DevSecOps 2025.09.24

セキュリティ対策もしっかりと！AI駆動型開発時代における最新トレンド

3行でわかる！本記事のサマリ

開発の民主化とセキュリティ民主化は、AIやノーコードツールの普及により全社員が開発・セキュリティ業務に携わる時代の必須テーマである
AIによるコード生成やクラウド環境の一般化が新たなセキュリティリスクを生じさせており、従来の専門部門依存型体制のみでは十分な対応が困難となっている
Wiz Codeなど自動化ツールの活用によって、開発スピードと高いセキュリティ水準の両立が可能となり、安全なイノベーションが加速する時代が到来している

開発現場におけるAI活用のトレンド
クラウド環境におけるセキュリティリスク
どうすれば、開発の加速を止めずにセキュリティリスクを担保できるのか
Wiz Code: コード開発段階でのセキュリティ埋め込み
セキュリティ民主化と開発民主化の融合: 安全なイノベーションへ

はじめに

近年、「セキュリティの民主化」と「開発の民主化」がIT業界の重要キーワードとなっています。セキュリティの民主化とは、従来セキュリティ専門家だけの仕事だった領域を全社員が担えるようにし、組織全体でセキュリティを高めようとする動きです。一方、開発の民主化とは、AIやノーコードツールを活用し、専門のエンジニアでなくても誰もが簡単にアプリやシステムを開発できるようにする流れを指します。

2025年は、生成AIを活用してシステムの要件定義から設計、テスト、運用・保守までを効率化する革新的な開発手法：AI駆動開発が特に一般的になりつつあります。開発の自由度とスピードが大きく向上する一方で、見落とされがちなのはセキュリティリスクの管理です。本ブログでは、開発の民主化とセキュリティの担保をいかに両立させるべきかについて、解説します。

開発現場におけるAI活用のトレンド

AIアシスタントと会話しながらコードを書かずに開発を進める「Vibe Coding（バイブ・コーディング）」が注目されています。例えば、「こんなアプリを作りたい」とAIに伝えると、AIがコードを生成し、ユーザーは動作を確認しながら「ここを改善して」と自然言語で指示を出す――この繰り返しで短期間にプロトタイプを完成させることができます。その体験は「開発というよりセッションに近い」と表現されるほど対話的で、プログラミング未経験者でもアプリ開発が可能になる画期的な手法です。

Vibe Codingやローコード/ノーコードツールの普及により、ソフトウェア開発はかつてないほど身近で民主化されてきました。GitHub CopilotやCursorなどAIコード生成ツールの登場で、エンジニアはもちろん、エンジニアでない人でもアイデアをすぐ形にできるようになっています。

しかし、その一方で見過ごせない課題も浮上しています。次章では、開発の民主化がもたらすセキュリティ上の懸念について掘り下げます。

クラウド環境におけるセキュリティリスク

AIがコードを生成し、誰もが開発に参加できるようになる時代だからこそ、セキュリティ上の新たな課題が顕在化しています。Vibe CodingをはじめとするAIコーディングには以下のようなリスクが指摘されています。

脅威モデルの考慮不足（危険なコマンドの実行）
現状のAI開発ツールは企業ごとの固有の脅威モデルやコンプライアンス要件を理解できません。そのため、AIにはセキュリティ上重要なチェックポイントが分からず、AI任せで開発を進めると見落としてはいけないリスク要因をスルーしてしまう可能性があります。
脆弱なコードが埋め込まれる
AIが生成するコードは、一見正しく動作しても内部に脆弱性を含む可能性があります。その結果、AIが作ったコードをそのまま使うとセキュリティ上の重大な欠陥を抱え込む恐れがあります。

こうしたセキュリティ上の課題に対処するには、従来型の人手によるチェックだけでは追いつきません。

加えて、こういったコードはどこにデプロイされるでしょうか。昨今、AWS, Azure, GCP等のクラウド環境を利用した開発はどんどん進んでいます。

結果として、コード自体の脆弱性の有無のチェックだけではなく、クラウド上でもどのようにアプリが動いているか、どこにリスクが存在しているかといった観点のセキュリティチェックが必要となっていると考えられます。

どうすれば、開発の加速を止めずにセキュリティリスクを担保できるのか

クラウドとAIの急速な普及により、すべての企業がテクノロジー企業化している現代では、セキュリティの在り方も変革を迫られています。
以下に、その必要性を整理します。

