AIコーディングが普及した結果、非エンジニアでも手軽にソフトウェア開発に参入できるようになった。しかし、開発の効率化や高速化といったメリットと引き換えに、開発の現場はさまざまな代償に直面しているという。
「AIで高速開発したら、公開直後に情報漏えいが発生した」「AIエージェントの挙動に沿って“Yes”を押し続けた結果、マルウェアを導入してしまった」――。生成AIによる「バイブコーディング」が広がる中、こうした新たなセキュリティリスクが顕在化し始めている。
SHIFTの平田元春氏(AIアジャイル開発部アジャイルQAリード)と、増田佳弘氏(セキュリティネットワークサービス部エグゼクティブコンサルタント)は、AIコーディングがもたらす“速度の代償”と、問題に対抗するための実践的なセキュリティ戦略を紹介した。
Palo Alto Networksが2025年12月に公開したレポート"The State of Cloud Security Report 2025“によると、生成AIツールをコーディングに利用している組織は99%に達しているという。平田氏は「もはや人間がコードを書く必要がないのではないかと考えるほど、AI活用は進んでいる」と説明する。
こうした状況を象徴するのがバイブコーディングだ。テスラの元AI責任者であるアンドレイ・カルパシー氏が提唱した概念で、自然言語で生成AIと対話しながらコードを生成し、反復的にブラッシュアップしていくスタイルを指す。AIに「Pythonで簡単なログインAPIを作って」「とりあえず動けばいい」といった曖昧な指示を与えながら、短時間でアプリケーションを構築していく。
だが平田氏は、高速開発には「古典的脆弱性の量産」「エンジニアの空洞化」「サプライチェーン攻撃」という3つのリスクがあると警鐘を鳴らす。
AIは「それっぽく機能するコード」を書くのは得意だが、コードの安全性を十分に検証することはできない。AIが学習したデータに脆弱なコードが含まれていれば、SQLインジェクションやアクセス制御の不備といったOWASP Top 10(注)レベルの脆弱性をそのまま再現する恐れがある。平田氏は「『動くコード』=『安全なコード』という誤解が最も怖い」と強調する。
※注:ソフトウェアのセキュリティ向上を活動目的とする非営利組織Open Worldwide Application Security Project(OWASP)が、Webアプリケーションにおける重大なセキュリティリスクを10項目にまとめた文書
そこで増田氏が紹介するのが、AI生成コードの安全性を評価するベンチマーク「BaxBench」だ。これは、28シナリオ、14フレームワーク、6言語、計392タスクを用いて、LLMが生成するコードの「機能的正しさ」と「セキュリティ上の安全性」を同時に評価するものだ。同ベンチマークでは、AIに与えるプロンプトのセキュリティ要件をいくつかの段階に切り替えて検証を実施している。
まず、セキュリティについての指示を一切与えなかった場合、上位モデルであっても約30%以上のコードにセキュリティ上の脆弱性が含まれていた。最も成績の良いClaude Opus 4.5(Thinking)でも、機能的にもセキュリティ的にもOKと判定されたコードは56.1%にとどまった。
一方で、一般的なセキュリティ要件をプロンプトに含めると脆弱性の混入率は約20%に低下し、詳細な要件を指示した場合でも約10%は残るという結果も示された。増田氏は「効果はあるが、それでもゼロにはならない。プロンプトの工夫だけでは不十分で、別の対策も併用する必要がある」と述べる。
平田氏はリスクが顕在化した実例として3つの事案を紹介する。
1つ目は、2025年9月に発生した女性向け情報交換アプリケーション「Tea」における大規模情報漏えい事案だ。AIを用いて数日でサービスを構築・公開するスピード優先の開発フローで、Firebaseのアクセス権を全公開に設定したコードやSQLインジェクションが可能なコードがそのままリリースされた。公開直後に攻撃者のボットが自動スキャンで脆弱性を発見し、約7万点の身分証明画像と110万件以上のプライベートメッセージが流出した。
2つ目は、AI開発者を狙う「Shai-Hulud攻撃」だ。名称はSF小説『Dune』に登場する砂虫に由来する。AIエージェントが「このパッケージをインストールしますか?」と提案し、開発者が内容を確認せず「Yes」を連打すると、悪意あるnpmワームが導入される。APIキーやSSH鍵が窃取され、被害者のアカウントが、新たな攻撃を拡散するための踏み台として利用されるケースもある。
平田氏は「最近はShai-Hulud 2.0と呼ばれ、Yesを押してから10秒で攻撃が完了する。プリインストールスクリプトに攻撃処理が仕込まれており、情報流出から証拠隠滅まであっという間に終わる」と警鐘を鳴らす。
3つ目は「Chalk」や「debug」といった週に数億回ダウンロードされる著名なOSSパッケージの乗っ取り事案だ。人気開発者がフィッシング被害に遭い、18個のパッケージに悪意あるコードが混入された。AIエージェントがそれを最新推奨版として自動的に提案・導入し、暗号通貨トランザクションの乗っ取りなどの被害が連鎖的に広がった。
