「Visual Studio Code」は開発者の生産性を高める一方で、拡張機能を無条件に許可すれば、情報漏えいやマルウェア混入というリスクを招く。利便性を損なわず、厳格なセキュリティを維持する仕組みとは。
企業におけるソフトウェア開発では、開発者の作業を効率化するための自由度と、IT管理者が求めるコンプライアンスや厳格なセキュリティ統制の両立が課題だ。開発者は、「Visual Studio Code」(以下、VS Code)などのソースコードエディタに好みの拡張機能を自由に追加して生産性を高めたいと望む。一方で管理者は、マルウェアの混入や機密情報の漏えいを危惧している。とりわけ、不用意なAPIキーの公開や、悪意のあるサードパーティー製ツールの利用は、企業にとって致命的な被害をもたらす可能性がある。
2025年11月時点で、VS Codeでは8万6000件を超える拡張機能を利用できる。VS Codeの提供元であるMicrosoftはマルウェアスキャン、動的検出による実行時の検証、シークレットスキャンなど多層的な防御策を講じている。しかし、企業ごとのセキュリティ基準に照らし合わせると、公開されている全ての拡張機能を無条件に許可することは実務上困難だ。
こうした課題に対し、IT管理者がVS Codeを大規模かつ安全に展開するためには、どのような対策を講じればよいのか。急速に普及するAI(人工知能)コーディングや拡張機能のガバナンス強化を実現する統制手段を紹介する。
本稿は、Microsoftのイベント「Microsoft Ignite 2025」におけるセッション「Visual Studio Code for IT pros who like sleep」を基に構成している。以下ではセッション動画の内容から、IT管理者が把握すべき新機能の詳細や、AI連携におけるコンプライアンス確保の仕組みを深掘りする。
社内での拡張機能の展開とアクセス制御を両立させる手段として有効なのが、VS Codeの「Private Marketplace」機能だ。これは企業が自社専用の拡張機能ストアをホストし、社内でのみ利用する独自の拡張機能を安全に配信できる仕組みだ。従来の手動インストールではバージョン管理が煩雑になる課題があったが、Private Marketplaceを用いることで、アップデートも自動で配信および適用される。
特筆すべきは、Private Marketplaceが公開マーケットプレースのプロキシ(中継サーバ)として機能する点だ。IT管理者はグループポリシーを設定することで、数万件の拡張機能の中から自社の要件を満たす特定のものだけを許可リストに追加できる。例えば、「特定のバージョンのVS Codeにおいて指定の拡張機能のみを許可する」といった緻密な制御が可能だ。開発者が許可されていない拡張機能をインストールしようとしてもブロックされるため、トップダウンでの厳格な統制が実現する。
拡張機能の管理に加え、AI技術の発展に伴う新たな統制課題も浮上している。大規模言語モデル(LLM)に社内データベースや文書などの外部情報を連携させる仕組みとして普及が進んでいるのが、「MCP」(Model Context Protocol)だ。MCPによって、学習データに含まれない最新情報や社内特有の文脈をAIモデルに解釈させることが可能になる。しかし、外部のMCPサーバを無制限に利用させることは情報漏えいのリスクを生む。
この問題に対し、Microsoftでクラウドアドボケイトを務めるリアム・ハンプトン氏は、社内向けのMCPサーバを「Azure API Center」などのサービスを利用して安全にホストする手法を提示する。Azure API Centerは、自社APIのカタログ化や一元管理を担うMicrosoftのクラウドサービスだ。
企業向けのソフトウェア開発・管理サービス「GitHub Enterprise」のAIツール利用統制機能と連動させることで、全社で許可するMCPレジストリを限定できる。開発者がVS Codeの設定を変更して非承認のレジストリを追加しようとしても、ポリシー違反エラーによって即座にブロックされるため、AIツールとの連携におけるコンプライアンスの確保が実現する。
AIコーディング支援ツールを全社展開する際、「本当に利用されているのかどうか」が見えにくいという課題がある。Microsoftのクラウドアドボケイトであるアルフレド・デサ氏は、この可視性の欠如を補うツールとして、AIコーディングツール「GitHub Copilot」の利用状況を可視化するダッシュボード「GitHub Copilot Metrics」を挙げる。
GitHub Copilot Metricsは、日次および週次の利用者数に加え、機能ごとの利用比率、使用言語ごとのソースコード補完率といった詳細なデータを取得できる。管理者はこの定量データを出力し、定期的な利用状況の推移を監視できる。これらの情報から投資対効果を客観的に評価し、ツールの活用が停滞しているチームの課題を早期に特定可能だ。
単にツールを導入して終わるのではなく、現場でAIツールを積極的に活用する推進者(チャンピオン)を任命し、彼らを通じて得られた現場の生の声とダッシュボードのデータを組み合わせることも重要だ。開発者と管理者の双方向のコミュニケーションループを確立することで、開発者の不満を解消し、全社での効果的なツールの定着を実現できる。開発者の作業効率を損なうことなく、企業が求めるガバナンス要件を満たすこれらの機能は、大規模な開発組織を持つ企業にとって不可欠な手段になる。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
