Anthropic社は先ごろ、脆弱性の検出と修正案の提示を行うAIシステム「Claude Code Security」を発表しました。投資家がAIによる従来のAppSecツールの代替可能性に疑問を持ち始めたことで市場はすぐに反応し、セキュリティ関連銘柄が下落しました。多くの人の頭には同じ問いが浮かびました。AIがコードを記述してセキュリティを担保できるなら、アプリケーションセキュリティは時代遅れになるのか、という問いです。
セキュリティがコードのスキャンのみを意味するなら、答えはイエスかもしれません。しかし、エンタープライズセキュリティは検出だけできればよいというものではありません。
組織の問いは、AIが脆弱性を発見できるかどうかではありません。それよりもはるかに難しい3つの問題です。
- リリースしようとしているソフトウェアは安全か
- 環境が変化し、依存関係、サードパーティサービス、ツール、インフラが絶えず移り変わる中で、リスク体制は変化したか
- AIやサードパーティのソースによって作成される割合が増えたにもかかわらず、依然として自社が責任を負うコードベースをどのようにガバナンスするか
これらの問いにはプラットフォームとしての答えが必要です。検出はリスクを可視化しますが、次に何をすべきかを決めるのはガバナンスです。
GitLabは、ソフトウェアライフサイクルをエンドツーエンドでガバナンスするために構築されたオーケストレーションレイヤーです。チームがAIを活用した開発スピードに対応するために必要な、ポリシー適用、可視性、監査証跡を実現します。
AIを信頼するにはリスクのガバナンスが必要
AIシステムは脆弱性の特定と修正提案の能力を急速に向上させています。これは重要かつ歓迎すべき進歩ですが、分析は説明責任とは異なります。
AIが独自の裁量で会社のポリシーを適用したり、許容リスクを定義したりすることはできません。エージェントが運用される境界、ポリシー、ガードレールを設定するのは人間です。職務の分離を確立し、監査証跡を確保し、何千ものリポジトリとチーム全体で一貫したコントロールを維持するのも人間の役割です。エージェントへの信頼は自律性だけから生まれるのではなく、人間が設定した明確に定義されたガバナンスから生まれます。
ソフトウェアにおいて、エージェント型AIシステムによる記述・変更がますます増えるエージェント型AIの世界では、ガバナンスの重要性は低下するどころか、むしろ高まります。組織がAIに与える自律性が高まれば高まるほど、ガバナンスはより強固でなければなりません。
ガバナンスは不要な手間ではありません。AIを活用した開発を大規模に信頼できるものにするために必要な基盤です。
LLMはコードを見るが、プラットフォームはコンテキストを見る
大規模言語モデル(LLM)はコードを単体で評価します。一方、エンタープライズのアプリケーションセキュリティプラットフォームはコンテキストを理解します。リスクの判断は次のようなコンテキストに依存するため、この違いは重要です。
- 変更を加えたのは誰か
- そのアプリケーションはビジネスにとってどれほど重要か
- インフラや依存関係とどのように連携しているか
- その脆弱性は本番環境で実際に到達可能なコードに存在するのか、それとも一度も実行されない依存関係に埋もれているのか
- アプリケーションの実行方法、API、その周辺環境を踏まえると、本番環境で実際に悪用可能か
セキュリティの判断はこうしたコンテキストに基づいて行います。コンテキストがなければ、検出はノイズの多いアラートを生み出し、リスクを低減するどころか開発を遅延させます。コンテキストがあれば、組織はトリアージを迅速に行い、リスクを効果的に管理できます。ソフトウェアが変化し続ける中でコンテキストも絶えず変化するため、ガバナンスは一度きりの判断では済みません。
静的スキャンは動的リスクに追いつかない
ソフトウェアのリスクは動的です。依存関係は変わり、環境は変化し、システムはいかなる分析でも完全には予測できない方法で相互作用します。特定時点でのクリーンスキャンでは、リリース時の安全性を保証できません。
エンタープライズセキュリティが依拠するのは継続的な保証です。ソフトウェアのビルド、テスト、デプロイの過程でリスクを評価する、開発ワークフローに直接組み込まれたコントロールが必要です。
検出により洞察が得られます。ガバナンスにより信頼が生まれます。そして、組織の大規模かつ安全なリリースを実現するのが、継続的なガバナンスです。
エージェント型AIの未来をガバナンスする
AIはソフトウェアの作り方を根本から変えつつあります。問われるのはもはや、チームがAIを活用するかどうかではなく、いかに安全にスケールさせるかという点です。
今日のソフトウェアは新規に記述されるのと同じくらい再形成されています。AIが生成したコード、オープンソースライブラリ、何千ものプロジェクトにまたがるサードパーティの依存関係から集められ再構成されているのです。それらすべてのソースにわたってリリースするソフトウェアをガバナンスすることは、アプリケーションセキュリティの中で最も困難かつ重大な部分であり、いかなるデベロッパー向けツールにも対処できない問題です。
インテリジェントなオーケストレーションプラットフォームとして、GitLabはこの問題に対処するために構築されています。GitLab Ultimateは、ソフトウェアの計画、ビルド、リリースが行われるワークフローに、ガバナンス、ポリシー適用、セキュリティスキャン、監査証跡を直接組み込んでいます。これにより、セキュリティチームはAIのスピードに合わせてガバナンスを実現できます。
AIは開発を劇的に加速させるでしょう。そして、AIから最大の恩恵を受けられるのは、最も優秀なアシスタントを持つ組織ではなく、強固なガバナンスを通じて信頼を構築できる組織です。
GitLabが組織によるAI生成のコードのガバナンスと安全なリリースをどのように支援しているかについては、今すぐGitLabにお問い合わせください
