7月1日、Help Net Securityが「AI-generated code risks reach security, legal, and compliance teams」と題した記事を公開した。AIが生成したコードのリスクがセキュリティ・法務・コンプライアンスチームにまで波及している実態を、Fluxの調査結果をもとに紹介している。
AIコーディングツールの普及が急速に進む中、「書けること」と「本番に出せること」の間には依然として大きな溝がある。Fluxがエンジニアリングリーダーと現場エンジニアを対象に実施した調査では、その溝の実態が浮かび上がった。
なお、Fluxはソフトウェア開発・エンジニアリング組織の実態調査を手がける調査・分析会社であり、本調査は複数の企業規模・業種にわたるエンジニアリングリーダーおよび現場エンジニアを対象として実施されたものだ。調査対象の詳細な規模や手法については元記事を参照されたい。
本番投入は「半数以下」、それでも全社がAIを使っている
調査によると、ほぼすべての企業がAIを開発プロセスのどこかで活用しており、1年以内に採用予定なしと回答した企業は5%未満だった。一方、AIが生成したコードを本番環境で実際に動かしているのは約半数にとどまる。
AIが最も信頼されているのは、ドキュメント生成・ユニットテスト・シンプルな関数といった「ミスが小さく検出しやすい作業」だ。リスクが高まるほど採用率は下がる。
期待と現実のズレも明確に出た。現在のAIユーザーの3分の2が生産性向上と試作の高速化を実感している一方、エラー削減については非採用者の約半数が期待していたのに対し、実際に効果を感じているユーザーは約3分の1にとどまった。
「これを入れれば安心」というツールは存在しない
FluxのCEOであるTed Julianは、本番投入に至るまでのプロセスに共通するパターンを指摘する。チームはセーフガードを何重にも重ねて導入するが、一つの購入や対策が「慎重モード」から「本番投入モード」へのスイッチになることはないという。
「単一の解除キーとなるセーフガードが存在しないこと自体が、一つの発見だ。相当なツール群を揃えたチームでも、本番投入しないことを選んでいる」(Ted Julian)
本番投入を見送っているチームは、コード品質分析・ソフトウェアコンポジション分析(SCA)・コーディングアシスタントに紐づいたトレーニングへの投資が手厚い。本番投入済みのチームが唯一リードしているのは自動コードレビューの分野だ。
「慎重なチームを本番投入に踏み切らせる閾値や組み合わせは特定できていない」とJulianは述べており、業種・企業規模ごとの待機理由も調査では記録されなかった。
レビュー負荷と「見えない変更」の問題
AIコード増加に伴うレビュー負荷の増大は深刻だ。多くの開発者がすでに週の大半をコードレビューに費やしており、約10人に1人は作業時間の40%以上をレビューに充てている。AIが生成するコードは人間の書き方と異なることが多く、レビュアーのスピードをさらに落とす。
AIがバグを増やすかどうかについては意見が割れており、増えたと感じる人・減ったと感じる人・変わらないと感じる人がそれぞれ約3分の1ずつだ。
より深刻なのは可視性の欠如だ。リーダーの約3分の1が週次の変更を把握しきれていないと認めており、最も見落とされやすいのがセキュリティ上の修正・依存関係の変更・パフォーマンスへの影響という、見逃したときのコストが最も高い変更群だ。
ジュニア開発者の育成パスが失われつつある
バグよりも多く報告されているデメリットが、ジュニア開発者の学習機会の喪失だ。全体の40%超の組織がこの問題を指摘しており、AIの普及範囲(一部チーム・半数・全チーム)による差はほとんど見られない。
企業規模では明確な傾向がある。開発者50人未満の組織では31%が問題を報告しているのに対し、**50人を超えるすべての規模帯では44〜46%**に集中している。
JulianはAIエージェントの管理を「ジュニアが習得できる新しいスキル」と位置づけつつも、「どの従来型シニアスキルを次世代に伝えるべきかはまだわからない」と率直に認めている。
セーフガードへの投資が急拡大、リスクはセキュリティ・法務・コンプライアンスにまで波及
対策ツールへの支出も増加している。約半数がコード品質分析ツールを導入済みで、自動レビュー・SAST(静的セキュリティテスト)・IAST(インタラクティブセキュリティテスト)・SCAも相当数が採用している。これらのカテゴリの多くは2〜3年前にはほぼ存在していなかった。
プロセス面では、80%超の組織がAI生成コードに対応した開発・リリースプロセスを調整しており、最も多い対応はAI利用ポリシーの策定、次いで必須トレーニングとコードレビューの強化だ。
こうした対応が単なる開発チーム内の問題にとどまらないことも、本調査の重要な示唆の一つだ。AIが生成したコードに含まれる脆弱性・ライセンス違反・規制対応上の不備は、セキュリティチームによる脆弱性対応、法務チームによるOSSライセンスリスクの精査、コンプライアンスチームによる規制要件への適合確認など、組織横断的なリスク管理の負荷を押し上げる。元記事タイトルが示す「security, legal, and compliance teams」への波及とは、まさにこの構造的な拡大を指している。
回答者の約3分の2がAIが少なくとも一部のコードレビューで人間を上回れると考えており、76%がAI生成コードのリスクを下げるツールに価値を感じている。AIが生んだ問題をAIで解決しようという方向性は、すでに支出として現れている。
詳細はAI-generated code risks reach security, legal, and compliance teamsを参照していただきたい。