The Weekly Dropのニュースレターで取り上げられていたのでFOSS CMS Projects Issue an Open Letter to EU on Proposed Cyber Resilience Act(FOSS CMSプロジェクトがEUにサイバーレジリエンス法案に関する公開書簡を提出)を読んだ。Open Source Matters, Inc. (Joomla)、WordPress Project、TYPO3 Association、Drupal AssociationからなるコンソーシアムInter-CMS Working Group (ICWG)による書簡である。公開書簡の内容はEUの未成立の法案に異論を唱えるもので、まるで大企業か業界団体からの意見書のようなものだ。
European UnionのサイトはDrupalで構築されている。24公式言語にロシア語、ウクライナ語を加えた多言語サイトだから、Drupalの採用は自然だ。Drupal自身は無料。バグがないわけではないが、十分な品質があり、EUの組織からもパッチ提案が出るなどオープンソースならでの品質向上プロセスが機能している。セキュリティ対応組織が充実しているのは、Drupalがオバマ時代のホワイトハウスで採用され、市民からの請願サイトという民衆に開かれた双方向型のサイトのインフラとしても使われたことが大きいだろう。EUのサイトも相当な攻撃にあっているはずであり、サイバーレジリエンスのために相当なコストを支払っているものと思われる。その原資もあって、コントリビューションモジュールの多くにセキュリティチームの認定(Security advisory process and permissions policy)がなされている。
問題となっているサイバーレジリエンス法案(CRA)に対して、SOMPOリスクマネジメント株式会社がサイバーレジリエンス法とは【用語集詳細】という記事を書いている。その中で、Pythonソフトウェア財団ほかがFOSSに関連するCRAへの懸念を表明していることが書かれている。
無料のFOSSは、内製化する場合、調達プロセスが存在しないが、導入する場合はセキュリティのリスクは評価しなければいけないし、必要な対策は打たなければいけない。維持管理は継続的なプロセスであり、コントリビューションにはリリースという出口はあるが、維持管理はEOLまで何らかの費用が発生する。しかも、発生課題対応型なので安全保障同様リソースを確保しておく必要がある。
Drupalも他のFOSSに依存している。PHPの脆弱性にも対応しなければいけないし、多くのライブラリやフレームワークに依存しているから必要なワークアラウンドを行うこともある。真に骨の折れる作業で、維持管理作業を行って下さっている方にはどれだけ感謝しても感謝したりないと思う。でも、なかなか世間の理解は得られない。新しい機能のリリースは光の当たる面で、プロジェクトリードはヒーローになるが、維持管理にはなかなか目が向かないのである。CRAは維持管理プロセスの極小化に向けた施策とも言えるので、導入時の完成度の高さを求める形になっている。自由な取り組みをスポイルする面があるのは間違いない。
FOSSのアプローチは、納品ドリブンではなくあったら良いなを実現して、世に出した後に機能も品質も高めていくアプローチだ。ネットスケープとインターネットエクスプローラーの競争を思い起こすと良い。マイクロソフトは勝てなかった。EUはマイクロソフトに厳しい要求を出すことはできるだろうが、FOSSコミュニティに同様の要求を出すことは現実的ではなく実質的には調達からの排除を意味することになる。
Drupal AssociationあるいはDrupal Communityは有償の維持管理サービス提供事業者やソリューションプロバイダと組みながら、維持管理体制を作り上げてきた。企業のような責任を負う主体ではないが、少なくとも現時点では企業並みに機能していると思う。そう考えると、公開書簡の主張は筋の通らないものではない。
ベンチャーキャピタルの台頭によって、大きな資金が調達できる可能性が高まり、ガンガン金を使って時間を短縮しある分野で独占、寡占を狙うビジネスモデルが現実的になって様々な製品やサービスが生まれたが、焼畑農業的な側面があることも否定できない。品質とのバランスは無視されやすいから、ベンチャーのアウトプットにCRAで規制をかけるのは悪くない。
FOSSのコミュニティに視点を戻すと、プロプライエタリ製品で覇権を取ろうとするベンチャーとコミュニティ全体として競わなければならない。いくら無料でも先の無い技術にユーザーは依存できない。企業はトップダウンで製品戦略を立て、予算を投入して戦うが、FOSSコミュニティは自発的な小さい活動を無数に行うことでじわじわとユーザーを増やしていく。WordPressは無料ながら立ち上がりの容易性でユーザーを引き付け、様々なプラグインが自発的に開発され、圧倒的なシェアを獲得した。Drupalは大きなトラフィックがある大きなサイトなど商用ベンダーが強そうに見えるマーケットで大きなシェアを獲得している。FOSSコミュニティにはそれぞれの性質がある。ICWGは相互に競合となるCMSのFOSSコミュニティが手を結んで活動しているのが興味深い。良いFOSSがあれば、自分の管理下にあるか否かに関わらず使おうという考え方が少なくとも4つのコミュニティで共有されるようになったとうことである。同時に、FOSSコミュニティの成長のためには、力を合わせるところはあわせて発言権を確保すべきだという判断をしたということでもある。
Drupal Associationは、今期からCEOをDrupalコミュニティの外から招聘した。銀行業に関わるNPOで実績のある人で新たな戦略を打ち出している。FOSSがデジタル公共財として認知されるようになり、CRAにも対応できないとデジタル公共財として機能することができなくなる。企業のような指揮命令系統を有しないコミュニティで品質を確保するためには、給与での縛りによらない参加が必要となり、また、何らかの形で維持運営、成長のための資金の調達が必要になる。FOSSのパラダイムシフトが起きつつあると考えてよいだろう。
昨日2023年7月27日にDrupal Meetup DENでリピート発表を行ったが、DrupalCon ピッツバーグでDrupal Associationの公開ボードミーティングは新しい時代を想起させるものだ。Drupal Associationは最初はDrupalConの財布を管理するための法人だった。徐々に、コミュニティで起きる問題解決や調整に力が注がれるようになり、Code of Conductの整備などコミュニティのルールを確立し、公式なDrupalのビジョンなどを表明するようになった。創業者のDriesの意見は最大限尊重されるし商標権は彼に属するが、Drupal Associationは民主化された組織として独立している。Driesがいなくなる時はコミュニティは危機に面することになるだろうが、FOSSとしてのDrupalを維持成長させ続けられる可能性は高まっていると思う。3年計画で、コントリビューションを大幅に上げ、資金調達も15億円レベルに大幅増を掲げている。その目標を達成できたら、マーケットでの位置づけも変化していくだろう。
ビジネス的にはICWGではWordPressが圧倒的に優位な状況であるが、FOSSそのものとコミュニティのプロセスはDrupal Associationが先行していると思う。ただ、Open Webのコンセプトに忠実であるだけでなく、商用プロダクトを凌駕する機能と品質を実現できないとビジョン・ミッションを達成することはできない。
日本の状況を考えると、その経済規模に関わらずDrupalの利用例は少ない。また、コントリビューションも少ない。Drupalショップの競争は当たり前だが、コミュニティでの合意や必要な提言は行われるべきなのに、コミュニティを有効に機能させることは今ひとつうまく言っていない。それでも、岩国でのDrupal Campでは100人規模で人が集まり、Drupalショップの経営者も複数参加した。コミュニティの必要性が支持されていないわけではない。
日本のLocal Drupal Associationを機能させるべき時期を迎えているのだろう。FOSSコミュニティの法人は支配する組織ではなく、支援する組織となる。新しい経営手法を確立しなければいけない。