生成AIコード支援ツールの便利さの裏で、気づかぬうちに脆弱性を埋め込むリスク

背景

GitHub CopilotやTabnine、各種IDEに組み込まれたAIコード支援機能など、生成AIを活用した開発支援ツールが急速に普及しています。これらのツールは、コメントやコード片から次の処理を自動生成し、開発効率を大幅に向上させますが、その一方で「AIが提案したコードに脆弱性が含まれている」リスクが指摘されています。開発者がAIの提案を十分にレビューせずそのまま採用すると、古い暗号化方式、入力値検証の欠如、SQLインジェクションの可能性、ハードコードされた認証情報など、基本的なセキュリティ欠陥がプロダクションコードに紛れ込む恐れがあります。開発スピードが増すほど、セキュリティレビューの時間が相対的に削られやすく、「速く作れるが、脆弱なシステム」が量産されるリスクが高まっています。

実態

実験的な研究では、AIコード支援ツールが生成したコードの中に、高い割合でセキュリティ上の問題が含まれていることが報告されています。例えば、Webアプリケーションのログイン機能を生成させた場合、パスワードのハッシュ化を行わず平文で保存する実装を提案したり、SQLクエリを文字列連結で構築しSQLインジェクションに弱いコードを出力したりするケースがあります。また、「とりあえず動く」ことを優先して、例外処理やエラーログ記録が省略されたコードが提示されることも多く、運用時のトラブルシューティングや不正挙動の検知を困難にします。さらに、AIが学習に用いた公開リポジトリ由来のコードに既知の脆弱性が含まれている場合、それをそのまま再利用してしまうリスクもあります。一部のケースでは、AIが誤って実在のAPIキーや秘密情報に似たパターンを生成してしまう可能性も指摘されています。

影響と対策

生成AIによるコード提案を無批判に採用すると、セキュアコーディングのベストプラクティスが形骸化し、脆弱性のあるコードが大量に本番環境へ流入するリスクがあります。対策としては、まず「AIが書いたコードも人間が書いたコードと同様、必ずレビューの対象とする」という原則を徹底することが重要です。特に、認証・認可、入力値検証、暗号化、ログ管理などセキュリティクリティカルな部分のコードについては、シニアエンジニアによるレビューを必須とします。技術的には、SAST（静的アプリケーションセキュリティテスト）ツールやSCA（ソフトウェア構成解析）ツールをCIパイプラインに組み込み、AIが生成したコードも含めて自動的に脆弱性スキャンを実施します。FortiDevSecなどのクラウド型DevSecOpsツールや、Check Point CloudGuard Code Securityのようなソリューションを活用すれば、AI支援開発環境にもセキュリティチェックをシームレスに組み込むことが可能です。また、開発ガイドラインに「生成AIツール利用時の注意事項（機密情報をプロンプトに含めない、提案コードは必ず修正・レビューするなど）」を明記し、エンジニアに対する教育を実施することも欠かせません。

まとめ

生成AIは、開発者の生産性を飛躍的に向上させる一方で、「脆弱なコードを高速に量産してしまう危険なアクセル」にもなり得ます。重要なのは、「AIをブラックボックスとして盲信しないこと」と、「セキュリティレビューを自動化・標準化して安全網を張ること」です。PSIでは、DevSecOpsの観点から、生成AIを含むモダンな開発プロセスにセキュリティを組み込むためのツール選定・CI/CD設計・教育プログラムの提供を通じて、安全かつ高速な開発体制の構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp