概要 2026年3月最終週、Javaエコシステムにおいて複数の重要なリリースが相次いだ。最大のトピックはGraalVM Native Build Tools 1.0.0のGA（一般提供）達成であり、依存ライブラリのアップグレードと、最新GraalVM JDK上でGradleプラグインのテストが通らなくなる重大な問題の修正が盛り込まれた。Jakarta EE 11対応のEclipseLink 5.0.0 GAも同時期に登場し、JakartaエコシステムとJava標準仕様の進化が着実に進んでいることを示している。 JDK 27については早期アクセスビルド15が公開され、前ビルドからのバグ修正と改善が加えられた。また、Jakarta EE 11実装の参照実装であるGlassFish 8.0.1が初のメンテナンスリリースとして提供され、Java Native Accessライブラリの専用モジュールへの移動やデプロイパフォーマンスの最適化などが行われた。 主要リリースの詳細 GraalVM Native Build Tools 1.0.0 GAはメジャーバージョン1.0として初めてGAに到達したリリースで、GradleプラグインのJavaApplicationFunctionalTestクラスが最新GraalVM JDKで動作しなくなっていた問題（削除された機能に起因）が解消された。ネイティブコンパイルワークフローの安定性が高まり、本番利用に適した品質水準に達したことを意味する。 EclipseLink 5.0.0 GAはJakarta Persistence 3.2仕様をサポートし、Jakarta EE 11のエコシステムに正式対応した。JPQL強化やクエリ処理の改善、Oracle・MySQL・DB2・PostgreSQLを含む各種データベースプラットフォームの改善が含まれる。 Springエコシステムでは3つのマイルストーンリリースが提供された。Spring Boot 4.1.0 M4はgRPCサーバー・クライアント観測設定の一貫性を確保し、Micrometer Metricsのカスタムコンベンション対応を追加。Spring Modulith 2.1.0 M4はJobRunrイベント外部化サポートを導入。Spring AI 2.0.0 M4はGemini 3モデル向けのカスタムツール設定とネイティブ構造化出力の動的無効化をサポートした。 クラウドネイティブとマイクロサービス関連 Open Liberty 26.0.0.3 GAでは、UserRegistryインターフェースに属性ベースのユーザー取得を行う新メソッドgetUsersByAttribute()が追加され、起動最適化のために最新Jandexインデックス形式がサポートされた。Quarkus 3.34.0ではObjectLoaderインターフェースが内部専用として非推奨化され、PathTreeインターフェースにリソース名取得メソッドgetResourceNames()が新設された。 分散キャッシュのInfinispanは16.2.0の最初の開発版を公開し、Redisシリアル化プロトコルでBITFIELD・SUBSCRIBE・PUNSUBSCRIBE・DIGESTコマンドを拡張、REST APIへのOpenAPI v3仕様実装も行われた。 今後の見通し 今回のリリース群はネイティブコンパイル、クラウドネイティブ対応、Jakarta EE 11準拠という3つの軸でJavaプラットフォームが積極的に進化していることを示している。GraalVM Native Build Tools 1.0.0のGA到達は、Javaアプリケーションのネイティブイメージ化がより安定した開発体験を提供できる段階に入ったことを意味する。Spring BootやQuarkus、Open Libertyが同週にリリースを揃えたことは、Javaエコシステム全体が連動して前進している様子を映し出している。

出荷台数は急減、市場金額は逆行して拡大 IDC（International Data Corporation）は2026年3月、同年のPC出荷台数予測を 2億5,253万台（前年比-11.3%） に大幅下方修正した。わずか数ヶ月前の2025年11月時点では-2.4%、2026年1月時点でも-8.9%だった予測が、さらに悪化した形だ。タブレット市場も同様に前年比-7.6%と縮小が見込まれる。 逆説的なのは、台数が減る一方で市場金額が増加していることだ。PC市場全体の価値は 2,740億ドル（前年比+1.6%） 、タブレット市場は668億ドル（前年比+3.9%）に達すると予測されている。