「AIによるソースコード自動生成」が生む新たな脆弱性、GitHub Copilot等の利用で潜在的リスクが拡大

導入

開発効率を劇的に向上させるGitHub CopilotやChatGPT等のAIコード生成ツールが広く普及する一方で、AIが生成したコードに含まれる脆弱性が新たなセキュリティリスクとして浮上しています。開発者がAI生成コードの内容を十分に検証せずにそのまま本番環境へ実装した結果、SQLインジェクションやクロスサイトスクリプティング（XSS）などの古典的脆弱性が再び増加しており、「AIが書いたから安全」という誤った信頼が重大なインシデントを招いています。

詳細な説明

AIコード生成ツールは、インターネット上の膨大なコードを学習しているため、その中には脆弱性を含むコードや、セキュリティベストプラクティスに反するコードも含まれています。例えば、データベース接続のコードを生成させた際に、プレースホルダを使わない文字列連結によるSQL文が生成されたり、ユーザー入力のサニタイズ処理が欠落したコードが提案されたりするケースが報告されています。さらに問題なのは、AIが生成したコードは「動作する」ため、開発者が機能確認だけで満足し、セキュリティレビューを省略してしまう傾向がある点です。特に経験の浅い開発者や、納期に追われるプロジェクトでは、AI生成コードの盲目的な採用が横行しています。また、AIに機密情報を含むコードを学習させてしまうと、他のユーザーへの回答として機密情報が漏えいするリスクも指摘されています。

影響と対策

AI生成コードの脆弱性は、従来のコードレビューでも見落とされやすく、本番稼働後に攻撃者に悪用されて初めて発覚するケースが増えています。対策として、まずAI生成コードであっても必ず人間によるセキュリティレビューを実施し、SAST（静的アプリケーションセキュリティテスト）ツールでの自動スキャンを義務化します。開発者教育では、「AIはアシスタントであり、最終責任は人間にある」という意識を徹底し、OWASP Top 10などのセキュリティ基礎知識の習得を必須とします。また、AIツールの利用ポリシーを策定し、機密情報や認証情報をプロンプトに含めない、生成されたコードは必ずテスト環境で検証するといったルールを明文化します。さらに、AIコード生成ツールの設定で「セキュアコーディングモード」が提供されている場合は、それを有効化することも推奨されます。

まとめ

AIは開発を加速させる強力なツールですが、セキュリティの責任まで肩代わりしてくれるわけではありません。「AIが生成した」という事実に安心せず、従来以上に慎重なレビューと検証を行う文化の醸成が、次世代の安全なソフトウェア開発の前提条件となります。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp