「塩漬けシステム」を資産に 東芝などが挑む“AIリバースエンジニアリング”の実力：レガシーシステムを近代化

リバースエンジニアリングに生成AIを活用することで、レガシーシステムの仕様を明らかにする作業を効率化できる可能性がある。モダナイゼーションに生成AIを使うときの注意点と、国内ベンダーのサービスを紹介する。

[TechTargetジャパン]

　レガシーシステムは、企業経営の懸念事項の一つだ。既存のITシステムが複雑化し、内部構造が分からないブラックボックスになることで、データの活用が阻害される可能性がある。この危機が深刻化している原因は、単なるシステムの老朽化ではない。長年にわたる局所的な改修の結果、システムの全体像を把握する人間が不在となり、変更が及ぼす影響を誰にも予測できない「技術的負債」の蓄積が、レガシーシステムのモダナイゼーションをより難しくしている。

生成AIをシステム開発に利用する……編集部のお薦め記事

　特にスクラッチで開発された基幹システムには、独自のノウハウが凝縮されており、安易な刷新はビジネスの継続性を脅かすことがある。しかし、メインフレームやオフコン（オフィスコンピュータ）の保守終了（EOL）という外部要因は容赦なく迫る。

　このような状況下で、生成AIの登場は停滞していたモダナイゼーションの突破口になる可能性がある。従来のマイグレーションは、ソースコードを機械的に置換するツールや、人海戦術による手作業での仕様書作成に依存していた。これに対し、生成AIを活用した新たなアプローチは、プログラムの「意図」を解釈し、失われた設計情報を復元するリバースエンジニアリングの工程の一部を自動化する。システムの内部構造を明らかにし、戦略的なIT資産として再定義する助けとなる。

　生成AIに組み込まれた大規模言語モデル（LLM）は、ソースコードからビジネスロジックを抽出し、人間が理解可能な自然言語のドキュメントへと再構成する。これにより、ドキュメントが欠落したシステムであっても、現状の動作を正しく定義し直すことが可能になる。

　本稿は生成AIを用いたシステムのモダナイゼーションを進めるためのポイントや、リスク、注意点、国内で提供されている生成AIを用いたリバースエンジニアリングサービスを解説する。

生成AIがレガシーシステムのリバースエンジニアリングにどう役立つのか

　従来の静的解析ツールは、コードの構文を解析して呼び出し関係を整理する「構造の可視化」には長けていたが、その処理が「何を目的としているか」という「意味の理解」には限界があった。生成AIは、LLMが持つ文脈理解能力を活用することで、この壁を突破している。

生成AIをシステム開発に利用する……編集部のお薦め記事

仕様情報の資産化と可視化

　モダナイゼーションの出発点は、現行システムの可視化だ。生成AIは古くからある「COBOL」や「PL/I」「VB6.0」などのプログラミング言語で記述されたソースコードを読み取り、その処理内容を要約して機能説明書やフロー図を自動生成する。

　このプロセスで、RAG（検索拡張生成）といった技術を組み込む場合もある。ソースコードの断片だけでなく、企業内に残された古いマニュアルや断片的な設計書をAIモデルに学習、参照させることで、解析精度を高められる。例えば富士通が提供する「Fujitsuナレッジグラフ拡張RAG」はコードの静的解析結果と関連ドキュメントをナレッジグラフ（情報間の関係性を線でつなぎ合わせ、グラフ構造で表現した知識モデル）として統合し、AIモデルがシステム全体の文脈を理解して設計情報を生成する仕組みを構築している。

変換と最適化（リファクタリング）

　システムの仕様情報を可視化した次段階として、旧言語から「Java」や「Python」といった現代的な言語へのコード変換を実行する。従来のルールベースの変換では、旧言語の論理構造をそのまま新言語に持ち込むため、新言語のベストプラクティスに沿った形でコードを再構成するプロセスは手作業で実行する必要があった。生成AIでこのプロセスを自動化することで、将来の保守運用を見据えた最適化までの工数を短縮できる。

　さらに新システムの検証フェーズで、旧システムと新システムの挙動を比較するテストツールの作成や、テストケースの生成を自動化する場合にも、生成AIが利用できる可能性がある。

システムのモダナイゼーションを支える国産サービス

　日本国内では既に、ITベンダー各社が生成AI技術と人手によるマイグレーションを組み合わせたサービスを展開している。例えば、以下のようなサービスがある。

富士通の「設計書リバースサービス for アプリケーション資産」

　レガシーシステムのソースコードと資産分析データ、既存の設計情報などのデータを基に、人が理解しやすい設計書を生成する。生成AIを利用することで、ソースコード内のコメントやシステム設計書が欠落している場合でも、効率的に資産分析や設計情報の理解が可能になるという。同社のAIサービス群「Fujitsu Kozuchi」や「Fujitsu ナレッジグラフ拡張RAG for Software Engineering」の技術を用いている。流通業のユーザー企業のユースケースでは、人による手作業のみの設計書生成に比べて約50%効率化できる見込みだという。

