概要

IBMとRed Hatは2026年5月28日、オープンソースソフトウェア(OSS)のサプライチェーンセキュリティを抜本的に強化する取り組み「Project Lightwell」を発表した。総投資額は50億ドルにのぼり、20,000人を超えるエンジニアとAIツールを組み合わせて脆弱性の特定・検証・修正を大規模に自動化することを目指している。IBM会長兼CEOのArvind Krishna氏は「オープンソースは今日のデジタル経済の基盤であり、現代AIの土台でもある。我々は今、その構築・セキュリティ確保・スケールのあり方における転換点に立っている」と述べ、業界全体でのセキュリティ水準向上に向けた本プロジェクトの重要性を訴えた。

技術的な取り組みと仕組み

Project Lightwellの中核となるのは、エンタープライズ向けの統一的なOSSセキュリティクリアリングハウスの構築だ。このプラットフォームでは、企業が発見した脆弱性を報告すると、AIによる自動検証とエンジニアによる審査を経て、検証済みのパッチが提供される仕組みとなっている。AIツールは脆弱性のトリアージや優先順位付けを担い、膨大な量のOSSコンポーネントを効率的にスキャンすることを可能にする。また、上流のオープンソースコミュニティとも密に連携し、修正内容がプロジェクト本体へフィードバックされる体制も整える方針だ。

業界への影響と今後の展望

すでに11の大手金融機関がProject Lightwellへの参加を表明しており、早期実装から得られた知見がプログラムの改善に継続的に反映される予定となっている。OSSのサプライチェーン攻撃は近年急増しており、Log4ShellやXZ Utilsのインシデントに象徴されるように、単一のOSSコンポーネントの脆弱性が広範なエンタープライズシステムに連鎖的な影響をもたらすリスクが顕在化している。IBMとRed Hatによる今回の大規模投資は、こうしたリスクへの業界横断的な対応策として注目されており、エンタープライズにおけるOSSの信頼性向上に向けた重要な一歩となる可能性がある。