大手OEMのLenovo、Dell、HP、Acer、ASUSはすでに顧客に対し15〜20%の値上げと契約条件の見直しを通知しており、「台数は少なく、単価は高く」という構図がはっきりと現れている。 AI向けHBM需要がPC向けメモリを直撃 出荷台数下方修正の最大の要因は、AI学習・推論用のHBM（高帯域幅メモリ）需要に起因するDRAM供給不足だ。Samsung、SK Hynix、Micronの主要3メモリメーカーが、製造キャパシティと設備投資をHBMなど高マージンのエンタープライズ向け製品にシフトしている。 IDCはこの構造を「ゼロサムゲーム」と表現し、「NvidiaのGPU向けHBMスタックに割り当てられたウェハー1枚は、ミッドレンジスマートフォンのLPDDR5Xや消費者向けノートPCのSSDから奪われた1枚だ」と指摘した。価格差が生産シフトの動機となっており、HBM3Eモジュールの単価が一般的なDDR5の約10倍（60〜100ドル対5〜10ドル）に上ることが、メーカーに高マージン品への集中を促している。 供給成長率についても、2026年のDRAMは前年比+16%、NANDは+17%と、いずれも歴史的水準を下回る見通しだ。2026年Q1のメモリ価格はすでに2025年Q4比で80〜90%急騰しており、一部ベンダーはRAMなしのプリビルドPCを販売し始めるほどの状況になっている。 消費者・小規模ベンダーへの深刻な影響 価格高騰はPC購入者に直接打撃を与える。IDCのResearch ManagerであるJitesh Ubraniは「格安PCとタブレットの時代は当面終わった」と述べ、2028年以前に2025年の価格水準へ戻ることはないと予測した。PC平均販売価格（ASP）は中程度のシナリオで4〜6%、悲観的シナリオで6〜8%の上昇が見込まれる。 市場構造の変化も懸念される。規模と長期供給契約を持つ大手OEMは供給制約下でも優位に立てるが、小規模・地域ブランドは生き残れないリスクがある。また、Windows 10サポート終了（2025年10月）に伴うリフレッシュ需要と価格高騰が重なる「パーフェクトストーム」も警戒されており、DIY愛好家や一般消費者が購入を延期したり、スマートフォンなど他デバイスへ支出をシフトする可能性がある。 IDCのResearch Vice PresidentであるJean Philippe Bouchardは「メモリ状況の変化が非常に速く、12ヶ月後にはPC市場は大きく異なる姿になっているだろう」と述べており、供給不足は2027年まで継続する見通しの中、市場の構造変化はしばらく続くとみられる。

概要 インドIT大手のInfosysは2026年3月25日、ヘルスケアITコンサルティング企業Optimum Healthcare ITの全株式を最大4億6,500万ドル（一括払いとアーンアウト込み）で、またP&C（損害保険）向けテクノロジー企業Stratusを最大9,500万ドルで取得すると相次いで発表した。両案件は合計5億6,000万ドル規模の大型投資であり、InfosysにとってOptimum買収は同社史上2番目に大きい案件となる。どちらも全額現金での取引で、Q1 FY2027（2026年4〜6月期）中のクローズを予定している。 Infosys CEOのSalil Parekh氏は、Optimum買収について「ヘルスケアプロバイダー向けにクラウド・データ・デジタル変革をエンドツーエンドで推進する差別化された価値提供が可能になる」と述べ、医療分野でのAIドリブンなサービス拡充を明確に打ち出した。 Optimum Healthcare IT——医療IT業界のベストプレイヤーを取り込む Optimum Healthcare ITは2012年にフロリダ州ジャクソンビル・ビーチで創業し、約1,600名の従業員を抱える医療IT専門コンサルティング企業だ。直近決算年度の売上高は約2億7,600万ドルで、医療IT調査機関KLASの「Best in KLAS」評価を獲得するなど業界内での評価は高い。ServiceNowの「2026 Partner of the Year」を受賞するエリートパートナーであるほか、AWS・Workday・Microsoft Azureとも強固な連携関係を持ち、電子カルテ（EHR）最大手Epicの実装支援においても豊富な実績を誇る。 具体的な支援事例としては、テネシー州のBaptist Memorial Health CarのEpicシステムをAWSクラウドへ移行したプロジェクトや、バージニア州Inova Health SystemへのEpicのBeekerラボモジュール導入などが挙げられる。