オープンソース協会開源社

はじめに：金融機関は、一般的な企業よりもオープンソースソフトウェアの利用においてリスク回避的な姿勢をとっています。本日は、この分野の専門家の見解と洞察を共有します。

@Zhu Xiangdong、中原銀行シニアエンジニア:

金融業界では、生産性向上とコスト削減のため、オープンソースソフトウェアが広く導入されています。しかしながら、金融機関の実稼働環境でオープンソースソフトウェアを使用することは、多くの潜在的なリスクにも直面します。これらのリスクには、セキュリティ、法的リスク、運用リスク、保守リスク、そして依存関係リスクが含まれます。

まず、オープンソースソフトウェアのソースコードは公開されているため、ハッカーが脆弱性やセキュリティ上の欠陥を簡単に見つけ、システムを攻撃して侵入することができ、セキュリティ上のリスクにつながります。

第二に、オープンソースソフトウェアには多くの異なるライセンスが存在する場合が多く、金融機関がこれらのライセンスの詳細を熟知していない場合、著作権を侵害したり、ソフトウェアを悪用したりして、法的措置を受けるリスクがあります。

さらに、オープンソースソフトウェアの利用には、技術者によるカスタマイズや設定作業が不可欠です。金融機関の技術力と経験が不足している場合、不適切な設定や操作ミスといったリスクに直面することになり、システムダウンやデータ損失といった運用リスクにつながる可能性があります。同時に、オープンソースソフトウェアの保守には技術者が必要です。これらの技術者が退職・異動し、新たに採用された技術者がシステム保守に必要な経験と能力を欠いている場合、金融機関はシステム保守が不可能になるリスクに直面することになります。

最後に、オープンソースソフトウェアは多くの依存関係を持つことが多く、1つの依存関係に障害が発生するとシステム全体に影響が及ぶため、依存リスクが生じます。したがって、金融機関はこれらの依存関係を慎重に検討し、依存リスクを軽減するための適切な対策を講じる必要があります。

結論として、金融機関はオープンソースソフトウェアを本番環境で使用するとコスト削減と効率性向上につながる一方で、潜在的なリスクも存在します。中でも、オープンソースソフトウェアのソースコードが公開されているため、ハッキングや侵入に対して脆弱であり、セキュリティリスクが最も顕著です。さらに、オープンソースソフトウェアのライセンスが多様であることから、金融機関による著作権侵害やソフトウェアの誤用が起こり、法的リスクにつながる可能性があります。運用リスク、保守リスク、依存リスクも潜在的な問題であり、金融​​機関はこれらの影響を軽減するための適切な対策を講じる必要があります。したがって、金融機関は、オープンソースソフトウェアを本番環境で使用するリスクを十分に理解・評価し、包括的なセキュリティ戦略を確立し、技術者を育成し、効果的な保守メカニズムを確立することで、オープンソースソフトウェアの利点をより有効に活用する必要があります。

@jason2006xu 崑崙銀行:

金融機関がオープンソース ソフトウェアを使用する場合の潜在的なリスクには、主に次の側面が含まれます。

1. セキュリティリスク：オープンソースソフトウェアのコードは公開されているため、ハッカーは脆弱性やセキュリティ上の欠陥をより容易に見つけることができます。金融機関が使用するオープンソースソフトウェアにセキュリティ上の脆弱性が含まれている場合、ハッカーはこれらの脆弱性を悪用して金融機関のシステムを攻撃し、データ漏洩、金銭的損失、その他の問題を引き起こす可能性があります。

2. 法的リスク：オープンソースソフトウェアは通常、オープンソースライセンスを採用しており、金融機関のビジネスに影響を与える可能性があります。例えば、一部のオープンソースライセンスでは、金融機関が使用するソフトウェアのソースコードの開示が求められる場合があり、その結果、金融機関の企業秘密が漏洩する可能性があります。

3. メンテナンスリスク：オープンソースソフトウェアは、専門のソフトウェア開発会社ではなく、コミュニティによってメンテナンスされるのが一般的です。そのため、金融機関はタイムリーな技術サポートやメンテナンスサービスを受けられない可能性があり、ソフトウェアに問題や不具合が発生する可能性があります。

