ソフトウェア開発のスピードと複雑さが増す中で、AI(人工知能)の導入はもはや不可避な流れとなっています。では、それに伴ってセキュリティはどう変化していくのでしょうか?
本記事では、GitLabのCISO(最高情報セキュリティ責任者)であるジョシュ・レモス氏が語る、AI時代のDevSecOpsとセキュリティの最前線を深掘りします
DevSecOpsの進化と開発者の意識変化
レモス氏は、セキュリティが「あとから付け足すもの」ではなく、開発・運用のすべてに組み込まれるべき要素だと強調します。GitLabが提唱するDevSecOpsの考え方では、セキュリティはパフォーマンスや信頼性と並ぶ、開発の基本原則として扱われています。実際、GitLabの調査では、開発者の多くがセキュリティを優先順位の高い要素として位置づけているとの結果が出ています
AIがもたらすメリットとリスク
GitLabが提供する「GitLab Duo」では、AIを用いて脆弱性の自動検出、コードレビュー支援、セキュリティインシデント対応などが行えます。特に開発経験の浅いエンジニアにとって、AIは学習支援ツールとしても機能し、生産性とセキュリティの両立を可能にしています
一方で、AIの利用には慎重さも求められます。AIは同じ入力に対しても異なる出力を返す「非決定論的」な存在であり、その振る舞いの予測が難しいという課題があります。また、AIモデル自体が攻撃対象となる可能性があり、AIを組み込むことで新たな脆弱性を生むリスクもあるのです
経験とAIのギャップ──若手とベテランのAI活用の差
GitLabの現場では、若手開発者ほどAIを積極的に活用する傾向がある一方、ベテラン開発者は既存の手法に信頼を置き、AI導入に慎重になるケースが見受けられます。
ただしレモス氏は、どのレベルの開発者であっても、適切なツールとルールがあればAIは効果的に活用できると語ります
「ガードレール」が安全なAI活用を支える
安全なAI活用には、「ガードレール」と呼ばれるポリシーや制御ルールの導入が不可欠です。これにより、AIが出力するコードや提案内容に一貫性と安全性を持たせることができます。特に大規模なプロジェクトでは、こうした仕組みが品質維持とセキュリティの保証に直結します。
AIエージェントの権限管理──人間と同様の設計が必要に
将来的にはAIがコードを書き、修正し、テストまで担う場面も増えると予想されます。しかしその際、AIエージェントにも明確な権限設計が必要です。例えば、特定のファイルへのアクセス制限やログ記録といった仕組みは、人間のエンジニアと同じくAIにも適用されるべきです。権限設定の甘さは、システム全体の脆弱性に直結します。
GitLabの内部実践──セキュリティと品質を両立する文化
GitLabは、自社の開発工程においてもAIを積極的に活用しつつ、セキュリティチェックを開発ライフサイクル全体に組み込むことで品質の維持に努めています。現時点でAIによる品質低下は観測されておらず、今後も監視と改善を続けていく方針です。
人とAIが共存する開発環境へ
レモス氏のインタビューから見えてくるのは、AIが単なるツールではなく「開発チームの一員」になる未来像です。人とAIが協調し、安全かつ迅速にプロダクトを進化させていく環境づくりが、これからのエンジニアリングに求められているのです。
最後に──セキュリティは全員の責任
セキュリティの責任はCISOだけでなく、開発者、運用者、さらにはAIエージェントにまで及びます。GitLabのアプローチは、その現実に即したものであり、「セキュリティ・ファースト」の姿勢こそが、AI時代の開発現場に求められているのです。