Infosysはこの買収によって医療プロバイダーセグメントへの足がかりを大幅に強化し、Optimumの顧客基盤に対してInfosys TopazのAI機能やInfosys Cobaltのクラウドサービス、サイバーセキュリティなど幅広い付加価値を提供できるようになる。 Stratus——P&C保険のコアシステム刷新をGuidewireで牽引 一方、同日に発表されたStratusの買収も保険分野での競争力強化を狙う戦略的投資だ。2001年設立のStratusはニュージャージー州フリーホールドを本拠とし、450名超の専門家が米国・カナダ・インドに展開する。年間売上高は約4,280万ドルで、P&C保険向けプラットフォームとして広く普及するGuidewire InsuranceSuite（PolicyCenter・ClaimCenter・BillingCenter）の実装・クラウド移行・アップグレードを専門とする。DatabricksやMicrosoft Fabricを活用したデータモダナイゼーション分野にも強みを持つ。 Infosys保険部門SVPのKannan Amaresh氏は「AIは保険業界のアンダーライティング・クレーム処理・不正検知を根本的に変革しており、P&Cセグメントがその中心にいる」と強調した。アナリストはこの案件をCY25売上の約2.2倍のEV/Sales評価と試算しており、クローズ後にInfosysの年間売上に約0.2%を上乗せすると見ている。 インドIT各社の積極的なM&A戦略——2026年に最大70億ドル投資へ この一連の動きはInfosysだけの動向ではなく、インドIT業界全体のトレンドを反映している。調査会社UnearthInsightによれば、インドのIT大手各社は2026年に合計65億〜70億ドルをM&Aに投じる見通しで、前年の約50億ドルから大幅に増加する。案件数も2025年の25件から30〜35件程度に拡大が見込まれ、クラウド・AI・アジェンティックAI・データアナリティクス分野が主な対象となっている。 InfosysはFY26（2026年3月期）に合計5件・約8億800万ドルの買収を実施し、同社として過去最高水準の投資規模に達した。TCSも約7億7,300万ドルを投じており、HCLTech・Wiproも積極的な姿勢を示している。背景には、インドIT大手の売上高成長率がFY22の18.8%から直近のFY25には3.1%まで急低下しており、有機的成長の鈍化をM&Aで補う必要性が高まっていることがある。AI時代における技術的競争力と顧客基盤の急速な拡充が、各社の共通課題となっている。

概要 量子コンピューティング企業IonQは2026年3月、米国の半導体受託製造業者SkyWater Technologyを18億ドルで買収することを発表した。3月20日にSECへ暫定Form S-4を提出し、取引の詳細な財務条件が明らかになった。クロージングは2026年第2四半期または第3四半期を予定しており、SkyWater株主による承認と米国独占禁止当局のクリアランス取得が条件となっている。この買収により、IonQは米国唯一の垂直統合型フルスタック量子プラットフォームの構築を目指す。 取引の財務条件と株式交換の仕組み SkyWater株主は1株あたり15ドルの現金に加え、変動するIonQ株式を受け取る構造となっている。株式交換比率はIonQの株価に応じて変動し、IonQ株価が60.13ドル以上の場合は1株につき0.3326 IonQ株、37.99ドル以下の場合は0.5265 IonQ株が割り当てられ、その間は20日間の出来高加重平均価格（VWAP）に基づいて算出される。クロージング後、SkyWaterの旧株主はIonQ株式の4.4〜6.7%を保有する見込みだ。なお、IonQの株価は52週高値から60%以上下落しており、年初来でも29%安と軟調に推移している。 戦略的意義と技術的展望 今回の買収の最大の狙いは「垂直統合」による量子チップ開発の加速だ。SkyWaterが持つ米国内の半導体製造設備を活用することで、IonQは2028年に計画している20万量子ビットチップのテストを自社管理下で進められるようになる。さらに長期的には200万量子ビットシステムの開発タイムラインを最大1年短縮できる可能性があるとされており、フォルトトレラント量子コンピューティングの実用化に向けた大きな前進となる。国内ファウンドリへのアクセスはサプライチェーンの安定性確保という観点でも重要で、米国の量子技術競争力強化にも寄与するとみられる。 規制審査の状況とIonQの業績 IonQはHSR法（ハート・スコット・ロディノ反トラスト改善法）に基づき、2月20日に最初の事前合併届出を行ったが、取り下げ・再提出を経て3月25日に再び届出した。これにより義務的な30日間の待機期間が再スタートし、追加の規制当局からの要求がなければ4月24日頃に期間が終了する見通しだ。財務面では、IonQの2025年第4四半期売上は6190万ドル（前年同期比429%増）、通年売上は1億3000万ドルに達した。2026年の売上予測は2億2500万〜2億4500万ドルと高成長が続く見込みだが、調整後EBITDAは3億1000万〜3億3000万ドルの損失が見込まれており、積極投資フェーズが継続している。IonQの現金・投資残高は33億ドルと潤沢で、今回の大型買収を支える財務基盤は整っている。

