95％のソフトがオープンソース依存？「xkcdの依存関係図」が示すIT社会の危険な現実 　私たちのIT社会は「善意」で動いている

現代のIT社会は、巨大企業や政府機関が開発する高度なソフトウェアによって支えられています。
しかし、その土台をよく見てみると、意外な事実が浮かび上がります。

世界中のソフトウェアの95％以上がオープンソースソフトウェア（OSS）に依存しているのです。

そして、その中には
「世界のインフラを支える重要なコードが、個人の趣味プロジェクトに近い形で維持されている」
という構造も少なくありません。

この状況を象徴的に表したのが、人気ウェブコミック Dependency (xkcd #2347) です。
この漫画は、現代のソフトウェアの「危うい構造」を非常にわかりやすく描いています。

この記事では、この漫画をベースに
・なぜ巨大プロジェクトが個人開発者に依存するのか
・オープンソース依存の危険性
・日本ではどのような対策が進められているのか

をわかりやすく解説します。

xkcdの漫画が示した「依存関係のピラミッド

この漫画では、ソフトウェアの構造が
積み木（ジェンガ）のような塔で表現されています。

上の部分には

• クラウドサービス

• AI

• Webサービス

• 巨大IT企業の製品

などが積み重なっています。

しかし、その一番下にはこう書かれています。

「ネブラスカ州の誰かが2003年から趣味でメンテしている小さなプロジェクト」

つまり、この漫画が示しているのは次の現実です。

世界のITインフラの一部は、個人の善意によって支えられている。

ソフトウェアは、下の層のライブラリに依存しており、
上のシステムほど多くの依存関係を持つ構造になっています。

そのため、下層の小さなライブラリが壊れると、
上に積み上がった巨大なシステムも崩壊する可能性があります。

xkcdの漫画
https://xkcd.com/2347/

95％のソフトウェアがオープンソース依存

現在のソフトウェア開発では、ほとんどの企業が
オープンソースを利用しています。

2024年の調査では

• 95％以上のコードベースがOSSを含む

• 1つのアプリケーションに 500以上のOSSコンポーネント が含まれる

という結果が報告されています。

さらに、OSSの利用は急速に拡大しており
世界では年間 数兆回規模のライブラリダウンロード が発生しています。

つまり現在のソフトウェアは

「自分で作る」より
「OSSを組み合わせる」

という形で作られているのです。

オープンソース依存の危険性

この構造には、大きく3つのリスクがあります。

小規模プロジェクトへの依存

多くのOSSは

• 個人開発

• 少人数チーム

• ボランティア

で維持されています。

つまり

巨大企業のサービスが
個人の余暇作業に依存している

ケースも珍しくありません。

セキュリティリスク

有名な事件として

• Log4Shell（Javaライブラリ）

• left-pad事件（npmパッケージ削除）

などがあります。

たった一つのライブラリの問題が
世界規模のIT障害を引き起こすこともあります。

メンテナンス問題

OSSは

• 更新が止まる

• メンテナーが辞める

• プロジェクトが消滅する

という問題があります。

xkcdの漫画の「ネブラスカ問題」は
まさにこの構造を皮肉っています。

日本ではどのような対策が行われているのか

近年、日本政府もこの問題に強い関心を持っています。

主な取り組みは以下の通りです。

ソフトウェアサプライチェーン対策

経済産業省やIPAは

• OSS依存関係の可視化

• SBOM（Software Bill of Materials）

の導入を推進しています。

SBOMとは

ソフトウェアが依存しているライブラリ一覧

を管理する仕組みです。

OSSセキュリティ支援

日本では

• IPA（情報処理推進機構）

• JPCERT

などが

• OSS脆弱性の監視

• セキュリティガイドライン

を提供しています。

OSSコミュニティ支援

政府や企業は

• Linux Foundation

• Apache

• CNCF

などのコミュニティへの支援も強化しています。

実際、企業や組織は
年間 約77億ドルをOSS開発に投入している
という調査もあります。

私たちのIT社会は「善意」で動いている

xkcdの漫画は、単なるジョークではありません。

そこには
現代のIT社会の本質的な問題が描かれています。

• 95％のソフトウェアがOSS依存

• 何百ものライブラリで構成されるアプリ

• 個人開発者が支える重要インフラ

つまり現代のITは

「巨大企業の技術」ではなく
「世界中の開発者の協力」で成立している

とも言えるのです。

そして今後、AIやクラウドが拡大するほど
この依存構造はさらに複雑になっていきます。

xkcdの漫画が示すのは
単なるジョークではなく

未来のIT社会のリスク警告

なのかもしれません。

参考リンク一覧

XKCD漫画

• xkcd – Dependency
  https://xkcd.com/2347/

• explain xkcd – Dependency 解説
  https://www.explainxkcd.com/wiki/index.php/2347%3A_Dependency

オープンソース依存の現状・調査レポート

• Sonatype – State of the Software Supply Chain 2024
  https://www.sonatype.com/state-of-the-software-supply-chain/2024/scale

• Sonatype – Software Supply Chain Report（概要）
  https://www.sonatype.com/state-of-the-software-supply-chain/introduction

• SiliconAngle – Open source reaches 6.6 trillion requests
  https://siliconangle.com/2024/10/10/sonatype-report-open-source-software-reaches-6-6t-requests-security-risks-escalate/

オープンソース依存リスク・セキュリティ

• Infosecurity Magazine – Rise in malicious open source packages
  https://www.infosecurity-magazine.com/news/156-increase-in-oss-malicious/

• Forrester – Software supply chain attacks
  https://www.forrester.com/blogs/make-no-mistake-software-is-a-supply-chain-and-its-under-attack/

• Netrise – Software supply chain risk analysis
  https://www.netrise.io/xiot-security-blog/the-continued-increasing-wave-of-software-supply-chain-cyber-attacks

「ネブラスカ問題」解説

• Fluid Attacks – The Nebraska dependency problem
  https://fluidattacks.com/blog/nebraska-joke-infrastructure-dependency

• ACM Queue – Open source infrastructure dependency discussion
  https://queue.acm.org/detail.cfm?id=3722542

• JSTプレプリント – オープンソース開発におけるネブラスカ問題
  https://jxiv.jst.go.jp/index.php/jxiv/preprint/download/180/792/622

オープンソースセキュリティ・コミュニティ対策

• OpenSSF（Open Source Security Foundation）
  https://openssf.org/blog/2025/05/07/new-guide-on-simplifying-software-component-updates/