AIとサイバーセキュリティ – CISOが警告するスキル喪失の“害悪”とvibe coding あなたのコードはどこから来るのか。AI？なら完璧なはず？違います。新しい報告書がリスクを暴露し、ベンダーのCISOが長期的な問題を警告します。

サイバーセキュリティは依然として複雑な状況で、新しいクラウド技術は常に新たなバグや脆弱性の扉を開いています。組織は最も弱い部分、しばしば人間がセキュリティの限界であるという古い格言は痛感されます。新技術は日々の行動を変え、誰や何を本当に信頼できるかを試します。しかし今、リスクはより深く浸透し、コアインフラや企業が展開するアプリにまで及んでいます。怖いのは、時に開発者自身でさえこれらの弱点を特定できず、修正も困難なことです。\n\nこの問題は特に最高情報セキュリティ責任者（CISO）とそのチームに重くのしかかります。原因は人工知能、特にAI生成コードの急増とvibe codingの台頭です。vibe codingとはAIの助けでコードを迅速に生成する手法です。クラウドとコードセキュリティ専門のAikidoによる最新報告書「State of AI in Security and Development」は、この脅威の拡大を明らかにしています。AI採用の爆発的増加に伴い、速度と安全性の綱引きが鮮明に描かれています。多くのチームが「今すぐリリース、後でパッチ」という考えで製品を急ぎ、市場に出すため攻撃対象が広がっています。\n\nこの調査は欧米の450人の専門家（開発者、セキュリティリーダー、アプリケーションセキュリティエンジニア）へのインタビューに基づき、69%の組織がAI生成コードに関連する脆弱性を発見し、20%が深刻なセキュリティインシデントを報告しています。過去1年で27%の組織が大きな被害を受けていることから、未検出の侵害がどれほどあるか疑問が残ります。\n\nリスクは非常に高いです。最近の報道では、公共向けサービスや大手ブランドが脆弱なシステムのために侵害されており、AmazonやMicrosoftのような大企業も経験しています。自動化は速度を上げますが、見つけにくい欠陥を生み出すこともあります。責任の所在も曖昧です。AI生成コードが被害をもたらした場合、ツールを使ったコーダーか、欠陥のあるシステムを作ったAIベンダーか、脆弱性を見逃したセキュリティチームか、誰が責任を負うのか。\n\n法的には責任は上級管理者にありますが、報告書は75%のCISOが最近深刻なインシデント対応を経験していると示し、重大な侵害を認める組織数より多いことを示しています。それでも多くの回答者は真の責任者が誰か分かっていません。半数以上がセキュリティチームの見逃しを責め、約半数がリスクのあるコードを生成した開発者を非難し、AIベンダーを責める声は少数です。この責任のなすりつけ合いはvibe codingがもたらすガバナンスの課題を浮き彫りにし、責任追及が困難な鏡の迷宮を作り出しています。\n\n信頼も大きな問題です。大規模言語モデルやチャットボットが幻覚を起こし、誤情報を広め、著作権侵害をすることがあると知りつつ、私たちは本当にこの規模でAIツールをコードに信頼できるのでしょうか？vibe codingも同様のリスクを抱えています。さらに、これらの問題に対抗するための多数のセキュリティツールの氾濫が逆に問題を増やしています。報告書は、多数のベンダーツールを使うチームは統合の問題（重複アラートやデータ不整合）でインシデントが増え、修復に時間がかかると指摘しています。一方、統合されたアプリケーションとクラウドセキュリティのアプローチはインシデント率が低いです。\n\n人間の視点では、セキュリティエンジニアの重要性は変わりません。CISOの4分の1は、トップのセキュリティ専門家を1人失うだけで深刻な侵害や対応遅延、製品開発の遅れが起きると警告しています。AIの話題があっても人間の要素は依然として非常に重要です。\n\nAikidoのCISOマイク・ウィルクスは独占インタビューで、この状況を「ひどいコードを迅速に出荷する能力の民主化」と表現しました。自動化やインフラストラクチャー・アズ・コードはコード品質を改善せず、欠陥のあるソフトウェアのリリースを加速しただけだと指摘しています。今やvibe codingやローコード/ノーコードツールで誰でも大量のリスクあるコードを生み出せるようになり、AIが凡庸なアートや音楽を民主化したのと同様です。この「凡庸さの民主化」は将来にわたる実質的なリスクをもたらします。