概要 Kubernetes v1.36のスナップショット（Sneak Peek）記事が2026年3月30日に公式ブログで公開された。正式リリースは2026年4月22日を予定しており、セキュリティ強化を軸に複数の重要な変更が加えられる。主な変更点は、長年の脆弱性対応としてspec.externalIPsフィールドの非推奨化、セキュリティリスクのあったgitRepoボリュームドライバーの完全削除、SELinuxラベリング改善のGA（一般提供）対応、そしてHPAのScale-to-Zeroのデフォルト有効化などだ。 セキュリティ関連の変更 spec.externalIPsの非推奨化は、CVE-2020-8554への対応として実施される。この脆弱性はServiceのexternalIPsフィールドを悪用することで中間者攻撃が可能になるもので、v1.36で非推奨となりv1.43での削除が計画されている。代替手段としてはLoadBalancer Service、NodePort Service、またはGateway APIへの移行が推奨されている。 gitRepoボリュームドライバーの削除も同リリースで実施される。このドライバーはv1.11から非推奨だったが、ノード上でroot権限によるコード実行を可能にするセキュリティ上の欠陥があったため、v1.36でついに完全削除される。代替手段としてはinitコンテナや外部のgit-syncツールの利用が推奨されている。 また、Ingress NGINXプロジェクトのリタイアが2026年3月24日に発表された。セキュリティバグ修正と新リリースが停止され、既存のデプロイメントは引き続き動作するものの、Gateway APIへの移行が強く推奨されている。 kube-proxyのIPVSモードもv1.35で非推奨となっており、v1.36で削除される。移行先としてはnftablesバックエンドのiptables、またはCiliumなどのeBPFベースのソリューションが選択肢となる。 新機能・改善 SELinuxボリュームラベリングの改善がGA（一般提供）に昇格する。従来は再帰的なファイルリラベリングが行われておりPodの起動遅延を招いていたが、mount -o context=XYZオプションを用いた新方式によりこの問題が解消される。v1.28のReadWriteOncePod向けベータ実装から始まり、v1.32のメトリクス追加を経て、v1.36では全ボリューム対応・デフォルト有効化としてGAに到達する。 HPA（Horizontal Pod Autoscaler）のScale-to-Zero機能がデフォルト有効となる。v1.16からアルファとして提供されていたHPAScaleToZeroフィーチャーゲートが有効化され、トラフィックがゼロになった際にPodを完全にスケールダウンし、需要が復帰した際に自動でスケールアップできるようになる。ステージング環境やバッチ処理、コスト最適化の観点で特に有用な機能だ。 イメージプルへのエフェメラルサービスアカウントトークンの採用（KEP-2535）も注目の変更点だ。これまでの長期有効なシークレットに代わり、Podのアイデンティティにスコープされた短命かつ自動ローテーションされるトークンを使用するようになる。v1.33でアルファ、v1.34でベータを経てv1.36で本番対応となる予定だ。 新しいアルファ機能として、HPAのPod選択の精緻化も導入される。メトリクス収集において、対象ワークロードが直接管理するPodのみを収集対象とすることで、孤立したPodによるスケーリングエラーを防止できるようになる。 今後の展望 containerd 1.6.x系のサポートについては、v1.36が古いバージョンをサポートする最後のリリースとなるため、該当ユーザーはcontainerd 2.x系へのアップグレードを検討する必要がある。リリーススケジュールは機能強化フリーズが2月11日に完了し、コード凍結が3月18日、ドキュメント凍結が4月8日、そして正式リリースが4月22日となっている。セキュリティを重視した今回の変更群は、長年先送りにされてきた脆弱性対応を一気に前進させるものであり、クラスター管理者には早期の影響評価と移行計画の策定が求められる。

