セキュリティチームがネットワーク保護の能力を飛躍的に向上させたことで、サイバー犯罪者はますますソフトウェアの脆弱性を標的にするようになっています。また、ソフトウェア開発ライフサイクル(SDLC)における人工知能(AI)ツールのほぼ普及により、これらの犯罪者はこれまで以上に簡単に悪用可能な欠陥を見つけています。
Stack Overflowの開発者調査によると、実際に開発者の4分の3がAIコーディングツールを使用しているか、今後使用する予定であり、これは1年前の70%から増加しています。彼らがAIツールを使う理由は明確なメリットがあるからであり、具体的には生産性の向上(開発者の81%が回答)、学習の加速(62%)、効率の改善(58%)が挙げられています。
しかし、利点がある一方で、ワークフローにおけるAIの出力の正確性を信頼している開発者はわずか42%にとどまっています。私たちの観察では、これは驚くべきことではありません。最も熟練した開発者でさえ、大規模言語モデル(LLM)から安全でないコードをコピー&ペーストして、直接本番環境に導入しているのを見てきました。これらのチームは、これまで以上に早く多くのコードを生産するという大きなプレッシャーにさらされています。セキュリティチームも多忙を極めているため、以前のような厳格な精査ができず、見落とされた、場合によっては有害な欠陥が増加しています。
この状況は広範な混乱を引き起こす可能性をはらんでいます。BaxBenchは、LLMの正確性とセキュリティを評価するコーディングベンチマークを監督しており、LLMはまだ本番環境に導入できるコードを生成できる段階にないと報告しています。さらに、BaxBenchによれば、最良のモデルでさえ生成したソリューションの62%が不正確または脆弱性を含んでいます。正しいソリューションのうち、約半数が安全ではありません。
したがって、生産性向上にもかかわらず、AIコーディングアシスタントは新たな主要な脅威ベクトルとなっています。これに対応するため、セキュリティリーダーはガバナンスの一環として安全な利用ポリシーを導入すべきです。しかし、そのようなポリシーだけでは、開発者に本質的なリスクについての認識を十分に高めることはできません。これらの開発者はデフォルトでAI生成コードを信頼してしまい、AIの一部機能に精通しているがゆえに、SDLC中に脆弱性を絶えず残してしまうのです。
さらに、彼らはAIを活用したコードをレビュー・検証する専門知識が不足している、あるいはどこから始めればよいかすら分かっていないことが多いです。このギャップが、組織のリスクプロファイルをさらに高め、ガバナンスの隙間を露呈させています。
事態が制御不能になるのを防ぐため、最高情報セキュリティ責任者(CISO)は他の組織リーダーと協力し、特にリポジトリワークフロー内でポリシーとガードレールを強制する包括的かつ自動化されたガバナンス計画を実施する必要があります。この計画が「セキュア・バイ・デザイン」の安全なコーディング慣行をデフォルトで実現し、ガバナンスギャップをなくすためには、CISOは次の3つの中核要素に基づいて構築すべきです。
可観測性(Observability)。ガバナンスは監督なしでは不完全です。継続的な可観測性によって、コードの健全性、不審なパターン、危険な依存関係について詳細な洞察が得られます。これを実現するためには、セキュリティチームと開発チームが協力し、AI生成コードがどこで導入されているか、開発者がツールをどのように管理しているか、全体的なセキュリティプロセスがどうなっているかを可視化する必要があります。
広告。スクロールして続きをお読みください。
最適なリポジトリレベルでの可観測性は、コードの出所、貢献者の身元、挿入パターンを追跡することで、問題が攻撃ベクトルとして現れる前に欠陥を排除できる、実証済みのプロアクティブな早期検出の原則を確立します。
ベンチマーキング(Benchmarking)。ガバナンスリーダーは、開発者のセキュリティ適性を評価し、スキルギャップがどこにあるかを特定する必要があります。評価すべきスキルには、自ら安全なコードを書く能力、AI支援で作成されたコードやオープンソースリポジトリ、サードパーティプロバイダーから取得したコードを十分にレビューする能力が含まれます。
最終的に、リーダーは継続的かつ個別化されたベンチマーキング評価に基づいて信頼スコアを確立し、学習プログラムの基準を決定する必要があります。
教育(Education)。効果的なベンチマーキングが整えば、リーダーはスキルアップへの投資と努力をどこに集中すべきか把握できます。リスクに対する開発者の認識を高めることで、コードレビューやテストの重要性をより深く理解できるようになります。教育プログラムは柔軟で、開発者の働き方に合ったスケジュールや形式でツールや学習を提供するべきです。
これらのプログラムは、開発者が実際の業務で直面する現実的な問題を扱うハンズオンセッションを取り入れることで、最も効果を発揮します。たとえば、ラボ演習ではAIコーディングアシスタントが既存コードを変更するシナリオをシミュレートし、開発者がそのコードを適切にレビューして変更を受け入れるか却下するかを判断する練習を行います。
絶え間ない生産プレッシャーの中でも、開発チームは依然として高品質で安全なソフトウェア製品の開発を目指しています。しかし、リーダーは、「可観測性」「ベンチマーキング」「教育」がすべて整ったセキュア・バイ・デザインのアプローチが、コードの品質にどれほど貢献するかを彼らにより深く理解させる必要があります。これにより、組織はSDLC中のセキュリティを損なうような問題や手戻りを回避しつつ、AI支援による生産性と効率性の恩恵を享受しながら、あらゆるガバナンスギャップを埋めることができるのです。
翻訳元: https://www.securityweek.com/how-to-close-the-ai-governance-gap-in-software-development/