出典:Josie Elias(Alamy Stock Photo経由)
ツールは上手く使うことも下手に使うこともできますが、多くの場合、それ自体が本質的に良いものでも悪いものでもありません。
バイブコーディング、つまり自然言語でLLMにコード生成を指示する行為を考えてみましょう。適切に使わなければ、モデルが幻覚を起こし、しばしばセキュリティ脆弱性を導入しますが、それらを自力で修正するのは得意ではありません。しかし、人間が中心となり、コードが検証・確認される場合、理論的には生産性を向上させるために利用することができます(ただし、人間を完全に置き換えることはできません)。
もしあなたの組織で、上層部からAI支援開発ツールを導入するよう指示があった場合、最初に(できれば)考えるべき質問のひとつは、「これを安全に実施するにはどうすればよいか?」ということでしょう。
答えは多くありますが、そのうちの3つは「人を中心に据えること」「最初からセキュリティを重視すること」「本質的な予測不可能性を考慮すること」に集約されます。
人が最優先
SnykのCTO、Danny Allen氏はDark Readingに対し、過去3か月間で「AIコーディングツールを使っていない顧客と話したことがない」と語っています。
「開発者の100%がAI支援コーディングツールを使うようになることは、私の中では疑いの余地がありません」と彼は言います。「使うかどうかではなく、どう使うかが問題です。」
これはあくまで逸話的なものですが、AI支援コーディングが多くの組織に急速に浸透しているのは明らかです。技術自体はまだ初期段階で、単独でアプリケーション開発を担えるほどではありませんが、Allen氏はプロトタイピングやグリーンフィールドアプリケーション(今後開発や改良が想定されるソフトウェア)で最も良い活用事例を見てきたと述べています。
現在のAI生成コードは、チェックされないまま放置されると重大なソフトウェア脆弱性を生み出します。Veracodeの「2025 GenAIコードセキュリティレポート」によると、AI生成コードはテストされたタスクの45%で顕著な脆弱性を導入していました。また、ジョージタウン大学が2024年11月に発表したホワイトペーパーでは、AI生成コードがソフトウェアサプライチェーンにリスクをもたらす可能性が詳述されています。
だからといって、組織がAI支援コーディングツールを使うのが間違いというわけではありませんが、そのパイプラインのどこかに人間(または複数人)が必要であることは意味します。
Wizのセキュリティ研究者Hillai Ben-Sasson氏は、バイブコーディングは有用であるものの、人間が使うためのツールとして位置づけるべきだと述べています。つまり、生成されたコードを検証する人が必要だということです。
「必ず人間がループに入っている必要があります。もしアプリケーションが、コードを見ることすらできない人によって完全にバイブコーディングされた場合、そのコードが安全かどうかも分からず、誰も責任を取ることができません」と彼は言います。「モデルやバイブコーディングプラットフォームは、セキュリティ上の失敗に責任を持つことはできません。」
AIコードチェッカーの世界
組織がバイブコーディングをある程度の規模で適用する場合、Allen氏は「開始時点でのセキュリティ確保」、つまりコードがセキュリティを考慮して開発されるようにすることを推奨しています。「AI内でエージェントやガードレールを使うことができれば、それが前進の道です」と彼は言います。
今月、Snykはプラットフォームに「Secure at Inception」機能を発表しました。これは生成・実行されたコードをリアルタイムでスキャンし、脆弱性を検出するものです。同社の製品は、VeracodeのVeracode FixやLegit SecurityのAIリメディエーション機能など、増え続けるAIコード修正ツールの分野に加わりました。
Veracodeの創業者兼チーフセキュリティエバンジェリストのChris Wysopal氏は、バイブコーディングのようなものを適切に導入するには、セキュリティプログラム全体を強化する必要があるとDark Readingに語っています。
アプリケーションセキュリティにおいて、組織は「セキュリティ負債」に直面します。これは、脆弱性を発見しても修正せず、時間が経つごとにその数が増え、アプリケーションがますます安全でなくなる現象です。開発者が少ないままアプリをより速く構築するようになると、この問題はさらに深刻化するため、初期段階で対処する必要があります。
「解決策は、モデルを安全なコードで学習させるか、より安全なコードを出力するように調整・チューニングする方法を見つけることです」と彼は言います。「私たちが考えるに、人々はAIを使ってコードを修正する必要があります。」
同様に、DEF CON 33では、DARPAが発表したのは、AIを使ってオープンソースソフトウェアの欠陥に対処するツールを開発する2年間のAIサイバーチャレンジの優勝者です。ファイナリスト7チームが開発したすべてのツールはオープンソース化されます。
これらのチェッカーがAIコードセキュリティという新たな問題を解決できるかどうかは別として、これらのツールは組織がこの問題に対処するための主要な手段の一つとなっています。セキュリティキーやフィッシング攻撃と同様に、一部の負担を人からツールに移すという考え方です。
そして、AIコードチェッカーがあっても、人間が完全に排除されるわけではありません。Allen氏は「信頼しつつ検証する」という精神で、コードの検証は少なくとも部分的にはAIによって行われるが、「最終的には人間がその検証システムを検証することになる」と説明しています。
Wysopal氏は、AI生成コードは依然として安全ではなく、たとえ時間とともにいくつかの点で改善されているとしても、AIコードが脆弱性を生み出すという予測可能な性質は、どんなセキュリティソリューションを使っていても開発プロセスに組み込むべきだと述べています。
「そのプロセスに組み込むべきです」と彼は説明します。「つまり、『バイブコーディングがこれらの脆弱性を生み出すことは分かっている』ということです。だから、コードが生成された直後にそのコードをテストし、修正するのです。」