4. 互換性リスク:金融機関が使用するオープンソース ソフトウェアは、既存のシステムやソフトウェアと互換性がない場合があり、データの損失やシステム クラッシュなどの問題が発生する可能性があります。

結論として、金融機関はオープンソースソフトウェアの利用に際しては注意を払い、その安全性と安定性を確保するために、徹底したセキュリティおよびリスク評価を実施する必要があります。さらに、金融機関は法的リスクを回避するために、オープンソースソフトウェアのライセンス要件を遵守する必要があります。

@jillme ジョリーテック:

オープンソースソフトウェアの利用は、近い将来、避けられない流れとなるでしょう。行動を起こす者とそれに追随する者だけが存在すれば、行動を起こさない者は存在しません。テクノロジー分野における競争の激化と国産アプリケーションの割合の増加に伴い、すべてのソフトウェアが国産化されるまで、オープンソースは不可欠な道筋となります。

しかし、オープンソースには、アプリケーション開発において考慮すべき課題も数多く存在します。例えば、オープンソースのバージョン間の互換性の問題（新しいバージョンが古いバージョンをサポートしなくなるなど）、オープンソースソフトウェアに存在するシステムの脆弱性は人手による発見とメンテナンスが必要、さらに、リスクを最小限に抑えるためには、オープンソースソフトウェアの利用にあたっては事前のアセスメントが不可欠などです。オープンソースソフトウェアは、重要度の低いシステムから段階的に導入し、徐々に重要なシステムへと拡大していくという、段階的かつ漸進的な導入が望ましいと認識しています。また、オープンソースソフトウェアの利用にあたっては、クローズドソース化後も引き続き利用できるよう、修正可能な人材の育成や複数の代替手段の提供といった対策が不可欠です。

@lych370 システム運用エンジニア:

物事には二面性があります。船はあなたを運ぶこともありますが、転覆させることもあります。オープンソースソフトウェアはリスクと課題の両方を伴います。金融業界におけるコスト削減と効率化、そして海外ソフトウェアへの依存からの脱却、そしてIOEからの脱却という潮流の中で、オープンソースソフトウェアはトレンドであり、一つの試みとなることは間違いありません。リスクとメリットをどのように秤にかけるかが特に重要です。

記事で述べた点を補足すると、オープンソースソフトウェアの最大の問題は、不確実性とアフターサポートの不足です。強力な技術チームがあれば、二次開発を検討し、オープンソースソフトウェアの利点を活かして、特定のニーズに合わせた製品を開発することが可能です。同時に、開発を通じて製品のリスクと問題点を特定し、最適化することができます。さらに、不確実性を踏まえ、金融機関はまず、重要度の低いシステムや社内で使用されているシステムをいくつか選定し、その上で検証を進めることができます。これらのシステムが一定期間運用され安定した後、他のシステムへの適用を検討することで、段階的かつ漸進的なアプローチを実現できます。

私たちは日々新しいテクノロジーに直面しており、常にそこから逃れることはできません。

@myciciy フィンテック企業:

中国人民銀行弁公室、中央サイバースペース事務委員会弁公室、工業情報化部弁公室、中国銀行保険監督管理委員会弁公室、中国証券監督管理委員会弁公室が発行した「金融業界におけるオープンソース技術の応用と開発の規制に関する意見」は、オープンソース技術の使用に関する包括的かつ具体的な情報を提供しており、参照する価値があります。

II. 金融機関は、オープンソース技術を使用する際に以下の原則を遵守する必要があります。

(i) セキュリティと制御可能性の確保。金融機関は、情報システムのセキュリティ確保をオープンソース技術の利用における最優先事項と捉え、利用前の技術・セキュリティ評価を徹底し、セキュリティ上の脆弱性を解消し、技術の持続可能性とサプライチェーンのセキュリティを効果的に確保し、情報システムの事業継続性レベルを向上させる必要がある。