東芝デジタルエンジニアリングの「生成AI活用サービス AI-no-te（アイノテ） リバースエンジニアリングサービス」

　AI-no-te リバースエンジニアリングサービスは、生成AIの自動解析にエンジニアの知見を組み合わせたハイブリッド型のサービスだ。AIによる効率化とプロの検証を両立させることで、手作業のみの解析と比較してコストと期間を約50％削減できるという。PL/SQLやCOBOLなどの言語で記述されたレガシーシステムに対し、顧客が指定する様式で設計書を作成できる点が特徴だ。属人化したシステムの保守体制の再構築や、ドキュメントが欠落したシステムの現状把握が主な用途になる。

システムズの「Re:structureAI」

　Re:structureAIは、社内のレガシーシステムの内部構造を整理し、最新言語やクラウドインフラへの移行を支援するためのソフトウェアだ。生成AI技術でシステム全体の依存関係や影響範囲を自動解析する機能や、システムのソースコードを取り込み仕様情報を可視化する機能、社内のITシステムのドキュメントやソースコードを一元管理する機能などを備える。対話型の影響調査機能を搭載しており、「この改修がどこに波及するか」といった問いに即座に回答する。

ワンダフルフライ「ワンダーロボ・リバース」

　ワンダーロボ・リバースは、既存資産から「即座に利用可能なExcel形式の設計書」を生成することに特化したサービスだ。生成AIシステムでCOBOLやPowerBuilder、VB6.0などで記載されたレガシーシステムのソースコードを解析し、画面構造やSQL、処理ロジックなどを自動抽出した後、画面設計書やテーブル定義書、処理フローチャートなどの設計書をExcel形式のドキュメントとして出力する。出力された資料はシステムの引継ぎや、システムの再構築の際の要件定義や見積もりに利用できる。

生成AIを活用したモダナイゼーションに潜むリスクとその防衛策

　生成AIは強力なツールであるが、その導入には特有のリスクが伴う。IT担当者は以下のリスクを考慮する必要がある。

ハルシネーションと品質保証のリスク

　生成AIは、確率的にもっともらしい回答を生成する性質がある。そのため事実とは異なる情報を出力する「ハルシネーション」のリスクを抱えている。特に基幹システムのビジネスロジック解析で、AIモデルが微細な条件分岐を読み飛ばしたり、誤った解釈をしたりした場合、それが後のコード生成やテストに連鎖し、致命的な不具合を招く可能性がある。

　生成AIの出力結果とその根拠を論理的に検証する、生成AIの監査技術をサービスに組み込むベンダーもある。しかし最終的な品質保証の責任は人間にある。AIモデルの出力をうのみにせず、必ず専門のエンジニアがレビューを実施する「ヒューマン・イン・ザ・ループ」（HITL）の体制を、プロジェクトの標準プロセスとして組み込むべきだ。

セキュリティとデータプライバシーの懸念

　生成AIの利用において、ソースコードという企業機密を自社外に送信することは、データ漏えいのリスクを伴う。セキュリティベンダーNetskopeは2026年1月に公開した調査レポート「Cloud and Threat Report:2026」で、生成AIの利用によってデータ漏えいのリスクは2倍になると指摘している。またChatGPTの会話を盗む悪質なChrome拡張機能のように、エンドポイントの生成AIの利用方法の脆弱性を突いた攻撃も確認されている。

　IT担当者は、個人向け生成AIサービスの利用を制限し、エンタープライズ向けのサービスや、オンプレミスインフラで動作するAIモデルの採用を検討すべきだ。特にソースコード解析のように機密性が高い業務は、データがAIモデルの学習に再利用されないことを契約上保証できるように、ベンダーとNDA（秘密保持契約）を結ぶといった対策を取る必要がある。

シャドーAIとガバナンスの欠如

　現場のエンジニアがモダナイゼーションの効率化のために、会社が認めていない「野良AI」を勝手に利用する「シャドーAI」のリスクも無視できない。これは情報漏えいの直接的な原因となるだけでなく、開発プロセスの不透明化を招く。対策として、単なる「非公式ツールの利用禁止」ではなく、「自社で公式に認められた、安全に利用できる生成AIサービス」を提供し、利用ルールを明文化したガイドラインを整備することが、ガバナンスへとつながる。

著作権とOSSライセンスの法的リスク

　AIツールで生成したソースコードが、学習元となったソースコードの著作権やOSS（オープンソースソフトウェア）のライセンスに抵触するかどうかは、法的な議論の途上にある問題だ。生成されたコードに意図せず特定のOSSの断片が含まれ、そのライセンスに著作物の自由な利用や再配布を保証し、その成果物にも同じ自由を適用させる「コピーレフト」条項が含まれていた場合、自社の独自システムのソースコード公開を迫られるといったリスクも否定できない。企業はAIツールで生成したコードに対して、ソフトウェア部品表の「SBOM」（Software Bill of Materials）などを利用したライセンスチェックを実施して、各種の法律や各種ソフトウェアのライセンス条項に違反していないかどうかを確認する工程を設けることが求められる。

　レガシーシステムのモダナイゼーションは、日本企業が直面する、避けては通れない課題だ。リバースエンジニアリングによるブラックボックスの解消は、単なる技術的な解決にとどまらず、企業の意思決定を加速させ、組織の硬直化を打破する力を持つ。生成AIはレガシーシステムの可視性やモダナイゼーションの効率を高める鍵となる可能性がある。