- AIが生成するコードの増加速度が、セキュリティ監視の仕組みを上回る状況
- 機械が生成するソフトウェアの量に、手動レビューが追いつかない現実
- 安全でないコーディングパターンが開発パイプライン全体に広がることへの懸念
AIコーディングアシスタントは、セキュリティのフレームワークが対応できるよりも速いペースで開発チームへの普及が進んでいます。
Salt Securityの新しい調査によると、セキュリティリーダーの90%が、AIが生成するソフトウェアのリスクについて現在も懸念を抱えていることが明らかになりました。
しかし各組織は、コーディング作業の効率化・反復作業の削減・ソフトウェアのデリバリー速度向上を理由に、AIツールの採用を継続しています。
AIの速度に追いつけない人間によるレビュー
セキュリティリーダーたちは、AIが主流となる以前に設計された開発プラクティスでは、もはや十分な監視が難しいと考えています。
回答者の約3分の1(29%)が、AIアシスタントがもたらす主なリスクとして「安全でないコーディングパターンの拡散」を挙げました。
AIシステムは膨大なトレーニングデータから学習しますが、そのデータ自体に欠陥や時代遅れの手法が含まれています。
AIツールは一見完全に機能しているように見えるコードを生成しながら、人間なら気づいたかもしれない脆弱性を密かに再現してしまうことがあります。
この問題は、新たな脅威がシグネチャデータベースの更新速度を上回るペースで出現するため、アンチウイルスソフトが常に定義を更新し続けなければならない状況に似ています。
異なるのは、AIが複製する可能性のある安全でないパターンをすべて追跡する中央機関が存在しないという点です。AIに対する不安が広く共有されているにもかかわらず、3分の1以上の組織がリリース前に手動のコードレビューに依存し続けているのが現状です。
AIが人間には到底検査しきれない量のコードを生成するようになると、人間によるチェックへの依存は構造的な問題となります。
開発者が人間のスピードでソフトウェアを書いていた時代には機能していたこの手法も、AIが出力を飛躍的に加速させた今では通用しなくなっています。
レビュアーの疲弊はすぐに生じ、チーム内での基準の適用は一貫性を欠き、セキュリティ要件の解釈も部門によってまちまちです。
「AIコーディングアシスタントはソフトウェアの構築方法を根本から変えつつありますが、ガバナンスはその進化に追いついていません」とSalt SecurityのCEO兼共同創業者のRoey Eliyahu氏は述べています。
「ほとんどの組織はリスクを認識していますが、AI登場以前の世界向けに設計されたセキュリティプロセスでAI生成コードを管理しようとしている組織がいまだに多い状況です。」
このアプローチは、フィルタリングや自動化なしに単一のメール受信トレイで1日数百万件のメッセージを処理しようとするのと同様に、スケールしません。
エンタープライズの複雑さがガバナンス徹底を妨げる要因に
従業員数500人以上の大規模組織は、中小企業では生じないようなガバナンス上の課題に直面しています。
分散したチームがそれぞれ異なるツールを使用し、異なるワークフローに従い、地域によってセキュリティ基準の適用に差が生まれています。
AIアシスタントへの開発者の過度な依存リスクは、チーム規模とデリバリーへのプレッシャーに比例して高まります。
政府のサイバーセキュリティ機関を含むセキュリティ当局は以前より、AIシステムが攻撃対象領域を拡大し、アカウンタビリティの構造を著しく複雑にすることを警告してきました。
AI生成コードがパイプラインのどこに入り込んでいるかを把握できなければ、ガバナンスはプロセスの形を借りた場当たり的な対応にとどまります。
手動レビューがいつか追いつくことを期待するよりも、AIコーディングアシスタントをソフトウェアサプライチェーンの構成要素として捉え、サードパーティのマルウェアリスクと同様に審査する姿勢が、より現実的な前進の道となるでしょう。
