6月29日、Mike Vizardが「Survey Surfaces Rise in IT Incidents Attributable to AI Coding Tools」と題した記事を公開した。AIコーディングツールの利用に起因するITインフラインシデントが急増しているという調査結果を紹介した内容で、コード生成の速度に対してレビューとガバナンスが構造的に追いついていない実態が浮き彫りになっている。
93%の組織でAI起因のインシデントが発生
IaC(Infrastructure as Code)管理自動化プラットフォームを提供するSpaceliftの委託を受け、Panterra Groupが北米の従業員250名以上の組織におけるIT意思決定者406名を対象に実施した調査で、93%の組織がAIツールへの依存に起因するインフラインシデントを少なくとも1件経験していることが明らかになった。
この数字が示す問題の核心は「AIが使われている」こと自体ではなく、生成されたコードが十分なレビューやガバナンスを経ずに本番環境へ流れ込んでいる点にある。GitHub CopilotやCursor、Amazon Q DeveloperといったAIコーディングアシスタントが急速に普及するなか、コードの生産量は増加する一方で、それを受け止めるインフラ側の検証・管理体制の整備が後手に回っている構図が鮮明だ。
AIがインフラチームに与えている影響として、回答者の86%が業務負荷の増大を報告している。具体的な内訳は以下のとおりだ。
- セキュリティ脆弱性の発生速度が上がった:40%
- ガバナンスが困難になった:40%
- 変更レートが増加した:37%
- パイプラインへの負荷が増大した:35%
- インフラドリフト(意図した構成と実際の状態のずれ)が拡大した:35%
レビューなしで本番環境に適用する組織が3割超
特に問題視されるのが、AIが生成したコードの扱いだ。インフラチームの33%が、AIが生成したHCL(HashiCorp Configuration Language)コードをレビューなしで直接本番環境に適用すると回答した。さらに43%は「最小限のレビューのみ実施する」と答えており、合わせると76%のチームが実質的なコードレビューを行わずに本番適用している計算になる。
HCLはTerraformなどで使われるインフラ定義用の設定言語だ。AIツールはランタイム環境に関する重要なコンテキストを欠いていることが多く、生成されたコードが脆弱性を生んだり、そもそも動作しなかったりするケースが生じやすい。
SpaceliftのCMOであるDimitri Vlachosは、適切なガバナンスポリシーがない状態では、こうしたコードが脆弱性を生み出し、悪意ある攻撃者がAIの助けを借りて数時間以内にそれを発見・悪用できる可能性があると指摘する。レビューの省略とガバナンス不在が重なることで、93%というインシデント発生率の背景が説明できる。
ガバナンスが追いついていない現実
自信と実態の乖離も顕著だ。86%の組織が自社のAIガバナンス能力に自信を持っていると回答している一方で、**正式なAIガバナンスポリシーを策定しているのはわずか30%**にとどまる。
モニタリングの状況はさらに厳しい。
- AIが生成したIaCのパイプライン通過量を追跡しているのはわずか15%
- AI生成コードの変更エラーレートを追跡しているのはわずか20%
また、AI導入の観点でアプリケーション開発がインフラよりも先行していると67%が認識しており、インフラ側のAI対応が後手に回っている構図が浮き彫りになっている。
成熟度によって明暗が分かれる
Spaceliftはこの調査で、組織をIaCツールにおけるAI成熟度に基づき4つに分類している。なお、Spaceliftによる調査レポート原本も公開されており、各カテゴリの詳細な定義と推奨アクションが記載されている。
| カテゴリ | 割合 |
|---|---|
| Pioneers(先進的) | 19% |
| Outpacing(追随型) | 25% |
| Fragmented(断片型) | 32% |
| Exposed(無防備型) | 24% |
各カテゴリの質的な違いも重要だ。PioneersはAIによるIaC生成を積極的に活用しつつ、ガバナンスされたパイプラインとAuto検証・ポリシー施行の仕組みの中で運用しており、速度と安全性を両立している。OutpacingはAI活用の速度は高いものの、ガバナンスや検証の整備がその速度に追いついていない状態にある。FragmentedはAI活用が部門・チームによってバラバラで、組織横断的なポリシーや標準化が進んでいない。ExposedはAI活用が進みつつもガバナンスがほぼ不在で、インシデントリスクが最も高い状態だ。
Pioneersは、Exposedと比べてvibe coding(開発者がAIに自然言語で意図を伝えてコードを生成させる開発スタイル。Andrej Karpathyが提唱した概念として知られる)でIaCを生成する割合が高い(86% vs 69%)。ただし、PioneerがExposedと決定的に異なるのは、その生成コードがガバナンスされたパイプラインと自動検証・ポリシー施行の仕組みに通されている点だ。AIを活用する量の多寡ではなく、活用後の検証・統制の有無が明暗を分けている。
AIがパイプラインに流し込むコードの量が増えれば増えるほど、エンジニアが対応すべきインシデントの数も増える。ガバナンス整備がコード生成速度に追いつくまでには、まだ時間がかかりそうだ。
詳細はSurvey Surfaces Rise in IT Incidents Attributable to AI Coding Toolsを参照していただきたい。