AIが変えるアプリケーションセキュリティの現在地

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [AIが変えるアプリケーションセキュリティの現在地](https://japan.zdnet.com/article/35243638/)【ZDNET JAPAN】(2026年02月12日) --- > [!NOTE] この記事の要約（箇条書き） - 生成AIは、ソフトウェア開発におけるセキュリティの前提を根底から変え、自律的な「エージェント」として攻撃と防御の両方に利用され始めている。 - AIの活用により、脆弱性の発見から悪用までの時間が劇的に短縮され、攻撃が高速・大量・低コストで実行される時代に突入している。 - XBOW社の事例では、自律型AI侵入テストツールが90日間で1060件以上の脆弱性を報告し、人間の研究者を上回る成果を出している。 - JPモルガン・チェースのAI脅威モデリング「Auspex」は、脅威モデリングプロセスを数週間から数分に短縮し、分析の質を維持・向上させている。 - アプリケーションセキュリティは、人手によるレビューからAIを開発ワークフローに組み込む「セキュリティ・バイ・デザイン」への移行が求められている。 - アプリケーションセキュリティチームは、検索可能なセキュリティインテリジェンスの構築、自社環境に最適化したモデルの活用、開発ツールチェーンへのAI統合、大規模な脅威モデリングへの適用、SASTのAIによる高度化といったAI活用戦略を取るべきである。 - AI時代において、セキュリティチームはワークフローの再設計、人とAIの役割分担、スキルの再定義が不可欠であり、これに適応した組織は高いセキュリティ水準、低い運用コスト、速いリリースサイクルを同時に実現できる。 > [!NOTE] 要約おわり --- - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243638%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35243638%2F&hashtags=ZDNET) - - 印刷する - - メールで送る - テキスト - HTML - 電子書籍 - PDF - - ダウンロード - テキスト - 電子書籍 - PDF - - クリップした記事をMyページから読むことができます　生成AIの進化は、ソフトウェア開発におけるセキュリティの前提を根底から変えつつあります。AIはもはや支援ツールではなく、自律的に考え、判断し、連続した行動を実行する「エージェント」として攻撃にも防御にも使われ始めています。脆弱性の発見から悪用までの時間は劇的に短縮され、攻撃は高速・大量・低コストで実行される時代に入っているのです。本連載では、AIエージェントによって何が起きているのかを整理した上で、人間がボトルネックにならないセキュリティの作り方を、実例とともに考えます。 [前回](https://japan.zdnet.com/article/35243635/) は、AIエージェントの登場によって攻撃が自律化・高速化し、防御側が人手に依存したままでは立ち行かなくなっている現状を見てきました。では、防御側はこの変化にどう向き合うべきなのでしょうか。第2回となる本稿では、AIがもたらす「攻撃の自動化」に対して、セキュリティの現場がどのように対応し始めているのかを具体例とともに見ていきます。　セキュリティの脆弱（ぜいじゃく）性を迅速かつ大規模に発見することは、かつてないほど容易になっています。オープンソースソフトウェアの世界でよく知られるEric S. Raymond（エリック・S・レイモンド）氏の「 [リーナスの法則](https://en.wikipedia.org/wiki/Linus%27s_law) 」には、「十分な数の目があれば、どんなバグも見つかる」という考え方があります。多くの人がコードを見れば、いずれ誰かが問題に気付くという発想です。　AIはこの原則を一気に加速させ、脆弱性を発見するスピードと精度を飛躍的に高めました。問題は、その脆弱性を最初に見つけるのが、自社のセキュリティチームなのか、それとも攻撃者なのか、という点にあります。 ## AIによる攻撃シミュレーションは「検討段階」を終えた　AIによる攻撃シミュレーションは、もはや将来の構想ではなく、今すぐ取り組むべき現実的な対策となっています。その象徴的な例が、第1回で紹介したXBOWの取り組みです。同社は [HackerOneの米国ランキングでトップに立ち](https://xbow.com/blog/top-1-how-xbow-did-it) 、自律型AIによる侵入テストツールを用いて、わずか90日間で1060件以上の脆弱性を報告しました。これは、数千人規模の人間の研究者が生み出す成果を上回るものです。　しかも、単なるノイズではありません。XBOWが発見した130件の重大な脆弱性はすでに修正され、さらに300件以上が現在トリアージされ、対応が進められています。　特筆すべきは、そのスケール効率です。このシステムは休むことなく稼働し、同時に何千ものターゲットを検査できます。人間の研究者が価値の高い対象を選別する一方で、AIは攻撃対象全体を網羅的かつ体系的にテストします。 [HackerOneの調査](https://www.hackerone.com/press-release/hackerone-report-finds-210-spike-ai-vulnerability-reports-amid-rise-ai-autonomy) によると、2025年だけでも自律型エージェントによって560件以上の有効なレポートが提出されたといいます。　かつては熟練したセキュリティ研究者でなければ扱えなかった脆弱性探索が、いまや機械的なスケールとスピードで実行できる時代になりました。 ## AIのスピードで行う脅威モデリング　JPモルガン・チェースが公開したAI脅威モデリング「 [Auspex](https://arxiv.org/pdf/2503.09586) 」の事例は、エンタープライズ向けセキュリティがすでにAI前提のフェーズに入っていることを示しています。　Auspexは、脅威モデリングのノウハウを専門的なプロンプトとして組み込み、システムの分解、脅威の特定、対策の検討をAIが支援する仕組みです。デベロッパーは、専門家でなくともセルフサービスで脅威分析を行えるようになります。　このシステムでは、専門家の知見、業界のベストプラクティス、JPモルガン・チェースが蓄積してきた組織的知識が「トレードクラフトプロンプティング」と呼ばれる手法でAIに組み込まれています。アーキテクチャー図やテキスト情報を入力すると、AIが複数のプロンプトを連鎖させながら、想定される攻撃シナリオ、脅威の分類、対策案を含む脅威マトリクスを生成します。　従来、脅威モデリングには数週間から数か月を要することも珍しくありませんでした。しかし、AI主導の手法では、このプロセスを数分に短縮しつつ、分析の質を維持・向上させることが可能になります。 ## 人間が関与し続けるセキュリティ体制へ　XBOWやAuspexの事例が示すのは、アプリケーションセキュリティの在り方そのものが変わりつつあるという事実です。従来のモデルでは、開発のたびに人手によるレビューが必要となり、リソース不足やボトルネックが常態化していました。　コードレビューの滞留、セキュリティ負債の蓄積、そして本番環境への脆弱性の流入。GitLabの調査「 [インテリジェントソフトウェア開発の時代](https://about.gitlab.com/developer-survey/) 」によれば、非効率なプロセスによって、開発チームは週に平均7時間を失っているとされています。　AIはこの構造を変えます。人間が繰り返し作業に追われるのではなく、AIを開発ワークフローに組み込み、セキュリティが「最初から組み込まれた状態」を実現できるようになります。 ## 現代のアプリケーションセキュリティチームが取るべきAI活用戦略　以下は、アプリケーションセキュリティチームでのAI活用において実際に効果が確認されているアプローチです。 - 検索可能なセキュリティインテリジェンスの構築：全ての脆弱性情報やインシデントを構造化し、セマンティック検索可能な形で蓄積します。これにより、AIは過去の事例を参照しながら、類似する問題をコードベース全体から即座に発見できます。 - 自社環境に最適化したモデルの活用：汎用（はんよう）ツールに依存するのではなく、検索拡張生成（RAG）を用いて、自社固有のアーキテクチャーやアンチパターンを大規模言語モデル（LLM）に組み込みます。PMDやCheckstyleなどの静的解析ツールと組み合わせることで、検出精度の向上と誤検知の削減が可能になります。 - AIを開発ツールチェーンに統合する：指摘が数日後に返ってくる従来型のセキュリティレビューでは、開発の流れを阻害します。AIを統合開発環境（IDE）や継続的インテグレーション／継続的デリバリー（CI/CD）、プルリクエストの段階に組み込むことで、開発者はその場でフィードバックを受け取れます。め - 大規模な脅威モデリングへの適用：JPモルガン・チェースの事例のように、全ての設計変更やAPI追加に対してAI主導の脅威モデリングを実施します。完璧さよりも網羅性を重視し、100％のシステムに一定水準の分析を適用することが重要です。 - SASTをAIで高度化する：従来のSASTは誤検知が多く、運用負荷の原因となっていました。AIはコードの文脈やデータフローを理解し、実際に悪用可能な脆弱性を高精度で抽出できます。 ## AI時代におけるセキュリティの優先順位　セキュリティチームは今、大きな転換点に立っています。人員を増やすだけでは、加速する開発スピードには追いつけません。AIは、ソフトウェアが生み出されるスピードと同じ速度で防御を行うことを可能にします。そのためには、ワークフローの再設計、人とAIの役割分担、必要なスキルの再定義が不可欠です。　この変化に早く適応した組織ほど、高いセキュリティ水準、低い運用コスト、そして速いリリースサイクルを同時に実現できるようになるでしょう。 **Josh Lemos（ジョシュ・レモス）** GitLab　最高情報セキュリティ責任者（CISO）情報セキュリティチームのリーダーとして20年の経験を持つ。DevSecOps プラットフォームを提供するGitLabの最高情報セキュリティ責任者（CISO）として、DevSecOpsプラットフォームの強化と、ユーザーに対する最高水準のセキュリティ確保に尽力する。