性と信頼性の確保
オープンソースはソースコードが公開されているため、バックドアや不正なデータ収集の有無を検証可能になります。これは、外国製のブラックボックス的なソフトウェアに依存しないという意味でデジタル主権の確保に貢献します。 - 技術的自立の促進
オープンソースを活用すれば自国でのカスタマイズや保守が可能になり、外資ベンダーへの依存を減らせます。 - 経済的主権の強化
オープンソースはライセンス費用が不要な場合が多く、コスト面でも自立性を高められます。また、国内の技術者育成や雇用創出にもつながります。 - 国際的な連携と標準化
オープンソースは国境を越えた協力を前提とするため、特定の国や企業に偏らない技術基盤を築けます。これは、多国間でのデジタル主権のバランスを取る上でも有効です。
しかしながら、主権強化を目指す欧州の政策や戦略は、欧州のソフトウェアのみの開発と購入に重点を置くことでグローバルなOSSエコシステムを分断し、OSS間の連携を阻害するなどのリスクを多くの専門家が懸念しています。ドイツのSovereign Tech Agency(STA:主権技術基金)は重要なOSSプロジェクトの維持に資金を提供することで、この緊張関係を緩和する有望なモデルを提供しています。
このアプローチはドイツ政府が基盤とするオープンデジタルインフラストラクチャの維持とセキュリティ確保という利益と、資金提供を受けたOSSプロジェクトにおける世界中のユーザーの両方にメリットをもたらします。この成功を踏まえ、専門家たちは現在、他の国やEUレベルでも同様の機関を設立するよう呼びかけています。
サイバーセキュリティ動向
欧州では、デジタル要素を含む製品に統一的なサイバーセキュリティ要件を課す新しい法制度として「Cyber Resilience Act(CRA):サイバーレジリエンス法」を2024年に成立し、2027年12月に全面施行されることになっています。これは、EU市場における製品のセキュリティ水準を底上げし、サイバー攻撃への耐性(レジリエンス)を高めることを目的としています。
CRAの対象となるのはスマートフォン、PC、IoTデバイス、ネットワーク機器、アプリ、OS、ファームウェアなど。有線・無線を問わず、ネットワークに接続されるすべての製品で、商用目的のOSSも対象になる場合があります。
CRAの主な義務と要件は、下表のようなものになります。
| 項目 | 内容 |
|---|---|
| セキュリティ設計 | 製品は既知の脆弱性がない状態で市場に出す必要あり |
| アップデート | セキュリティ更新を少なくとも5年間提供。自動更新が推奨される |
| SBOM(ソフトウェア部品表) | 機械可読な形式でのSBOMの提供が義務化 |
| インシデント報告 | 24時間以内にENISA(EUサイバーセキュリティ庁)へ報告 |
| テストとレビュー | 製品の定期的なセキュリティテストとレビューが必要 |
| 技術文書 | 製品のセキュリティ対策を記載した技術文書の整備が求められる |
しかしながら、CRAとそれがOSS開発者に与える影響についての認識は低く、LF ResearchとOpenSSF & LF Europeが2025年3月に実施したCRAレポート「認識不足と不明確な現状」によると、回答者の62%がCRAに対する知識が低いと回答しています。欧州の組織も欧州以外の組織もCRAの適用範囲であり、市場アクセスを維持するために規制に準拠する必要があるため、欧州内外でCRAの認識と準備状況を改善する余地があることは明らかです。
同様にサイバーセキュリティのベストプラクティスに関する認知度も低く、回答者の33%はOSSソリューションの採用や信頼を高める認証や保証が分からない、または確信が持てないと回答しています。とはいえ、下図が示すようにISO27001の適用範囲(29%)、第三者監査(26%)、ソフトウェア部品表(SBOM)の有効性(23%)が、OSSプロジェクトのセキュリティに対する信頼を高める可能性が最も高いことが示されています。
前述のCRAレポートでは、製造業者のうち現在34%が全製品を対象にSBOMを作成しており、さらに25%が一部の製品を対象にSBOMを作成しているとレポートしていますが、本レポートではOSSへの関与度が高い組織がSBOMの導入をリードしていることが示されています。
とはいえ、CRAに対する認識と準備のレベルが低いことを考えると、開発者からビジネスリーダーまで、さまざまな関係者にオープンソースセキュリティのベストプラクティスとサプライチェーンのセキュリティ管理について緊急に教育する必要があることが明らかになっています。
まとめ
このレポートでは、技術独占に代わるオープンソースによる代替手段の構築、政府によるOSS採用の促進、そしてデジタル公共財としてOSSを提供することへの投資などへの必要性が記述されています。また、地政学的な環境が及ぼす影響などについても考慮する必要があり、今後も欧州の動向には目が離せない状況になっていると思います。
連載バックナンバー
Think ITメルマガ会員登録受付中
他にもこの記事が読まれています
全文検索エンジンによるおすすめ記事
- 「OpenSSF Meetup」開催、「OpenSSF Day North America」で発表された「OSSセキュリティのための動員プラン」の内容を解説
- 米国のバイデン大統領が署名したことで話題となった「国家のサイバーセキュリティ改善に関する大統領令」とは
- OpenSSFが2023年におけるOpenSSFコミュニティの活動と、その成果を公開した「2023 アニュアルレポート」を公開
- Open SSFがOSSのセキュリティ体制を改善する「Alpha-Omega Project」を発表。マイクロソフトとグーグルが主体的に参画、ほか
- LFがオープンソース活用等の計画を策定する「Open Source Congress」のレポートとCI/CDの最新状況に関するレポートを公開
- LFとOpenSSFがオープンソースのセキュリティに関する会議「Open Source Software Security Summit II」を開催、ほか
- LFがSBOMの導入によるライセンス順守とソフトウェアセキュリティ強化に関するレポートを発表、ほか
- OpenSSFを拡大・支援するため1,000万ドルの新規投資を調達、「The 2021 Open Source Jobs Report」を公開、ほか
- 「CNCF 技術展望レーダー」日本語版を公開 ークラウドネイティブ技術の利用動向をエンジニア対象に調査、ほか
- テクマトリックス、SBOMソリューションの販売を開始