(ii) 法令遵守に基づく利用。金融機関は、オープンソース技術に関する関連法令およびライセンス要件を遵守し、オープンソース技術を法令遵守に基づいて利用し、オープンソース技術の利用範囲および利用上の権利義務を明確にし、オープンソース技術の作者または権利者の正当な権利と利益を保護するものとする。

（ III）問題解決型アプローチの堅持。金融機関は、オープンソース技術を的確に選択・活用し、オープンソース技術の利用における問題の発見、フィードバック、解決のためのクローズドループメカニズムを構築し、オープンソース技術の継続的な改良とアップグレードを促進することが推奨される。

（iv）オープンイノベーションの推進。金融機関は、オープンソース技術の応用と開発を重視し、国際および国内のオープンソース技術コミュニティの構築に積極的に参加し、先進技術を学び、中国の知恵を貢献し、金融シーンに適したオープンソース産業チェーンを育成し、オープンソース技術における発言力を高めることを奨励する。

第三に、金融機関はオープンソース技術の応用を自社の情報技術開発計画に組み込み、オープンソース技術応用の目標を明確にし、オープンソース技術応用の作業計画を策定し、その実施を組織化することができます。

第四に、金融機関はオープンソース技術の応用に関する組織、管理、全体的な調整を強化し、科学技術、法務、調達などの部門から構成されるオープンソース技術の応用調整メカニズムを確立し、オープンソース技術の評価、選択、応用を担当し、応用中に遭遇する困難や問題を調整し解決することを奨励する。

V. 金融機関は、オープンソース技術の応用に関する管理システムを確立・改善し、オープンソース技術の導入、承認、技術評価、準拠した使用、脆弱性の検出、更新と保守、緊急対応、中止と撤回を標準化することが推奨されます。

VI. 金融機関は、自らの金融ビジネスシナリオに基づいて、オープンソース技術の適用と保守を自主的に完了すること、第三者機関からのオープンソース技術サポートサービスを導入すること、オープンソース技術プロバイダーから商用ソフトウェアバージョンとサービスを購入することなど、適切な技術ルートを選択し、合理的なオープンソース技術の適用戦略を策定することができます。

VII. 金融機関は、オープンソース技術の利用状況に基づき、オープンソース技術応用台帳を構築し、オープンソースライセンスの変更、脆弱性、クローズドソースの状態、サービスの停止などの変化を常に把握し、日常的な管理を実施してリスクを回避することができます。

8. 金融機関は、オープンソース技術を重要な手段として活用し、コア技術の自己管理能力を向上させ、オープンソース技術の研究と蓄積を強化し、オープンソース技術の中核を掌握し、応用を通じて改善を促進し、金融業界の豊富なビジネスシーンを活用してオープンソース技術の反復的なアップグレードを促進することを奨励する。

9. 金融機関に対し、オープンソース技術の基本機能、パフォーマンス指標、セキュリティ、コミュニティの成熟度、商業的サポート、業界における認知度に関する評価体制の構築と改善を推進する。金融機関は、オープンソース技術の導入、利用、更新、撤退について定期的に評価を行うべきである。また、金融機関自身の評価能力を向上させるとともに、実際のニーズに基づいて第三者による評価サービスを導入することも可能である。

10. 金融機関によるオープンソース技術の著作権、特許、商標、および宣言に関する事前コンプライアンスレビューの実施を支援します。オープンソースライセンスのコンプライアンスと互換性をレビューし、オープンソース技術間の依存関係を特定することで、法的紛争を回避できます。必要に応じて、第三者によるコンプライアンスレビューサービスを導入することも可能です。

XI. 金融機関に対し、オープンソース技術における潜在的な脆弱性、バックドア、クローズドソースコード、サービス停止といった不測の事態に対処するための緊急対応計画の策定を支援する。代替ソリューションの策定、利用シナリオの制限、中核技術人材の人材プール構築といった対策を通じてリスクを軽減する。緊急対応計画は速やかに更新し、定期的に訓練を実施して実効性を確保する。

