ISO/IEC 5250 OpenChain認証のご紹介

オープンソースライセンス

現在の製品開発において、オープンソースの利用は切っても切り離せないものとなっています。それぞれのオープンソースにはライセンス規約が設けられており、その範囲、条件は多岐にわたります。
また、実際に大きな訴訟の実例も増えてきており、ライセンス違反のリスクは無視できません。
そのため、国によっては、調達条件にライセンス管理を義務付ける動きもみられ、メーカーとしては、オープンソースライセンスをサプライチェーン全体で管理する仕組みが必要です。

OpenChainプロジェクトの活動

この需要に対し、オープンソースソフトウェアの利用を軸に、グローバルなサプライチェーンの信頼を高めることをミッションとしたOpenChainプロジェクトが、The Linux Foundationによって2016年に設立されました。
OpenChainプロジェクトには、日本からも多くの企業が参加し、組織内に確立すべきOSSコンプライアンスプログラムの要件をOpenChain仕様として定義、2020年にはISO/IEC 5230:2020を発行しました。

SBOM（Software Bill Of Material）について

前述のISO/IEC 5230:2020 3.3章「Open source content review and approval」において、Bill of materialsが定義されており、オープンソースコンポーネント（とそのライセンス）の部品表の作成と管理ができる仕組みが求められています。
これを導入することにより、サイバーセキュリティ・ライセンス準拠・透明性に効果があり、コスト効果も高いと考えられています。
また、SBOMの記述は、政府機関の調達要件、IoT向け規格ETSI EN 303 645、自動車向け規格ISO/SAE 21434にも記載があり、さまざまな場面で求められることになりそうです。
このSBOMについては、米国行政機関のNTIA（National Telecommunications and Information Administration）においてSBOMのベースラインが発行されており、データフィールドとしては以下のようなものが定義されています。

• Supplier Name
• Component Name
• Version of the Component
• Other Unique Identifiers
• Dependency Relationship
• Author of SBOM Data
• Timestamp

これを実現するために、SWID（ISO 19770）、SPDX（ISO 5962）、CycloneDXのデータフォーマットの利用が必要となり、各種フォーマットの変更に対応したツールなども公開されています。

認証について

OpenChain認証には、「自己認証」と「第三者認証」があります。ビューローベリタスは、第三者認証機関（Third-Party Certifiers）として登録されており、すでに認証発行の実績があります。

関連ニュース：ビューローベリタスが、台湾で初のISO/IEC5230（OSSライセンスコンプライアンスの国際標準）に基づく第三者認証をKKCOMPANYに発行

ビューローベリタスでは、ISO/IEC 5250 OpenChain認証に際し、以下のような進め方を提案しております。

1. OpenChainプロジェクトの認証ページよりチェックリストを入手いただき、お客様で記入

2. 記入いただいたチェックリストをもとに、オフサイトでエビデンス
   （社内文書、記録等）のチェック

3. オンサイトでの監査

4. 認証書発行

ビューローベリタスは、お客様で実施いただく1のサポートから、2～3での指摘事項に対応するためのアドバイスを含め、認証取得までの一貫したサービスを提供します。

消費財検査部門 スマートワールド事業部　武井 忠庸