7月7日、Paul Nashawaty氏が「AI Code Visibility Gap Widens as Production Use Hits 44.7%」と題した記事を公開した。この記事では、AI生成コードの本番導入が急拡大する一方、組織の3分の1以上がそのコードを安全に出荷できる確信を持てずにいるという「可視性ギャップ」の実態について詳しく紹介されている。
本番コードの44.7%がAI生成——だが本当の問題は別にある
エンジニアリングインテリジェンスプラットフォームのFlux(記事内ではレポート「AI Code Generation Reality Check」の発行に関与した調査スポンサーとして言及されている)と、独立調査機関のDimensional Researchが共同で、309名のエンジニアリングリーダーおよび実務者を対象に5大陸で調査を実施した。本稿で紹介する数字はそのレポートに基づく。
目を引くのは44.7%という数字だ。すでにほぼ半数の組織がAI生成コードを本番環境で稼働させている。しかし、レポートが指摘する本質的な問題はここではない。
35%の組織はAIでコードを書いているにもかかわらず、それを本番に出す自信がないという点が核心だ。AIによるコード生成の生産性メリットを享受しようとして採用したものの、レビュー能力・リスク管理ツール・組織プロセスがAIの出力スピードに追いつけず、「出荷できない」状態に陥っている。
これはツール不足の問題ではなく、コードの生成方法と組織の検証体制の構造的ミスマッチだとレポートは述べる。
「自信がある」と言うが、実態は?
この調査結果と対照的なのが、ECI Researchの2025年アプリケーション開発サーベイだ(※ECI ResearchはNashawaty氏が関与するリサーチ組織。当該サーベイの個別URLは元記事に記載なし)。そちらではエンタープライズITリーダーの69%が、デプロイ前の機能検証に完全な自信を持っていると回答している。
しかし本番コードの約半分がAI生成であり、かつ「AI起因の問題が本番に入り込まない」と答えた組織はわずか**3.6%**という現実と照らし合わせると、この「自信」は実態から乖離している可能性がある。既存のQAフレームワークは、AIが大量にコードを生成する世界を想定して設計されていない。
リスクが集中する3領域
レポートは、週次で捕捉しにくいリスクカテゴリとして以下の3つを挙げている:
- セキュリティ問題(49.2%)
- 依存関係の変更(47.7%)
- パフォーマンスへの影響(44.1%)
いずれも「静かに積み上がって、インシデント発生時に初めて顕在化する」タイプの障害だ。AI生成コードに紛れ込んだセキュリティ脆弱性はそれ自体を宣言しない。依存関係の変更はスケールした手動レビューでは見落とされやすく、パフォーマンス劣化は本番負荷がかかって初めて表面化する。
セキュリティ機能の懸念を示す数字も明確だ。ステークホルダーのうちセキュリティ担当の62.5%、コンプライアンス担当の51.5%、法務の40.8%がすでに懸念を表明している。ECI Researchの2026年DevSecOps+AppSecサーベイ(※前述と同様、元記事に個別URLの記載なし)によれば、AIコードガバナンスはエンタープライズセキュリティチームにとって2026年の最優先投資領域となっており、このトレンドと一致する。
CI/CDパイプラインだけでは足りない
80.5%の組織が、AI生成コードに対応するために開発・リリースプロセスを見直したと回答している。それでも危険な問題はすり抜けている。プロセスの改善だけでは不十分だということだ。
ECI Researchの2025年調査では、83.8%の回答者がCI/CDプロセス中にコードスキャンツールを使用している。広く普及しているが、それは最低限の対策に過ぎない。スキャンツールが検出するのは既知の脆弱性パターンであり、AIが生成したコードが高変更頻度領域に蓄積していくリスクや、レビュー能力がAI出力量に対してボトルネック化している状況を評価するようには設計されていない。
SAST(静的アプリケーションセキュリティテスト)やDAST(動的アプリケーションセキュリティテスト)のような解析ツール——既知のパターンに基づいてコードや実行時の脆弱性を検出するセキュリティ検査手法——も、汎用AIアシスタントも、この種の構造的リスクには対応していない。
市場の反応として、45.6%がコード品質分析ツールを購入し、39%が自動コードレビューを追加したという。レポートはこれを「後追いの投資」と評する。
組織が取るべき次の一手
以下はレポートの主張をNashawaty氏が解釈・要約したものだ。
レポートは「AIの可視性ギャップは、まず広がってから縮まる」と見通す。AIのコード生成能力は、組織のレビュー能力より速く進歩し続けるからだ。
AI生成コードを出荷できていない35%の組織に対するメッセージは明確だ。ボトルネックはAIの能力ではなく、可視性とガバナンスの整備にある。スキャンパスを増やすことではなく、「コードのどこが最も速く変化しているか」「AI生成コードがどこに集中しているか」「どの変更が最も高いリスクプロファイルを持つか」を把握できるインフラへの投資が必要だというのが、Nashawaty氏の結論だ。
詳細はAI Code Visibility Gap Widens as Production Use Hits 44.7%を参照していただきたい。