概要 Metaは2026年3月27日、ルイジアナ州北東部 Richland Parish で建設中のHyperion AIデータセンターキャンパスに電力を供給するため、ガス火力発電所の発注数を3基から10基へと3倍以上に拡大すると発表した。地域電力会社Entergyとの間で約110億ドルの契約を締結し、総発電容量は7.5ギガワットに達する。これに加えてバッテリー蓄電を含む再生可能エネルギー設備を最大2.5ギガワット導入する計画も示された。この規模はルイジアナ州全体の送電網容量を30%以上増加させるインパクトを持ち、AIデータセンターの急増する電力需要を改めて浮き彫りにした。 プロジェクトの拡大経緯 Hyperion プロジェクトは2024年12月に100億ドルの投資計画として発表され、当初は2,250エーカーのキャンパスを想定していた。その後2026年初めに追加で1,400エーカーを取得し、敷地面積は計3,650エーカー（フットボール場約2,700面分）まで拡大。Mark Zuckerberg CEO は「マンハッタンのフットプリントの相当部分に匹敵する規模」と表現している。2025年10月にはBlue Owl Capitalとの合弁会社を設立し、総開発費は270億ドル規模へと膨らんでいた。発電所についても2025年秋にルイジアナ公益事業委員会（Louisiana Public Service Commission）が3基を承認していたが、今回の追加7基については改めて委員会の承認を得る必要がある。 費用負担と規制の課題 Metaはこのインフラ整備費用を全額自社で負担し、Entergyの一般消費者には転嫁しないと明言している。データセンター担当VP Rachel Peterson は「Entergyの他の消費者に我々のコストを負担させないことが重要だ」と述べた。この点は、オレゴン州での大規模データセンター展開が原因でPortland General Electricの電気料金が5年間で50%上昇した事例と対比される。同州ではその後、大口顧客にインフラ整備費の独自負担を求める新規制が導入されており、ルイジアナでも同様の懸念が持ち上がる可能性がある。発表を受けてEntergyの株価は7%急騰した。 環境目標との矛盾 Tom’s Hardware などメディアは、MetaがかねてAIの環境コミットメントを掲げながら大規模な化石燃料インフラへの依存を深めていることを批判的に取り上げている。再生可能エネルギー設備の併設計画はあるものの、主力となる10基のガス火力発電所は長期にわたりCO₂を排出し続ける。AIワークロードの電力消費が指数関数的に増大する中、テック大手が環境目標と現実のエネルギー調達の間でどう折り合いをつけるかは、業界全体の課題として注目が集まっている。

概要 フランスのAIスタートアップMistral AIは2026年3月30日、パリ近郊に自社所有のデータセンターを新設するため、8億3000万ドルの資金を債務（デット・ファイナンシング）で調達したことを発表した。同施設は2026年第2四半期中の稼働開始を目指しており、欧州発のAI企業が米国クラウド大手への依存を脱し、独自の計算インフラを確保する動きとして注目を集めている。 エクイティ（株式）ではなく債務による調達を選択したことは、既存株主の持分希薄化を避けながら大規模資本を手当てする戦略的判断とみられる。Mistral AIはこれまでに複数回の資金調達ラウンドを経て評価額を急伸させており、今回の債務調達はその財務基盤の上に立ったものだ。 欧州AI自立への戦略的意義 Mistral AIの自社データセンター建設は、欧州のAIエコシステムにとって象徴的な意味を持つ。現状、多くのAIモデルのトレーニングおよび推論はMicrosoft Azure、Google Cloud、CoreWeaveなどクラウドプロバイダーに依存している。自前のGPUクラスターを含む施設をフランス国内に構えることで、Mistral AIはデータ主権・セキュリティ要件の厳しい欧州企業や政府機関向けに、より確実なコンプライアンスを保証できるようになる。 欧州連合（EU）がAI規制（AI Act）を施行し、データの越境移転に厳しい目を向ける中、地理的に欧州域内で閉じた計算インフラの存在は競争上の優位性となりうる。Mistralが標榜してきた「欧州のAIチャンピオン」としての立場を、インフラ面でも裏打ちする投資といえる。 今後の展望 2026年Q2の稼働を目指すスケジュールは積極的だが、エヌビディア製GPUをはじめとする計算資源の確保が鍵となる。施設が稼働すれば、Mistralは主力モデルのトレーニング・推論コストの内製化を進め、長期的なコスト構造の改善が期待できる。また、欧州の機密性の高いエンタープライズ案件や政府契約の獲得においても、自社インフラの存在はセールスポイントになるだろう。OpenAIやAnthropicなど米国勢との競争が激化する中、Mistral AIはインフラの自立を梃子に欧州市場での地歩を固める戦略を描いている。

