Pieter Danhieux, CEO, 会長, & 共同創設者, Secure Code Warrior
2025年6月9日
5分で読めます
出典: WindVector via Alamy Stock Photo
解説
業界の変革に関するメディアのざわめきは、通常、私たちの生活にさらなる便利さ、快適さ、または進歩をもたらすことを約束する、生活を変える便利な技術提供の形で現れます。Amazon、OpenAI、そしてUberのような企業は、同様の原則に基づいてその全体的な理念を形成しており、多くの人にとって最初に思い浮かぶ変革者の一つです。
しかし、「変革」は必ずしも技術そのものに起因するわけではありません。むしろ、次の新しい技術への執着がエンドユーザーによってどのように利用されるかにあります。ポジティブな結果が保証されるわけではありません。最近のStackOverflowの調査によれば、約76%の開発者がAIツールを使用している、または使用する予定であることが明らかになり、特に企業レベルでのソフトウェア開発の方法に急速で劇的な変化をもたらしています。わずか3年で、ソフトウェア開発ライフサイクル(SDLC)の段階的な変化を飛ばし、巨大な生産性の向上と即時の成果を選択したように見えます。素晴らしいですよね?
しかし、これらの成果は、ビジネスリーダーが支払うべきでない代償を伴います。すべての主要な人工知能および大規模言語モデル(AI/LLM)のコーディングアシスタントを悩ませる蔓延する豊富なセキュリティバグは、組織にとって許容できないコードレベルのセキュリティリスクを表しています。最も性能の良いツールでも、正確さはまだ約半分程度です。これらのツールは、セキュリティ意識の低い開発者の手に渡ると、コードベースに脆弱性の量を迅速に追加し、セキュリティ専門家が埋もれているコードの山をさらに増大させます。
関連記事:F5がAgentic AIセキュリティスタートアップFletchを買収
AIコーディングアシスタントは消えることはなく、コードの速度向上は無視できません。しかし、セキュリティリーダーは今、安全に使用を管理するために行動を起こさなければなりません。
なぜ開発者はAIコーディングコンパニオンに群がるのか?
今日のソフトウェア開発者は、ジャグリングのスキルが無限であるため、最新のシルク・ドゥ・ソレイユのツアーをサポートしてもおかしくないように感じることがあります。彼らは幅広いタスクをこなすことが期待され、そのリストは範囲と複雑さを増しています。支援の機会が訪れたとき、過労の開発者はそれを歓迎するのは当然のことです。
問題は、開発者が最も速く、最も安く仕事をこなすAIモデルを選ぶことです。例としてDeepSeekを挙げると、非常に機能的で、何よりも無料で使用できる簡単なツールです。しかし、初期の盛り上がりにもかかわらず、このツールには重大なセキュリティ問題があることが明らかになっています。安全でないコードの出力、機密データを漏らすバックドア、マルウェア作成のためのガードレールが非常に簡単にクリアできることなどです。これらの要因だけでも、企業での使用には安全でないとされていますが、参入障壁がないため、すでに4700万人のデイリーアクティブユーザーがリスクにもかかわらず試行錯誤しています。
関連記事:VishingクルーがSalesforceデータを狙う
高生産性で安全でない開発者がコードレベルの防御に与える影響
最近、いわゆる「バイブコーディング」が話題になっています。これは、Cursor AIのようなエージェンティックAIプログラミングツールを使用してプロンプトエンジニアリングでコードを書くことに専念し、コードの出力をレビューすることがないことを指します。これは、LLMが望ましい結果を達成するまで「開発者」がプロンプトを出し続ける、見た目と感触のペアプログラミング体験であり、ますます一般的になっています。自然に、このプロセスはLLMが機能するコードを提供することに完全に信頼を置いており、多くのこれらのツールがプログラムされている方法は、その正確性に対する揺るぎない自信を持って回答を処理することです。
独立したベンチマークを行うBaxBenchによれば、コーディングアシスタントとして機能する多くの人気のあるAI/LLMツールは安全でないコードを生成しており、BaxBenchのデータは、現在の主要なLLMのどれもセキュリティの観点からコード自動化に準備ができていないという結論に至っています。BaxBenchはそのテストに対して考えさせられる文脈を提供しています。「モデルはコーディングタスクを完了するようにプロンプトされるだけです。プロンプトにはセキュリティに特化した指示は含まれておらず、明示的なセキュリティ考慮を行わない開発者との現実的なやり取りを反映しています。」
関連記事:バイブコーディングが開発プロセスを変えた
開発者の86%が安全なコーディングを実践するのに苦労していると示しており、これは企業のセキュリティリーダーにとって深刻な懸念となるべきです。セキュリティスキルを持つ開発者が有能なAIツールと組み合わせれば、これらの生産性向上の一部を実現し、より創造的で深いコーディングタスクに少しの自由時間を持つことができるのは確かですが、これは一般的な開発者のスキル状態を表しているわけではありません。セキュリティ意識の低い人々は、企業のコードリポジトリに質の低い、安全でないコードを迅速に納品し、AppSecチームがすでに対処するのに十分でない問題を悪化させます。
これをこう考えてみてください:バイブコーディングは基本的に大学のフラタニティパーティーであり、AIはそのケグです。実験してみたり、試してみたり、想像力を働かせたりするのは楽しいですが、ケグスタンドを数回行った後は、飲酒(またはAIの使用)を適度に行うことが長期的に安全な解決策です。
ソフトウェアセキュリティの未来に向けた次世代の開発者の育成
バイブコーディング、エージェンティックAIコーディング、そしてAIを活用したソフトウェア開発の次の進化形は消えることはなく、すでに開発者の仕事のアプローチを変えています。解決策はツールを全面的に禁止し、チーム内でチェックされていない「シャドウAI」というモンスターを作り出すことではなく、リスクを無視することは会社にとって危険です。
次世代の開発者は重要であり、今こそAIを効果的かつ安全に活用するために開発者集団を準備する時です。AI/LLMツールがどのようにして許容可能なリスクを生み出すのかを明確にし、実践的な学習経路を通じてそのリスクを管理し、軽減するために必要な知識を提供することが不可欠です。それ以下では、彼らの行動の危険性は認識されず、回避することもできません。