AIは脆弱性を検出できる—では、誰がリスクに責任を持つのか？

Anthropicは先ごろ、脆弱性の検出と修正案の提示を行うAIシステム「Claude Code Security」を発表しました。投資家がAIによる従来のAppSecツールの代替可能性に疑問を持ち始めたことで市場はすぐに反応し、セキュリティ関連銘柄が下落しました。多くの人の頭にある問いは同じです。AIがコードを記述してセキュリティを担保できるなら、アプリケーションセキュリティは時代遅れになるのか、という問いです。

セキュリティがコードのスキャンのみを意味するなら、答えはイエスかもしれません。しかし、エンタープライズセキュリティは検出だけを目的としたものではありません。

組織が問うているのは、AIが脆弱性を発見できるかどうかではありません。はるかに難しい3つの問いがあります。

• リリースしようとしているものは安全か
• 環境が変化し、依存関係、サードパーティサービス、ツール、インフラが絶えず移り変わる中で、リスク体制は変化していないか
• AIやサードパーティのソースによって構成される割合が増え、依然として説明責任を負うコードベースをどのようにガバナンスするか

これらの問いにはプラットフォームとしての答えが必要です。検出はリスクを可視化しますが、何をすべきかを決めるのはガバナンスです。

GitLabは、ソフトウェアライフサイクルをエンドツーエンドでガバナンスするために構築されたオーケストレーションレイヤーです。AIを活用した開発スピードに対応するために必要な、ポリシー適用、可視性、監査証跡をチームに提供します。

AIを信頼するにはリスクのガバナンスが必要

AIシステムは脆弱性の特定と修正提案の能力を急速に向上させています。これは重要かつ歓迎すべき進歩ですが、分析は説明責任とは異なります。

AIは単独で会社のポリシーを適用したり、許容リスクを定義したりすることはできません。エージェントが運用される境界、ポリシー、ガードレールを設定するのは人間です。職務の分離を確立し、監査証跡を確保し、何千ものリポジトリとチームにわたって一貫したコントロールを維持するのも人間の役割です。エージェントへの信頼は自律性だけから生まれるのではなく、人間が設定した明確に定義されたガバナンスから生まれます。

ソフトウェアがエージェント型AIシステムによってますます記述・変更されるエージェント型AIの世界では、ガバナンスの重要性は低下するどころか、むしろ高まります。組織がAIに与える自律性が高まれば高まるほど、ガバナンスはより強固でなければなりません。

ガバナンスは摩擦ではありません。AIを活用した開発を大規模に信頼できるものにするための基盤です。

LLMはコードを見るが、プラットフォームはコンテキストを見る

大規模言語モデル（LLM）はコードを単体で評価します。一方、エンタープライズのアプリケーションセキュリティプラットフォームはコンテキストを理解します。リスクの判断はコンテキストに依存するため、この違いは重要です。

• 変更を加えたのは誰か
• そのアプリケーションはビジネスにとってどれほど重要か
• インフラや依存関係とどのように連携しているか
• その脆弱性は本番環境で実際に到達可能なコードに存在するのか、それとも一度も実行されない依存関係に埋もれているのか
• アプリケーションの実行方法、API、その周辺環境を踏まえると、本番環境で実際に悪用可能か

セキュリティの判断はこのコンテキストに基づきます。コンテキストがなければ、検出はノイズの多いアラートを生み出し、リスクを低減するどころか開発を遅延させます。コンテキストがあれば、組織はトリアージを迅速に行い、リスクを効果的に管理できます。ソフトウェアが変化し続ける中でコンテキストも絶えず変化するため、ガバナンスは一度きりの判断では済みません。

静的スキャンは動的リスクに追いつかない

ソフトウェアのリスクは動的です。依存関係は変わり、環境は変化し、システムはいかなる単一の分析でも完全には予測できない方法で相互作用します。ある時点でのクリーンなスキャンが、リリース時の安全性を保証するわけではありません。

エンタープライズセキュリティが依拠するのは継続的な保証です。ソフトウェアのビルド、テスト、デプロイの過程でリスクを評価する、開発ワークフローに直接組み込まれたコントロールが必要です。

検出は洞察を提供します。ガバナンスは信頼を提供します。そして、組織が大規模に安全にリリースできるようにするのが、継続的なガバナンスです。

エージェント型AIの未来をガバナンスする

AIはソフトウェアの作り方を根本から変えつつあります。もはや問いはチームがAIを活用するかどうかではなく、いかに安全にスケールさせるかです。

今日のソフトウェアは記述されるのと同じくらい組み立てられています。AIが生成したコード、オープンソースライブラリ、何千ものプロジェクトにまたがるサードパーティの依存関係から構成されているのです。それらすべてのソースにわたってリリースするものをガバナンスすることは、アプリケーションセキュリティの中で最も困難かつ重大な部分であり、いかなる開発者向けツールも対処するように設計されていない部分です。

インテリジェントなオーケストレーションプラットフォームとして、GitLabはこの問題に対処するために構築されています。GitLab Ultimateは、ソフトウェアの計画、ビルド、リリースが行われるワークフローに、ガバナンス、ポリシー適用、セキュリティスキャン、監査証跡を直接組み込んでいます。これにより、セキュリティチームはAIのスピードに合わせてガバナンスを実現できます。

AIは開発を劇的に加速させるでしょう。AIから最大の恩恵を受ける組織は、最も優秀なアシスタントを持つ組織ではなく、強固なガバナンスを通じて信頼を構築した組織です。

GitLabが組織によるAIが生成したコードのガバナンスと安全なリリースをどのように支援しているかについては、今すぐチームにお問い合わせください

関連記事

• DevOpsとAIを統合してセキュリティを強化する
• セキュリティリーダーのためのGitLab AIセキュリティフレームワーク
• コンポジットIDでGitLabのAIセキュリティを強化する