概要 Oracleは2026年3月、Oracle Identity ManagerおよびOracle Web Services Managerに影響する深刻な脆弱性CVE-2026-21992を修正するセキュリティアップデートをリリースした。この脆弱性はCVSSスコア9.8（Critical）と評価されており、認証なしでHTTP経由からリモートコード実行（RCE）が可能なため、特にインターネットに公開されたインスタンスでは危険度が極めて高い。Oracleは現時点での野生での悪用（in-the-wild exploitation）は確認されていないとしながらも、ユーザーに対して即時のパッチ適用を強く推奨している。 技術的な詳細 CVE-2026-21992は、ネットワーク経由のHTTPリクエストを利用して悪用される脆弱性であり、事前の認証や特権、ユーザー操作をいっさい必要としない。攻撃者はネットワークアクセスさえ確保できれば、対象システムを完全に侵害・乗っ取ることが可能だ。 影響を受けるバージョンは以下の通り： Oracle Identity Manager 12.2.1.4.0 Oracle Identity Manager 14.1.2.1.0 Oracle Web Services Manager 12.2.1.4.0 Oracle Web Services Manager 14.1.2.1.0 修正はOracleが提供する公式セキュリティアドバイザリに従ってパッチを適用することで対処できる。 背景と継続するリスク Oracle Identity Managerは以前にも同様の脆弱性が問題となっており、2025年11月には同製品に影響するCVSSスコア9.8の脆弱性CVE-2025-61757がCISAによって野生での積極的な悪用が記録されていた。今回のCVE-2026-21992はその後継となる深刻な脆弱性であり、同製品が継続的な攻撃ターゲットとなっていることを示している。 過去の悪用事例を踏まえると、現時点で悪用が確認されていないとはいえ、パッチ未適用の環境はランサムウェアや不正アクセスのリスクに晒される可能性が高い。セキュリティチームは優先的にパッチ適用状況を確認し、インターネットに露出したOracle Identity Managerのインスタンスがある場合は特に緊急対応が求められる。

概要 RedMonkのアナリストStephen O’Gradyが2026年3月、OSSライセンスの現状を包括的に分析した報告書を公開した。deps.devなどの現行データソースと過去のデータを比較した本調査によれば、PermissiveライセンスがCopyleftを大きく上回って業界の主流となっており、その割合は2025年時点で73%に達している。なお、2022年時点では82%であったことから若干の低下も見られ、AGPLv3への回帰など一部プロジェクトの動向が今後の注目点となっている。 O’Gradyは、業界が「ポスト・オープンソース時代」と言われるほどOSSが普及した現代においても、ライセンスの戦略的な選択は依然として重要な意味を持つと強調する。GitHubにホストされたリポジトリの80%以上がライセンスを明示していないという課題はあるものの、OSSの開発は今日も戦略的なライセンス判断のもとで進められている。 PermissiveとCopyleftの動向 PermissiveライセンスがCopyleftを上回る転換点は、2014〜2017年頃に訪れたとO’Gradyは推測する。過去の主流だったGPLなどのCopyleftは、Linux・MySQLをはじめとする大型プロジェクトの影響が大きかったが、エコシステムの多様化とともにPermissiveへのシフトが加速した。 主要7つのパッケージリポジトリを分析すると、いずれもPermissiveへの偏重が確認される。なかでもApacheライセンスはCNCF設立（2015年）以降に伸長し、TensorFlow（2015年）・PyTorch（2016年）の採用で存在感を高めた。一方、MITライセンスはnpmにおける歴史的なデフォルト設定の影響でJavaScriptエコシステムにおいて圧倒的なシェアを持つ。