AI生成コードが主流になりつつある中、Checkmarxの新たな調査によると、81%の組織が脆弱性のあるコードを意図的に出荷していることが明らかになりました。
1500人のCISO、AppSecマネージャーおよび開発者を対象とした調査によると、回答者の半数がすでにAIによるセキュリティコード支援を利用しており、34%が自社のコードの60%以上がAIによって生成されていると認めています。
これは、AI生成コードにはしばしば既知の脆弱性がデフォルトで含まれているにもかかわらず、です。
この調査結果は、Checkmarxによる「AI時代のアプリケーションセキュリティの未来」と題した調査の一部で、2025年8月14日に発表されました。
この調査は、ヨーロッパ、北米、アジア太平洋地域の専門家を対象に実施されました。地域別では、ヨーロッパの回答者の32%が自組織が既知の脆弱性を含むコードを頻繁に導入していると答えたのに対し、北米では24%でした。
調査結果によると、過去1年間に脆弱なコードが原因で侵害を経験したと答えた人は98%にのぼり、2024年の91%から大幅に増加しています。
Checkmarxは、AIコーディングアシスタントの普及が開発者の責任感を低下させ、攻撃対象領域を拡大していると指摘しています。
今後12~18か月以内に、32%の回答者がシャドウAPIやビジネスロジック攻撃によるAPI侵害が発生すると予想しています。
コード開発におけるセキュリティガバナンスの欠如
回答者の半数未満しか、動的アプリケーションセキュリティテスト(DAST)やインフラストラクチャ・アズ・コードスキャンなどの成熟したアプリケーションセキュリティツールなど、基礎的なセキュリティツールを導入していないと報告しています。
一方、調査対象となった組織のうち、コアとなるDevSecOpsツールを積極的に使用しているのは半数のみで、北米の組織でDevSecOpsを導入していると報告したのはわずか51%でした。
「AI支援開発のスピードにより、セキュリティはもはや後付けの対策では済まされません。コードからクラウドまで、組み込まれている必要があります」と、Checkmarxのポートフォリオマーケティング副社長であるEran Kinsbruner氏は述べています。
「私たちの調査では、開発者がすでに多くのコードをAIに書かせていることが示されていますが、ほとんどの組織ではこれらのツールに対するガバナンスが不足しています。さらに、81%が脆弱なコードを意図的に出荷しているという事実を合わせると、まさに完璧な嵐です。危機が目前に迫るのは時間の問題です。」
レポートで特定された問題を克服するために、Checkmarxは予防に重点を置いたセキュリティツールの運用化を組織に推奨しています。
また、アプリケーションセキュリティ企業は、AI利用に関するポリシーの策定が必要であるとも指摘しています。現在、AI生成コードが主流になっているにもかかわらず、この分野のガバナンスは遅れています。
エージェンティックAIも、リアルタイムで問題を自動的に分析し修正するために利用できます。
「AI生成コードは今後も増え続けるでしょう。安全なソフトウェアこそが今後数年の競争力の差別化要因となります」とKinsbruner氏は述べています。
このレポートの発表は、CheckmarxがDeveloper Assistエージェントの一般提供開始を発表したことに続くもので、CognitionのWindsurf、Cursor、GitHub Copilotなど、主要なAIネイティブ統合開発環境(IDE)への拡張も含まれています。
翻訳元: https://www.infosecurity-magazine.com/news/majority-of-orgs-ship-vulnerable/