AI生成コードの脆弱性をどう防ぐか 見えてきた“自動検知と修正”の未来：少ない工数で見つけて食い止めたい、コードの脆弱性

AIコーディングツールの普及が進む一方で、AIコーディングツールが生成するコードには脆弱（ぜいじゃく）性が含まれる傾向にある。どのように対処すればいいのか。

[Beth Pariseau，TechTarget]

　ソフトウェア開発の生産性を向上させる技術として期待されているのが、AI（人工知能）コーディングツールだ。一方、AIコーディングツールで生成したコードを利用することで、本番環境でのセキュリティリスクの発生やソフトウェアの挙動に問題が生じるといった課題がある。

AI生成コードの脆弱性、どのように対処すれば？

併せて読みたいお薦め記事

AIコーディングツール、どのように付き合うのがよい？

• AIにコードは書かせない――レガシーアプリの自動リファクタリング“新常識”
• 静かに登場したAWS「Kiro」 人間が主導権を握るAIコーディングツールとは

　GoogleのDORA（DevOps Research and Assessment）をはじめとして、AIコーディングツールの普及率は高まりつつあるという報告がある。テクノロジー専門家5000人を対象としたDORAの調査では、回答者の90％がAIコーディングツールを利用していることが明らかになった。ソフトウェア開発においてAIコーディングツールにどの程度依存しているか尋ねたところ、「中程度依存している」（37％）、「大きく依存している」（20％）、「大幅に依存している」（8％）と続いた。回答者の80％以上は、AIコーディングツールを使うことで生産性が向上したと答えた。同調査は、2025年9月に公開された。

DORAの調査レポート：

How are developers using AI? Inside our 2025 DORA report

　AIコーディングツールの普及が進む一方、トラブルも増加傾向にあるという指摘がある。

　DORAの調査によれば、AIコーディングツールの利用率が高まるほど、ソフトウェアデリバリーが不安定になりやすくなることが分かった。この傾向は、ソフトウェアリリース後の不具合の発生率と不具合修正後の手戻り率を組み合わせた指標に基づく。

　DevOpsツールベンダーHarnessが2025年に公開した調査レポートでも、AIコーディングツールで生成したコードを利用したソフトウェアを本番環境にデプロイ（展開）した事例の45％で何らかの問題が発生したという調査結果がある。同調査は、2025年8月、米国、英国、フランス、ドイツのITエンジニア、プラットフォームリーダー、技術マネジャーなど900人に調査を実施した結果に基づく。

　具体的な問題としては、「脆弱性の増加に起因するセキュリティインシデントの発生」（48％）、「規制違反リスクの増大」（43％）があった。さらに、回答者の72％は、AIコーディングツールで生成したコードに起因する障害を経験していることも明らかになった。

Harnessの調査レポート：

The State of AI in Software Engineering 2025

AIコーディングツールを使いながら問題の発生を防ぐには？

　Harnessや、GitHub、GitLab、CloudBees、Atlassian、JFrogといった企業は、AIコーディングツールの普及に伴うコード量の増加に対応するため、バグやセキュリティ脆弱性を自動でテスト、検出、修正するAIアシスタントやエージェントを提供している。Harnessは2025年9月、Qwiet AIを買収し、AIを使った同社のコード脆弱性検出技術をHarnessのサービスに統合する計画だ。同年2月には、APIセキュリティベンダーTraceableとの合併に至ったこともHarnessは発表した。TraceableのAPIセキュリティ技術を取り込むことで、ソフトウェアの開発から実行までをカバーするDevSecOpsプラットフォームを構築するためだ。

　IDCのケイティ・ノートン氏（DevSecOps、ソフトウェアサプライチェーンセキュリティ部門リサーチマネジャー）によれば、Qwiet AIとTraceableの統合はHarnessを競合他社から差別化する要因だという。GitHubやGitLabには、セキュリティの脆弱性を見つける機能が搭載されているが、その機能は主軸ではない。CloudBeesやAtlassianは、外部のパートナー企業のセキュリティツールや拡張機能を活用する仕組みを運用している。Harnessは、自社検知エンジンの拡充とサードパーティーツールのオーケストレーションを組み合わせたハイブリッド戦略を取っている。

　AIコーディングツールを使いながら問題の発生を防ぐには、DevOpsチームとセキュリティチームの連携を強化するのも1つの手だ。しかし、米Informa TechTargetの調査部門Omdiaのメリンダ・マークス氏（プラクティスダイレクター）によると、多くの企業では連携が進んでいないという。同氏の調査によると、コーディングツールやDevSecOpsツールの38％がセキュリティチームへの相談なしに選択されているという。さらに、「通知を見て後から導入されていることが明らかになったツール」（30％）や、「セキュリティチームが単独で選定、導入したツール」（32％）もあると同氏は説明する。