執筆者
ほぼすべてのソフトウェア開発チームがAIコーディングアシスタントを導入していますが、その利用方法を適切にガバナンスしているチームは3分の1にも満たず、このギャップがAIの約束する生産性向上の実現を妨げています。
これらの数値は、2026年3月にBlack Duckの依頼で調査会社UserEvidenceが実施した、831名のソフトウェアエンジニアおよびDevOpsプロフェッショナルを対象とした独立調査によるものです。調査では、97%がツールを積極的に活用している一方、完全なガバナンス体制を整えているチームはわずか30%であることが判明しました。
GitHub CopilotとClaude Codeが市場をリードしており、それぞれ83%と63%のチームが利用しています。また、多くのチームが複数のアシスタントを併用しています。
プラス面では、92%のチームがアシスタントによってリリースが速くなり生産性が向上したと評価しており、平均して週8時間の工数削減効果があるとしています。
AI生成コードのリスクについてさらに読む:サイバーリーダーの多くがAI生成コードによるセキュリティリスク増大を懸念
生産性向上に潜む落とし穴
ただし、生産性向上には代償が伴います。10チーム中9チームが、ワークフローのどこかでAI生成コードに関する問題に直面しており、これはツールが作業を削減するのではなく、下流にシフトさせているケースが多いことを示しています。
摩擦の多くはコードが書かれた後に発生しています:
-
手動のコードレビュー(52%のチームが指摘)
-
セキュリティテスト(51%)
-
生成コードの修正作業(48%)
-
プロンプトの試行錯誤(41%)
一方、AI作成コードの割合が半数を超えているチームでは、57%がセキュリティテストと脆弱性修正を最大のボトルネックとして挙げています。
Noma SecurityのCISO、ダイアナ・ケリー氏は「コードが速く書けることと、安全なコードであることは別物だ」と警告しており、開発者の時間はAIが生成したコードの検証とセキュリティ確保にシフトしつつあると述べています。
ガバナンス整備チームの優位性
監視体制を整備したチームほど大きな恩恵を受けています。AIの利用を完全にガバナンスしているチームでは90%が大幅な効率向上を報告しており、全体平均の58%や、ガバナンスが整備されていないチームの44%を大きく上回っています。
しかし、全体の4分の1はAIコーディングポリシーを全く定めておらず、68%がAI生成コードの自動追跡を「非常に重要」と位置付けているにもかかわらず、手動でプルリクエストのコメントにフラグを付けているケースがいまだ多い状況です。
「AIコーディングアシスタントそのものはもはや課題ではなく、ガバナンスこそが課題だ」と語るのは、AcalvioのCEO、ラム・ヴァラダラジャン氏です。同氏はさらに、AI生成コードをポリシー、セキュアコーディング標準、そして人によるレビューで管理すべき新たなサプライチェーンリスクとして扱うべきだと主張しています。
人間による監視の維持
利用が進むにつれ、セキュリティへの不安も高まっています。チームの約3分の2(64%)が、アシスタントがセキュリティ上の欠陥をもたらすことを「ある程度」または「非常に」懸念しており、特にヘビーユーザーほど不安を抱えている傾向があります。
それでも、多くのチームは自動化による支援を歓迎しています。86%がAIエージェントまたはモデルによってAI作成コードを審査すべきと考えており、56%は専用のAIセキュリティエージェントを望んでいます。一方で、84%はプルリクエストやエディタ内の提案を通じてワークフローに人間が関与し続けることを望んでいます。
「セキュリティチームはAI支援開発を攻撃対象領域の一部として捉える必要がある」と警告するのは、DarktraceのフィールドCISO、ニコル・カリニャン氏です。同氏は、生成コードには脆弱な認証機構、露出したシークレット、過剰な権限を持つAPIが潜む可能性があり、不透明な外部依存関係を取り込むことも多いと指摘しています。
レポートの中でBlack Duckも同様の主張を展開しており、「AIを運用に組み込む」ことを習得したチームが優位に立つと論じています。また、QA・DevOps・AppSecへと作業がシフトする中で効率化の恩恵を無駄にしないためには、ガードレールと共通標準の整備が不可欠だとしています。
翻訳元: https://www.infosecurity-magazine.com/news/ai-coding-adoption-governance-lags/