クラウド環境の複雑化
かつて情報セキュリティは専門チーム（情報セキュリティ部門）の専任事項でした。しかし、クラウドの普及でインフラ構築や運用の主体が開発・DevOpsチームに移り、従来の狭義のセキュリティ部門だけではすべてを把握しきれなくなっています。専門チームだけに任せていては、スピードについていけない状況です。
全員が当事者になるモデル
新しいクラウド運用モデルでは、「セキュリティは皆の仕事」となります。民主化されたセキュリティでは、組織の誰もがサイバーセキュリティのステークホルダーとなり、自分の担当範囲でリスク管理を行う意識を持つことが期待されます。例えば、ある機能を開発した開発者自身がその機能に潜む脆弱性の修正まで責任を持つ、といった具合です。
シームレスなセキュリティ埋め込み
Wiz社は「クラウドセキュリティを民主化する」とは「クラウド構築・運用に関わる各担当者の役割にセキュリティをシームレスに組み込むこと」と定義しています。これにより、セキュリティ対応が後回しにされたり、イノベーションの阻害要因になったりしないよう、日常の業務フローの中に自然にセキュリティチェックや対策が組み込まれることが理想です。
開発スピードとの両立
民主化されたセキュリティモデルでは、開発チームとセキュリティチームのコラボレーションが進みます。セキュリティチームは全クラウド環境のリスクを常時可視化・監視し、リスクが見つかれば自動で関連する開発チームに通知・修正提案を行う、といった仕組みが可能になります。これにより、お互いの力を最大化しつつ、クラウド開発の迅速さにも遅れずについていくことができます。

要するに、開発の民主化で誰もがコーディングできるようになったなら、セキュリティも誰もが実践できるようにしなければならないのです。セキュリティ民主化は技術的な変化というより意識と文化の変革でもあります。

Wiz Code: コード開発段階でのセキュリティ埋め込み

開発の民主化が進む今、開発段階（コードの段階）でのセキュリティ対策が極めて重要です。Wizは2024年にWiz Codeという製品をリリースし、アプリケーションのライフサイクル全体を守る取り組みを開始しました。Wiz Codeは、コードをクラウドにデプロイする前の段階からセキュリティチェックを行い、開発者にフィードバックを返すことで「シフトレフト（セキュリティ検査の前倒し）」を実現します。

具体的には、Wiz Codeは以下のような特徴を持ちます。

コードリポジトリのスキャン
GitHubやGitLabと直接連携し、リポジトリ内のコードやIaC（Infrastructure as Code）の脆弱性を検出します。プルリクエスト時に自動でセキュリティチェックが走り、問題があれば指摘されます。
CI/CDパイプライン統合
CI/CDツールに組み込むCLI（コマンドラインツール）を提供し、ビルドやデプロイの途中でセキュリティ検証を実施できます。これにより危険なコードが本番環境に届く前にブロックできます。
IDE拡張
開発者が普段使っているVS CodeなどのIDE向けプラグインを用意し、コーディング時にリアルタイムでセキュリティ上の問題検出・修正提案を行います。例えば、依存ライブラリに既知の脆弱性があれば警告し、安全なバージョンへのアップデートを促します。

このようにWiz Codeを利用することで、「コードからクラウドまで」一貫してセキュリティを適用できます。AIがコードを生成していようとも、Wiz Codeがそのコードを検証し、動的なクラウド環境を監視することで、開発の民主化によるスピードとセキュリティ水準の維持を両立させることが可能になります。

実際、Wiz導入企業の半数以上はセキュリティ部門以外のメンバー（開発や運用チーム）がWizを日常的に活用しており、セキュリティ対応が特定部門の専任作業ではなく組織全体の習慣として定着しつつあります。

セキュリティ民主化と開発民主化の融合: 安全なイノベーションへ

ここまで見てきたように、開発の民主化（誰もが開発できる世の中）とセキュリティの民主化（誰もがセキュリティに責任を持つ世の中）は、対立するどころか表裏一体の関係にあります。両者をうまく融合させることで、組織はかつてないスピードでのイノベーションと高いセキュリティ水準を両立できるでしょう。そのポイントをまとめます。

ツールにより継続的にセキュリティリスクをウォッチ
人手ではカバーしきれない部分はツールが自動でチェックし、問題があれば開発者にフィードバックします。Wizは単に問題を検出するだけでなく、「なぜそれがリスクで、どう直すべきか」まで文脈付きで提示します。このプロセス自体が開発者のセキュリティ教育にもなり、AIに頼った開発で手薄になりがちなセキュリティを補強します。
なにかあったらすぐにアラート
セキュリティの民主化が進むと、セキュリティチェック待ちで開発が滞るといったボトルネックが解消します。開発者自身が即座に修正をかけられるためリリースサイクルは維持されたまま、リスクだけが下がる理想的な状態になります。
複数の担当者で連携して対応可能なソリューションで一元管理
セキュリティ担当者も開発者も同じ管理画面を通じて、セキュリティのリスクを把握することが可能にします。結果として、コミュニケーションも円滑になり、素早くリスクに対処できる体制が構築されます。

おわりに

開発の民主化によって生まれた"誰もが開発者"という世界は、驚異的なスピードで新たなサービスやプロダクトを生み出しています。その一方で、セキュリティの抜け穴が増えないようにするには、セキュリティの民主化で全員が守り手になる世界を実現する必要があります。Wizのようなプラットフォームは、この両者をテクノロジーで支え、「速さ」と「安心」を両立させる土台を提供しています。