Javaに有償の商用サポートを導入すべき5つの理由

はじめに

Javaを対象とした有償の商用サポートは、何か問題が起こった時に初めてその価値が実感できます。問題の多くは突発的かつ予期せぬもので、しかも高額になりがちです。しかし、それがたった一度でも発生すれば、Javaに有償の商用サポートを付けておいて良かったと思う瞬間に出くわします。本番環境でサポート対象外のJavaを稼働させるのはリスクが伴います。ここでは、サポートなしでJavaを運用する際に見落とされがちなコストについて詳しく説明していきます。認定JDKプロバイダーからサポートを購入すると、安全かつ効果的なソフトウェアに欠かせない3つの要素が得られます。 

1. ソフトウェアによる顧客データの漏洩を防ぐためのセキュリティパッチとアップデート。
2. 業界規制要件への準拠を宣言する法的文書。
3. ソースコードを公開せずとも、ソフトウェアが知的財産法に適切に準拠しているという保証。

Javaを対象とした有償の商用サポートは、自動車保険やシートベルトのようなものです。そして保険やシートベルトと同じように、その価値が実感できるのは、問題が発生した時だけです。問題の多くは突発的かつ予期せぬもので、しかも高額になりがちです。一見すると魅力的ですが、本番環境でサポート対象外のJavaを稼働させるのはリスクを伴います。 
ここでは、サポートなしでJavaを運用する際に見落とされがちなコストについて詳しく説明していきます。 

目次：

1. サポート
2. OpenJDKのライセンス
3. JDKバージョン間の移行
4. Javaの保守
5. 規制遵守

サポート

Technology Compatibility Kit（TCK）に準拠したOpenJDKプロバイダーは多数存在するため、それぞれを比較して評価するのは容易ではありません。各プロバイダーを比較する際の考慮事項としては、以下のようなものがあります。

• サポート対象のJavaバージョン：Java 6と7をサポートしているのは、2社のJavaプロバイダーのみです。
• サポート対象のプラットフォーム：組織が依然としてSolaris OS上でJavaアプリケーションを稼働させているのであれば、そのディストリビューションがSolaris向けのビルドや修正を提供しているかどうかを把握しておく必要があります。
• 各バージョンのサポート期間：保守・サポートの提供期間はディストリビューションごとに異なります。
• アップデート提供までの時間：OpenJDKディストリビューションに投資する前に、エンバーゴ解除後数時間以内にアップデートを提供してきた実績があるか、また過去に大幅な遅延があったかを確認しておく必要があります。
• 安定版アップデートの有無：JDKのセキュリティを最高水準で維持するには、クリティカルパッチアップデート（CPU：安定したセキュリティアップデート）とパッチセットアップデート（PSU：フルアップデート）の両方が欠かせません。

OpenJDKのライセンス

Javaサポートは、CTOを満足させるか、あるいは不満を抱かせるかを左右する重要な要素になり得ます。以下の点に留意してください。

• PSUだけでは不十分：セキュリティ脆弱性が公開されたら、Javaプロバイダーは可能な限り迅速にセキュリティ修正を提供する必要があります。
• セキュリティアップデートにはSLAを要求すること：安定版ビルドは迅速に本番環境へデプロイされなければなりません。OpenJDKプロバイダーが安定版ビルドを迅速に本番環境へデプロイしてきた実績を必ず確認してください。
• Java資産全体を保護：Javaプロバイダーは、オペレーティングシステムやバージョンを問わず、オンプレミス環境からクラウド環境に至るまで、あらゆる場所でサポートを提供する必要があります。
• Java資産を常に保護：週末や祝日であってもサポートチームにすぐ連絡できることが重要です。

JDKディストリビューション間の移行

組織があるJDKから別のJDKへの移行を検討する際、「コードを新しいJDKに移行しても、アプリケーションはそのまま動作するのか？」という疑問が必ず生じます。利用しているJavaディストリビューションがTCKに準拠していれば、どこでも問題なく、追加コストも発生せずに稼働するはずです。

多くの組織は、OpenJDKディストリビューションへの移行にかかる時間やコスト、難易度についても懸念を抱いています。しかし、Azulが実施した2024年度版Oracle Javaの使用状況、価格設定、移行に関する調査レポートでは、すでに移行を終えた回答者の84%が、「移行は予想どおり、あるいは予想より容易できた」と回答しています。

Javaの保守

• Javaに商用サポートを導入しない場合、組織は以下のような重大なリスクに直面します。
• セキュリティに関する保証やサポートの欠如
• Java 6および7に対する商用サポートの不在（Oracleもすでにサポートを終了）
• CPU未提供
• 新たな脆弱性に対する臨時修正がない
• 専門知識を活用できない

見落とされがちなその他のコストには、次のようなものがあります。

• エンジニアリング時間：新たなCVE（Common Vulnerability and Exposure）が公表された際に、組織がCPUを入手できない場合、選択肢は3つあります。何もせずにCVEが悪用されないことを祈るか、PSUを待ってから実装するか、エンジニアリング時間を割いて手動で修正を適用するかです。
• Javaのアップグレード：Oracle Javaの商用サポートを継続して利用するには、Javaのバージョンを継続的にアップグレードする必要があります。

規制遵守

多くの業界では、パートナーやサプライヤー、プロバイダーに対して、厳格な規制を遵守していることを示す文書を積極的に提供するよう求められています。以下の点に留意してください。 

• セキュリティに関する責任：自社のコードに存在する脆弱性を攻撃者に悪用されないよう防いでいることを、社外に示す必要があります。
• 知的財産：Javaプロバイダーは、正式な認証を受けた特定のOpenJDKビルドへのアクセスを提供する必要があります。そうすることで、それらを自社製品に組み込む、埋め込む、および/あるいは配布する場合であっても、ライセンス要件によって自社製品の知的財産やコードが侵害されることを防ぐことができます。

まとめ

JDKバージョン6と7、そして8の初期リリースは無償で利用できます。Oracleは現在もJDK 8を商用サポートしていますが、JDK 6と7についてはすでにサポートを終了しており、セキュリティリスクにさらされています。2018年12月にサポート終了となったJava 6と2022年7月にサポート終了となったJava 7では、CVE（Common Vulnerabilities and Exposures）が継続的に発見されています。商用サポートに加入しているユーザーは、こうした古いJavaバージョンを保護するセキュリティパッチだけでなく、最新バージョンのJava向けに提供されるクリティカルパッチアップデート（CPU）も受け取ることができ、コンプライアンス要件をより的確に満たすことが可能となります。

Javaに依存する企業にとって、Javaアプリケーションのセキュリティと安定性を確保することは極めて重要です。Azulの商用サポートを導入することで、投資の保護、コンプライアンス要件の充足、リスクの軽減が可能となるだけでなく、専門的なエンジニアリングサービスと包括的な知的財産保護も活用できます。

関連リンク

Azul Systems公式サイト　https://www.azul.com/ja/

5 Reasons You Should Have Paid Commercial Support for Java