npm単独で他の全リポジトリ合計の約3倍ものパッケージ数を擁することから、集計データにおけるISCライセンスの割合はGitHubに比べてデプロイ済みパッケージで31倍も高くなっている。 対照的に、GPL v2はGitHub上ではデプロイ済みパッケージの34倍も多く見られるという逆転現象が起きており、パッケージリポジトリがPermissiveを強く志向していることが浮き彫りになった。 Source-Availableライセンスの現状 MongoDBやTerraformが採用したBusiness Source License（BSL）やSSPLなどのSource-Availableライセンスは、戦略的な注目度の高さとは裏腹に、データ上は依然として統計的に微少な存在に留まっている。明確なシェア拡大の兆候は現時点では見られない。 一方で、ElasticとRedisがAGPLv3（OSI承認ライセンス）へ回帰したことは注目に値する。これらの動きがSource-Availableからの揺り戻しを示すものなのか、あるいはより広いトレンドの一部なのかについては、定量的分析だけでは判断が難しく、今後の継続的な観察が必要だとO’Gradyは述べている。 今後の展望 PermissiveライセンスがOSS全体の主流であることに疑いはないが、AIの台頭がライセンスの在り方に新たな問いを投げかけている。学習データとしてのコード利用、AIが生成するコードへの既存ライセンスの適用可否など、既存の枠組みでは答えが出ない課題も浮上しており、今後のライセンス議論はAI時代を踏まえた新たな局面を迎えることになりそうだ。

概要 Perforceは2026年3月、Open Source Initiative（OSI）およびEclipse Foundationと共同で「2026年オープンソース現状報告書（State of Open Source Report）」を発表した。本報告書は世界規模でのOSS採用動向を調査したもので、ベンダーロックインの回避がOSS採用の主要動機として急速に浮上していることが最大のトピックとなっている。回答者全体の55%がベンダーロックイン回避を主な採用理由に挙げており、これは前年比68%の増加に相当する。地域別ではEU・英国の組織がとくに高い割合（63%）を示しており、北米の51%を大きく上回った。Matthew Weier O’Phinney氏は「デジタル自律性（Digital Autonomy）が欧州組織にとって戦略的優先事項となっており、データ主権を求める動きがOSSへの依存度を高めている」とコメントしている。 メンテナンス負荷とエンジニアリング課題 報告書ではOSSの利点が広く認識される一方、開発チームが多大な維持管理コストを抱えている実態も浮き彫りになった。従業員5,000人以上の大企業では、エンジニアの60%が業務時間の半分をメンテナンスやバグ修正に費やしているという。Javaチームにとって状況はさらに深刻で、約3分の1のチームが業務時間の75〜90%をコード保守に充てていると回答した。OSS採用の拡大に伴い、技術的負債やレガシーコードの管理が組織の生産性に与える影響が増大しているといえる。 セキュリティとコンプライアンス対応の遅れ セキュリティ面では、組織の20%がCVE（共通脆弱性識別子）への対応プロセスを持っていないことが明らかになった。大企業の39%は社内の脆弱性修正期限に間に合わないケースがあると認めており、セキュリティアップデートへの追随が全組織規模を通じた最大の課題とされている。コンプライアンス面でも懸念は大きく、コンプライアンス監査で不合格となる組織の多くはサポート終了（EOL）ソフトウェアを使用しており、TomcatやSpring Boot、Spring Frameworkのレガシーバージョンを利用している場合の監査不合格率は2倍に上るという。さらに、EU サイバーレジリエンス法（Cyber Resilience Act）など今後施行が予定される規制に対して対応計画を持つ組織はわずか16%にとどまっており、規制対応の準備不足が業界全体の課題として浮上している。Deb Bryant氏は「技術の選択の自由は戦略的必需品であり、OSS持続可能性の重要性は増している」と述べている。 まとめと展望 本報告書は、地政学的・規制的背景を受けてEUを中心にデジタル自律性へのニーズが高まる中、OSS採用がより戦略的な意味合いを持ち始めていることを示している。一方で、メンテナンス負荷やセキュリティ対応の遅れといった課題は依然として組織のOSS活用を妨げる要因となっており、持続可能なOSSエコシステムの構築に向けた取り組みが今後さらに重要になると考えられる。