AIシステムが前例のないスピードで欠陥を発見・悪用する中、組織はセキュリティ上の弱点を含むと知りながらソフトウェアを展開し続けています。
AIが生成したコードにはセキュリティ上の欠陥が山積しているにもかかわらず、企業はかつてないほど多くのコードを出荷し続けています。その理由は何でしょうか。過度な自信、セキュリティリスクへの真の可視性の欠如、あるいは単に問題を無視していつか解決されることを期待しているのかもしれません。
これはエージェント型AI時代の幕開けにあって、非常に危険な賭けです。アプリケーションセキュリティ企業Checkmarxが発表した新しいレポートも、その危うさを浮き彫りにしています。
数千人のセキュリティリーダーを対象としたこの調査は、AIが構築したコードとその脆弱性に対する根深い無頓着さを浮き彫りにしています。AnthropicのMythosのようなツールが、あらゆる人間のセキュリティチームの能力を桁違いに上回るスピードでセキュリティ上の欠陥を発見している状況でも、その実態は変わりません。
「Mythosクラスのモデルは、脆弱性が存在してから実用的なエクスプロイトが利用可能になるまでの時間を、数ヶ月から数分へと一気に縮めてしまいます」とレポートは指摘しています。そして従来のセキュリティツールや手法に依存している企業は「この現実に生き残ることはできない」と述べています。
後回しにされるセキュリティ
Checkmarxが14カ国の2,350人のCISO、AppSecマネージャー、開発者を対象に実施したこの調査は、企業がAIで開発したコードをどの程度展開しているか、それがもたらす脆弱性、開発者のワークフローへの影響、そしてAIコードとセキュリティ体制に対する全体的な認識に焦点を当てています。
現在、本番コードのほぼ半分がAIによって生成されており、大多数の企業がコードベースの少なくとも半分をオープンソースコンポーネントで構成していると報告しているとレポートは述べています。
しかし、AIが生成したコードが増えれば増えるほど、露出する脆弱性も増加します。コードの81%〜100%をAIで構築していると回答した企業は、AIの利用を控えめに抑えAIコードを20%以下に留めている企業と比べて、脆弱なコードを3.4倍の頻度で出荷しています。
さらに、開発者の70%が2025年にAIコード生成によって脆弱性が生じたと回答しており、調査対象企業のほぼすべて(93%)が、自社開発アプリを直接の原因とするセキュリティ侵害を少なくとも1件経験しています。
それでもリスクは「正常化」されつつあるとレポートは指摘しており、ROIへのプレッシャーが高まる中、企業の4分の3が脆弱なコードを意図的に展開しています。驚くべきことに、回答者の約30%が脆弱性を抱えたコードを出荷し、それが発見されないことを願っていると認めています。同様に、組織の3分の1以上が既知の脆弱性の半数を90日以上未修正のままにしています。
レポートは、組織のボトルネックは検出ではなく、「とにかく出荷する、発見を隠蔽する、あるいは次のスプリントに先送りするという人間の意思決定にある」と指摘しています。
また、AppSecチームはツールの乱立に対処しながら、多くの場合リアクティブなインシデント対応に終始しています。セキュリティツールをほぼ全員が利用しているにもかかわらず、開発者が継続的にコードのセキュリティを確保しているのはわずか18%に過ぎません。
最終的に、開発者は「失敗するように仕組まれている」とレポートは主張しています。成果を出すことへの大きなプレッシャーに直面しており、セキュリティよりも量とスピードを選ばざるを得ません。ポストモーテム、パフォーマンスレビュー、エスカレーション、リリースの停止といった重大な結果に直面しながらも、低価値な発見や不明確なガイダンス、遅いフィードバックなど、セキュリティ問題を引き起こすツールは改善されないままです。
「開発者は、システムとワークフローが彼らをサポートするように整備されていない場合でも、結果に対して責任を負い続けます」とレポートは述べています。
過信と時代遅れのプラクティス
憂慮すべきことに、多くの企業はセキュリティ体制について錯覚しているようです。自社を「高度に成熟した」AI組織と評価する企業のうち、42%が最も脆弱なコードを出荷することが多く、侵害率も他の企業と「ほとんど区別がつかない」状況です。
「自信が彼らを守っているのではありません」とレポートは述べています。「むしろ、目を曇らせているのです。」
このことをさらに裏付けるように、正式なAIガバナンスを持つ組織はわずか22%に過ぎず、開発者はコードがコンプライアンス基準を満たしていることを確認するために、依然として手動のコードレビューに頼っています。
その結果、ソフトウェア作成のスピードとガバナンスのスピードの間にミスマッチが生じているとレポートは指摘しています。「コンプライアンスフレームワークは進化していますが、多くの組織はAIスケールの開発を、より遅い時代のソフトウェア配信向けに設計されたプロセスで管理しようとしています。」
企業に求められる戦略的対応
AnthropicのMythosが主要なオペレーティングシステムやブラウザ全体の脆弱性を発見するだけでなく、以前のClaudeモデルと比べて100倍の速さでそれらを悪用できることが証明されてから、企業は(少しは)賢くなったようです。そして続いて始まったProject Glasswingは、ほぼ即座に何千もの未特定のセキュリティ上の欠陥を明らかにしました。
なお、このCheckmarxの調査はMythosの登場の1ヶ月前に実施されたものですが、企業がようやく積極的な対策を講じ始め、AIセキュリティの脅威全体に対してより重点的に注目し、DevSecOpsの実践、自動化、開発者トレーニングへの投資を増やしていることが明らかになりました。
レポートは、コードの量よりもリスクを優先することの重要性を強調しており、脆弱性を孤立した事象として捉えるべきではないと述べています。また、セキュリティをチェックポイントとして扱うのではなく、開発者のワークフローに組み込むことが不可欠です。企業は、ノイズを削減し、明確なガイダンスを提供し、問題が発生した際に即座に行動できるシステムを整備する必要があります。
「セキュリティは、開発が行われるIDE、パイプライン、AIを活用したワークフローの中で、開発者がコードを書き、テストし、出荷する方法に直接統合されなければなりません」とレポートは述べています。
同様に、企業はフラグメンテーションとツールの乱立を減らし、AIツールのオーナーシップを明確に定義することで恩恵を受けられます。セキュリティスタックを簡素化することで、責任を整合させ、一貫したツールの使用を確保できるとレポートは述べています。
さらに、AIには強力なガバナンスが必要であり、チームは時代遅れの手動トリアージと「人間が承認するリメディエーション」を脱却しなければなりません。強固なシステムを構築することで、AIはAIと戦い、「人間が各ステップを承認するのを待たずに」リスクを優先順位付けし、修正し、解決することができるとレポートは述べています。
最終的にレポートは次のように述べています。「進歩は、インテリジェンスをワークフローに直接組み込み、それらが稼働するシステムの中でリスクを優先順位付けし、修正し、解決できるようにすることにかかっています。」
この記事はもともとCIO.comに掲載されたものです。
