Michael Nov, 共同創設者 & CEO, Prime Security
2025年5月30日
5分で読めます
出典: Delphotos / Alamy Stock Photo
解説
私が話をするすべての企業が、AIコード生成ツールを採用しているか、採用しようとしています。 カーソルのARR数値は嘘をつきません。ある企業はツールを採用していないふりをして、プロジェクトを「ただのパイロット」や「数人の開発者が実験しているだけ」と呼んでいます。他の企業は完全に取り組んでいます。なぜなら、そうせざるを得ないからです。開発チームはスピードを求めています。リーダーシップは生産性の向上を望んでいます。そして正直に言うと?これらのツールは良いです。無視するにはあまりにも良すぎます。
しかし、ここに問題があります。AIによる開発はすでに存在しています。それは大きな音を立て、速く、セキュリティの承認を待っていません。列車はすでに出発しました。セキュリティはまだスケジュールを確認しています。 Googleは25%のコードがAIによって書かれていると言っています。それがそんなに早く達成されたなら、あなたの組織も遅れをとっていないでしょう。これは誇大広告ではありません。すでに起こっています。
自分を欺くのはやめましょう。ほとんどの開発者はまだ完全なアプリを生成しているわけではありません(まだ)。特に中規模以上の企業では。今のところ、それはオートコンプリートです。ここやそこにヘルパー関数があるかもしれません。安全に見えます。無害です。
しかし、この進行を以前にも見たことがあります。オートコンプリートが「ブロック生成」になり、「ブロック生成」が「なぜ出荷しないのか?」になり、突然、AI支援のインフラストラクチャの変更が本番に向かって進んでいます。Jiraチケットがあります。計画があります。しかし、誰もセキュリティレビューを待っていません。仕様は薄く、ペースは狂っており、レビューのプロセスは?スキップされたり、脇に追いやられたり、形だけのものになったりしています。出荷するのに十分な構造はありますが、セキュリティを確保するには程遠いです。
関連記事:コードレッドからRustへ: マイクロソフトのセキュリティの旅
そして、さらに恐ろしいのは、多くのこれらの変更がグリーンフィールドではないことです。それらは新しいアプリではありません。それらは複雑で壊れやすい既存のシステムへの小さな調整です。ここに新しいフロー、そこにヘルパー関数。低リスクに見える小さな調整が、何か重要なものを壊したり、触れるべきではなかったセキュリティコントロールを静かにバイパスしたりするまで。ツールはそれをキャッチするためのコンテキストを単に持っていません。
プロンプトとAIエージェントを使ってソフトウェアを構築する開発者、いわゆるバイブコーダーによる恐怖の物語がすでに展開されています—安全でない機能を本番に投入する。そして、企業内で静かに処理された多くの事例を耳にしています。運や深夜のヒーロー的行動、または純粋な偶然によって回避された侵害です。これは理論的なものではありません。すでに起こっています。
それは製品セキュリティにどのような影響を与えるのでしょうか?
はっきりさせておきますが、これらのツールはあなたの脅威モデルを知りません。資産インベントリについても気にしません。コンプライアンス要件についても全く知りません。あなたのレガシーな請求サービスが、ガムテープ、壊れた夢、誰も理解できない正規表現パターンでかろうじて成り立っている幽霊屋敷のようなものだとは知りません。
関連記事:数百のWebアプリがMicrosoft OneDriveファイルに完全アクセス
そして今、「アイデアを思いついた」と「それが本番にある」の間の時間は…何でしょうか?数時間ですか?かつてはデザインレビュー、アーキテクチャセッション、いくつかのスパイシーなSlackスレッドがありましたが、それはすべてなくなりました。今では: プロンプト、プルリクエスト、CR、マージ。完了です。
手動の製品セキュリティプロセス?到着時にはすでに死んでいます。あなたのチームがまだデザインドキュメントを掘り下げて、コードが書かれる前にすべての潜在的なリスクを指摘するために人間に頼っているなら、あなたはすでに水中にいます。最良のケースでは、物事を遅らせてそのチームになります。最悪のケースでは、プロセスから完全に静かに追い出されます。
一部の企業は、静的なセキュリティルールをAI開発ツールにプラグインして、この問題を解決しようとしていますが、それが出血を止めるとは思えません。コンテキストのないルールは、物事をより安全にするわけではありません。それは単にコードをより膨らませるだけです。必要のないセキュリティコントロールが不適切な場所に押し込まれ、開発者を混乱させ、コードベースを混乱させます。開発者は反論しません。ただ出荷して次に進むだけです。おめでとうございます、ビルドパイプラインにセキュリティシアターを追加しました。
しかし、バグを修正することと、最初から安全なシステムを構築することを混同しないようにしましょう。
これらのツールは、アーキテクチャが根本的に壊れているときに警告を出すことはありません。新しい機能が不快なコンプライアンスギャップを開くときにそれをキャッチすることはありません。AIが「私には良さそうに見える」と言ったからといって、認証されていない管理パネルを本番に出荷する開発者を止めることはありません。
関連記事:DragonForceランサムウェアがMSPをサプライチェーン攻撃で襲撃
それらはそのために作られていません。そして、それが本当の問題です。
セキュリティチームは広がるギャップを見つめており、ほとんどはまだ手動のレビュー、部族的知識、そして希望的観測でそれを埋めようとしています。しかし、開発のペースが加速するにつれて—非常識なほどに—これらの古い方法はスケールしません。すでに圧力に耐えられなくなっています。
チャンスは?巨大です。 AIによる開発は、既存のセキュリティスタックが解決するために作られていなかったまったく新しいクラスの問題を生み出しました。プロンプトの速度で生成されたアプリケーションを保護するには、新しいアプローチ、新しい考え方、そしてもちろん新しいツールが必要です。この世界のために再構築される必要があるセキュリティツールのカテゴリ全体があります。これは「機能ギャップ」ではありません。それは市場のギャップです。
AIツールと共にどこへ向かうのでしょうか?
セキュリティの考え方は上流にシフトする必要があります。それは計画にシームレスに組み込まれ、デリバリーにパッチを当てるのではありません。それは反応的なレビューからプロアクティブな可視性に進化する必要があります。それは開発プロセスと共に動く必要があり、サイドラインからそれを遅らせようとするのではありません。
これは、ビルドパイプラインがすでに緑色になった後に赤旗を振ることではありません。これは、機能が定義されるときに部屋にいること、AIツールにプロンプトが入力される前のことです。
なぜなら、未来は来るのではなく、すでに自らを書いているからです。
そして、セキュリティがその言語を学び、その流れの中に存在することを学ばなければ、ただ置き去りにされるだけではありません。完全に無視されることになります。
最新のDark Reading Confidentialポッドキャストをお見逃しなく、 最もありえない場所でAPTグループを見つけた日、ここでは脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックと、その過程で発見した驚きを共有しています。 今すぐ聞く!