12. 金融機関がオープンソース技術のサプライチェーン管理を強化し、オープンソース技術製品およびサービスの品質を確保し、契約または合意を通じてオープンソース技術プロバイダーの義務と責任を明確にし、オープンソース技術プロバイダーが提供するオープンソース技術の技術評価とコンプライアンスレビューを実施することを義務付けることを支援します。

13. 金融機関は、オープンソース・エコシステムの構築に積極的に参加し、法令遵守に基づくオープンソース技術の適用経験を共有し、オープンソース技術に関する研究成果を共有することを奨励する。積極的にコードをオープンソース化し、貢献することで、業界共通の問題を解決し、オープンソース技術の全体的な応用レベルを向上させることができる。金融機関は、相互補完的な優位性、相互利益、そして共通の発展を実現するために、オープンソース・プロジェクトにおいて協力することを奨励される。

十四、金融機関がテクノロジー企業、大学、研究機関、仲介サービスプロバイダーなどの組織との交流と協力を強化し、市場原理に基づいてオープンソース技術の共同研究開発と運用を行い、オープンソース技術の人材の育成を強化し、オープンソース技術の反復的なアップグレードを促進し、オープンソース技術の成果の転換を促進することを奨励する。

15. 金融機関が合法かつ法令遵守を遵守するオープンソースコミュニティ、オープンソース財団、その他のオープンソース社会組織に加盟し、オープンソース技術の企画、設計、研究開発の意思決定、コミュニティ運営に参加することを支援する。オープンソース社会組織は自主規制の役割を担い、自主規制規約を研究・発行することで、参加機関の行動を標準化し、オープンソース技術貢献者の正当な権利と利益を保護する。また、橋渡し役として、安定的かつ効率的なコミュニケーションと共有メカニズムを構築し、オープンソース技術交流、産業界と金融業界のマッチング、応用促進活動を定期的に実施する。

十六　オープンソース技術プロバイダーが技術革新能力を加速し、オープンソース技術のコアコードを真に掌握し、独立した知的財産権を形成し、産業支援能力を強化することを奨励する。オープンソース技術に基づく商用ソフトウェアまたはサービスを提供する際には、オープンソースライセンス契約および関連法規を遵守し、オープンソース技術の利用範囲と利用に伴う権利義務を明確に定義し、ユーザーの正当な権益を保護する。独立したオープンソースエコシステムを模索し、オペレーティングシステム、データベース、ミドルウェアなどの基礎ソフトウェア分野、ならびにクラウドコンピューティング、ビッグデータ、人工知能、ブロックチェーンなどの新興技術分野におけるエコシステム発展の加速に重点を置き、オープンソースモデルを活用して情報技術の革新的発展を加速する。

転載元：Mingshuo Open Source

編集：ドゥアン・ヤンシン

関連資料

AI が生成したコードは高速で優れていますが、信頼してよいのでしょうか?

国内大手企業の公式オープンソース Web サイトを調べることで、オープンソースに対する姿勢を把握できます。

オープンソース協会の紹介

2014年に設立されたオープンソース協会（KAIYUANSHE）は、オープンソースの理念に献身的に貢献する個々のボランティアで構成されるオープンソースコミュニティであり、「貢献、合意、そして共同統治」の原則に基づき活動しています。KAIYUANSHEは、「ベンダー中立性、公益性、非営利性」の原則を堅持し、「中国を拠点とし、世界に貢献し、新時代のライフスタイルとしてオープンソースを推進する」というビジョンを掲げています。その使命は「オープンソースのガバナンス、国際的な連携、コミュニティの発展、そしてプロジェクトのインキュベーション」であり、健全で持続可能なオープンソースエコシステムの共創を目指しています。

オープンソース協会は、オープンソースを支援するコミュニティ、大学、企業、政府機関と積極的に連携しています。また、世界的なオープンソースライセンス認証組織であるOSIの中国初の会員でもあります。

2016年以降、中国オープンソースカンファレンス（COSCon）が毎年開催され、「中国オープンソース年次報告書」が継続的に発表されています。また、「中国オープンソースパイオニアリスト」と「中国オープンソースコードパワーリスト」も共同で立ち上げ、国内外で幅広い影響力を発揮しています。