eSecurity Planet のコンテンツおよび製品に関する推薦は、編集上の独立性を保っています。パートナーへのリンクをクリックすることで、当社が収益を得る場合があります。 詳細はこちら
セキュアなコード開発は、ツールやソフトウェアの範囲にとどまるものではありません。それはリスク管理を基盤とした複雑な活動であり、開発者の強みと弱みへの深い理解が不可欠です。
開発者の専門知識レベルを把握することは非常に重要で、セキュリティ上の問題が発生しやすい箇所を特定し、どの開発者がどのタスクに最適かを判断するうえで大いに役立ちます。
生成AI大規模言語モデル(LLM)がコードを書く機会が増えるにつれ、それらを管理するにも同じアプローチが求められます。
各モデルにはそれぞれ固有のコーディングスタイルがあり、コード生成といった得意分野がある一方で、セキュリティ上の盲点という弱点も存在します。突き詰めれば、AIモデルにもそれぞれ独自の「個性」があるのです。
AIが生成するコードは「機械製」ですが、各モデルとそのコードには、LLMがもたらすリスクや脆弱性を確実に軽減するために、それぞれに合わせたセキュリティレビューのアプローチが必要です。
組織は厳密なセキュリティレビューを確立し、人間の開発者がプロセスの中心を担いながら、効果的なセキュリティ管理策を実装するとともに、使用する各LLM固有のコーディング気質も管理していく必要があります。
AI生成コードは人間の開発者が作成したコードと区別せず扱うべきであり、同様の個別リスク評価を受ける必要があります。
重要なポイント
- LLMはそれぞれ固有の「コーディング個性」を持ち、コードの品質・複雑性・ドキュメント・セキュリティの結果に影響を与える
- Sonarの分析により、主要AIコーディングモデルには、セキュリティ上の盲点・技術的負債・高深刻度の脆弱性を持ち込む可能性といった共通の弱点があることが判明
- すべてのタスクに優れたモデルは存在せず、特定の開発ユースケースにLLMの強みと弱みを合わせることが重要
- ソフトウェア開発ライフサイクル全体でAI生成コードを効果的にレビュー・検証・保護するために、開発者には高いセキュリティスキルが必要
- 組織はAI生成コードを人間が書いたコードと同様に扱い、同じリスク評価・セキュアコーディング慣行・レビュープロセスを適用すべき
コード生成においてもLLMはそれぞれ「個性」を持つ存在
Sonarが最近発表したレポートでは、AnthropicのClaude Sonnet 4と3.7、OpenAIのGPT-4o、MetaのLlama 3.2 90B、オープンソースのOpenCoder-8Bという5つの主要LLMについて詳細な分析が行われました。
レポートでは、構文的に有効なコードの生成・技術的な能力の発揮・複数のプログラミング言語への対応など、さまざまな観点でモデルの強みを比較しています。
また、著しいセキュリティ意識の欠如(特に最高深刻度レベルの攻撃に対してソフトウェアを脆弱なままにしてしまう点)・エンジニアリング規律の欠如・乱雑なコードを生成する傾向といった共通の弱点も浮き彫りになりました。
リスク管理の重要性を裏付けるもう一つの重要な発見として、LLMにはそれぞれ固有の癖・好み・セキュリティ上の盲点があり、まったく同じモデルは存在しないという点が挙げられます。
人間の開発者がそれぞれ異なる個性を持つように、各モデルにも独自のスタイルがあります。レポートではこれを「コーディング個性」と呼んでおり、人間の開発者がAI生成コードをレビュー・分析する方法に影響を与えるものです。
レポートでは、テストされたLLMに共通する主要な測定可能な3つの特性として、複雑性とコミュニケーション、冗長性とドキュメントが特定されました。
たとえば、より冗長なモデルは、比較的寡黙なモデルと比べて同じタスクを実行するのに大幅に多くのコード行を生成するため、コードレビューがより複雑になる場合があります。
同様に、冗長なモデルはより複雑なソリューションを生成する傾向があります。特定のタスクには必要な場合もありますが、より簡潔なアプローチのモデルと比べて、コードレビュアーに多くの認知的負担を強いることになります。
テストされたモデルはまた、自分の作業を説明するドキュメントの量からも分かるように、さまざまなコミュニケーションスタイルを示しました。
レポートによれば、これらの指標が組み合わさって、人間の開発者タイプに匹敵する個性のタイプが形成されるとのことです。
- シニアアーキテクト(Claude Sonnet 4):複雑なエンタープライズシステムの構築が得意だが、その印象的なコードの裏に深刻なバグが潜んでいる可能性がある
- ラピッドプロトタイパー(OpenCoder 8B):素早くプロジェクトを立ち上げるのが得意だが、技術的負債を大量に抱えており、後々問題を引き起こす可能性がある
- 未達成の期待(Llama 3.2 90B):可能性は大きいが平均的なパフォーマンスにとどまり、重大なセキュリティ上の盲点を持つ
- 効率的なジェネラリスト(GPT-4o):過度に冗長でも簡潔でもなく、さまざまな用途に使えて深刻なセキュリティ問題を回避する傾向があるが、不注意になることもあり、品質と信頼性を損なうミスを招く可能性がある
- バランスのとれた先代(Claude 3.7 Sonnet):優れたドキュメントを備えた高機能なコードを生成するが、高深刻度の脆弱性をもたらすこともある
これは、各モデルが固有の強みと弱みを持っていることを示す優れた例であり、どのLLMをどのプロジェクトに適用すべきかを決定する際に非常に有益な情報となります。ちょうど重要なアプリケーションをジュニアプログラマーではなくシニアアーキテクトに任せるのと同様です。
しかしそれと同時に、AIが生成したコードを効果的かつ効率的にレビューするために必要なスキルを開発者に身につけさせることの重要性も強調しています。
AIの個性を管理するために開発者に必要なセキュリティ習熟度
LLMにはさまざまなメリットがあり、コード品質の向上に効率的に貢献できますが、ソフトウェア開発ライフサイクル(SDLC)の中でいかに慎重に管理されるかが重要な鍵を握っています。
リスクを確実に管理するために、開発者のセキュリティ習熟度を高めることが必要です。
人間がプロセスに関与するだけでは不十分です。AIアシスタントによって加速する開発環境において、AI生成コードの信頼性を確保し、技術的負債が積み重ならないようにするための教育とスキルが求められます。
同様に重要なこととして、開発者はAIモデルにセキュアなコードを生成させるような適切なプロンプトを与えるとともに、AIの出力に対して有能なセキュリティレビューを実施できなければなりません。
AIモデルのコーディング個性を理解することは有益ですが、開発者のスキルアップは不可欠です。
リスクを軽減しソフトウェアの安全性を確保するための最善策は、SDLCの最初の段階から脆弱性を防ぐことです。
コードの生成元を問わず、開発者教育はセキュアなコーディング・コードレビュー・テストを保証するための絶対に欠かせない手段です。
CISOはまた、手元のタスクにとってリスクが低いモデルを優先的に採用し、教育とスキルアップを通じて開発者を強化すべきです。
LLMの「個性」を考慮したうえで開発者のセキュリティ習熟度を高めることで、組織はセキュリティ知識のギャップを埋め、技術的負債に対処し、自社コードベース内で増大するリスクの軽減に貢献できます。
この寄稿記事は、Secure Code WarriorのCTO兼共同創業者であるMatias Madou博士によって執筆されました。
