7月1日、Craig Haleが「GitLab study reveals AI code generation is outpacing controls」と題した記事を公開した。この記事では、AIによるコード生成の速度がガバナンス整備を上回り、組織の統制が追いつかない実態について詳しく紹介されている。
「AIで速くなった」のに、なぜ納品は速くならないのか
GitLabが1,500人超の開発者を対象に実施した調査で、一見矛盾した結果が浮かび上がった。
91%の組織が2つ以上のAIコーディングツールを実運用している。開発者の78%は「コードを書く速度が上がった」、73%は「コード品質が向上した」と回答している。ところが、79%は「ソフトウェアのデリバリー速度は開発者の生産性向上に追いついていない」と感じている。
GitLabはこれを「AIパラドックス」と呼ぶ。AIが生み出すはずだった時間は、AIが生成したコードのレビュー・検証・ガバナンス対応に費やされている。85%が「最大のボトルネックはコード作成ではなく、コードレビューと検証だ」と答えており、問題がなくなったのではなく、上流から下流へ移動しただけだという構図が見えてくる。
「これはAIが書いたのか、人間が書いたのか」が判別できない
より深刻なのはトレーサビリティ(追跡可能性)の問題だ。
43%の開発者がAI生成コードと人間が書いたコードを区別できないと回答している。インシデント発生時に「AIコードが関与していたかどうかを特定できない」と答えた開発者も**34%**に上る。
サプライチェーン攻撃や障害対応の現場で、コードの出自が追えないことは直接的なリスクになる。近年のソフトウェアサプライチェーンをめぐる攻撃事例(XZ UtilsやSolarWindsなど)が示すように、コードの来歴を追跡できない状態はインシデント対応コストを跳ね上げる。GitLabのChief Product and Marketing OfficerであるManav Khuranaは次のようにコメントしている。
「過去数か月のサプライチェーン攻撃、信頼性の問題、AIのトレーサビリティや出所に関する規制当局の締め付けが明確にしているのは、制御なき速度は優位性ではなく負債だということだ。」
規制面でも圧力は高まっている。EUサイバーレジリエンス法(Cyber Resilience Act)は、ソフトウェアコンポーネントの出自や脆弱性管理に関する義務を製品メーカーに課すものであり、AI生成コードの占める割合が増えるほど、トレーサビリティの欠如は法的リスクにも直結しうる。長期的なコードの保守性についても、73%が懸念を抱いている。
ガバナンスが後追いになっている現実
「ビバコーディング(vibe coding)」——LLMに自然言語で指示してコードを生成させる手法——に代表されるAIコーディングの普及は速かった。開発者がプロンプトを入力するだけでコードの骨格が出来上がる体験は生産性の感覚を劇的に変えたが、その裏側でガバナンスの整備は大幅に遅れている。
- 92%の組織がAIコーディングに関して何らかのガバナンス上の課題を経験している
- **80%**がガバナンスポリシーの整備より先にAIコーディングツールを導入したと認めている
この数字が示すのは、多くの組織でAIツールの採用判断が現場主導・スピード優先で進み、セキュリティポリシーや品質基準の更新が後回しになったという実態だ。コードレビューのチェックリストがAI生成コードを前提としていない、ライセンス汚染リスクの確認フローが整備されていない、といった課題が現場に積み上がっている。
一方で、開発者側もこの問題を認識している。91%が今後1年でガバナンスへの投資を計画しており、98%がそのための予算を確保している。認識と行動の乖離はすでに解消に向かいつつあると読むこともできるが、整備が間に合うかどうかは組織の実行速度にかかっている。
開発者のAIへの信頼は、実は揺らいでいる
Stack Overflowの2025年開発者調査でも、AIへの不信感は数字として表れている。AIをある程度不信任する開発者は**46%に達し、信任する33%**を上回っている。プライバシー、価格、品質が主な理由として挙げられている。
GitLabのレポートが示す方向性は明確だ。次のフェーズはコードを速く生成することではなく、トレーサビリティ・アカウンタビリティ・ガバナンスを基盤に組み込むことだ。Khuranaは「信頼されるソフトウェアを速く届けられる組織は、アカウンタビリティの基盤をプラットフォームに最初から組み込んでいる。後付けではなく」と述べている。
AIコーディングの「速さ」は現場に定着した。問われているのはいまや、そのコードをどこまで説明可能な状態に保てるか——言い換えれば、速さと統制を両立できるかどうかだ。
詳細はGitLab study reveals AI code generation is outpacing controlsを参照していただきたい。