コードの品質だけでなく、人材面のリスクも指摘された。平田氏は「Code Rot」と「Skill Rot」という2つの空洞化を挙げる。
Code Rotは「動くからヨシ」を繰り返すことで、誰も中身を理解しないブラックボックス化したコードが増殖し、技術的負債が複利的に蓄積する現象だ。Skill Rotはエラーログの解析や修正をAIに丸投げし続けることで、エンジニア自身が問題を自力で解決できなくなる中長期的な組織リスクを指す。
増田氏も「プログラミング言語を苦労して学んできた世代の知見が、学ばなくても済むという状況下で失われていく」と懸念を示す。
そこで両氏は対策として、4つの方向性を提示する。
第1の対策は「AIエージェントの環境分離」だ。Dockerコンテナや仮想マシンを用いてAIの実行環境を開発者の日常環境から物理的に切り離し、隔離環境にはGitHubトークンやSSH鍵、APIキーを配置しない。root権限も与えず、最小権限で実行する。平田氏は「自律型AIエージェントのOpenDevinが人気を博す中、独立環境を用意するためにMac miniが売れているという話もある」と紹介する。
第2の対策は、セキュリティ観点を加味したLLMの選定だ。コーディング速度や賢さだけでなく、BaxBenchなどのセキュリティベンチマークを参照し、脆弱性を生成しにくいモデルを選ぶ。2026年2月末時点ではClaude Opus(Thinking)が最も正確かつセキュアとの評価を得ている。
第3の対策は、AIによる推論ベースの静的解析の導入だ。従来の「ルールベースの静的解析」(SAST)に加え、コード全体の文脈を理解して未知のゼロデイ脆弱性やロジックの欠陥を発見する推論ベースの解析を併用する。2026年2月に発表されたClaude Code Securityがその代表例で、発見した脆弱性が実際に悪用可能かどうかを多段階で再検証し、偽陽性を大幅に削減する機能を備える。
Claude Code Securityについて平田氏は、「数十年間にわたって専門家が見逃してきた脆弱性を発見している」と評価する。その発表直後には、セキュリティベンダーJFrogの株価が25%、CrowdStrikeは8%下落するなど、セキュリティ市場の構造自体を変える可能性が示唆された。
第4の対策は、「AIへのブレーキ搭載」だ。具体的には、「インストール時の自動実行スクリプトを一律停止して必要なものだけ個別に許可する」「pnpm(Performant npm)のminimumReleaseAge機能を使って、公開直後のパッケージを数日間インストール制限する」「重要コマンドの実行前に『なぜこの処理が必要か』を開発者にクイズとして出題し正答した場合のみ実行を許可する」「npm install時にパッケージの公式ダウンロード数と作成日を調べて人間に報告させる」──といった人間による“意味論的承認”を組み込む方法が紹介された。
増田氏は、クラウドセキュリティ推進団体Cloud Security Alliance(CSA)が公開している「Secure Vibe Coding Guide」(バイブコーディング実践者向けのセキュアコーディングのためのガイドライン)を紹介している。同ガイドラインには、APIキーを環境変数で管理するコードの生成指示や、クロスサイトスクリプティング対策のサニタイズ関数の生成指示など、セキュリティを考慮したプロンプトの具体例が掲載されている。同ガイドラインは、「セキュアな開発は人間とAIの共同責任」と結論付けている。
増田氏は人間とAIの役割分担についても言及している。同氏によると、コード生成はAI主導+人間監督、ソフトウェア設計は人間主導+AI補助、安全性検証はAI+ツール+人間の三層構造、そしてリリース判断と最終責任は引き続き人間が担うという見通しだ。
さらに、開発チームにセキュリティ人材が不足している現実を踏まえ、セキュリティ推進者(チャンピオン)の役割の一部をAIエージェントに担わせる「AI駆動DevSecOps」の構想もあるという。セキュアコーディングのプロンプト支援や脅威モデリング、セキュリティモニタリングのアラート対応策の抽出などを、AIエージェントが開発チームのそばで支援する体制だ。
平田氏は講演を次のようにまとめる。「バイブコーディングの恩恵は受けつつも、開発者がAI生成物の監督者として責任を持つ。セキュリティの基本知識と常に疑う目は、AI時代にこそ最も価値あるスキルになる。AIと人間の役割分担を明確にし、AI駆動DevSecOpsの実現を目指すべきだ」
※本稿は、2026年3月23〜24日に開催された「@IT Architect Live 2026 冬」のセッション「AIコーディングの光と影:『速度の代償』に人はどう対処すべきか」の内容を記事化したものです。
アイティメディアでは、5月25日〜6月1日までオンラインイベント「ITmedia Security Week」を開催いたします。メルカリや大阪急性医療センターなど、注目を集める組織のセキュリティ戦略を学べる他、ランサムウェアやエンドポイントなど各テーマの専門家が明日から実践できる守りのポイントを分かりやすく解説します。視聴条件を満たした方全員にAmazonギフトカード500円分を進呈します。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
