組織の AI 準備状況に関する Snyk レポート
テクノロジーチームメンバーの調査によれば、多くの人が組織で AI コーディングツールを使用する準備ができていると感じる一方で、ツールがセキュリティリスクをもたらす可能性について懸念しています。多くの組織が、概念実証の実行や開発者向けトレーニングの提供などの基本的な準備ステップを導入できていません。日常業務で AI コーディングツールや AI 生成コードに直接関わっている回答者は、AI のコード品質とリスクについてより懸念しています。
はじめに
Snyk の AI コードのセキュリティに関するレポート 2023 年版によれば、コード作成者の 96% がワークフローの中で生成 AI ツールを使用しています。ソフトウェアを構築する組織は、競争力を維持し、優秀な人材を引きつけて雇用し続けるために、これらのツールの導入が必須であることを理解しています。ソフトウェア開発のライフサイクルに AI コーディングツールを持ち込むと、さまざまなセキュリティと運用上の課題が発生します。テクノロジーリーダーとその組織は、AI コーディングツールの新たな時代に対してどの程度準備ができているのでしょうか。また、このソフトウェア作成の重要な変化に対してどのように準備しているのでしょうか。
Snyk では 400 人以上の科学技術者に、組織の AI 準備状況を測定し、AI コーディングツールに対する認識を確認するように設計した、さまざまな質問をしました。この調査では、テクノロジー担当の経営幹部、アプリケーションセキュリティチーム、デベロッパー/エンジニアの 3 つのグループを対象にしています。これらのグループは、AI コーディングツールと AI コードのセキュリティ、AI コードセキュリティポリシーの有効性、組織の AI コーディングへの準備状況についてそれぞれ異なる意見を持っていることが分かりました。このレポートでは、最も注目すべき調査結果について概説します。
パート 1
組織では、特に経営陣で AI への準備状況について自信がある
多くの組織では概ね、AI 導入の準備ができていることに自信を持っています。AI への準備について直接的または間接的に尋ねる質問への回答で、大半の組織が導入前の標準的なユースケース分析や製品テストを省略してまで AI 導入へと急速に動いていることが示されています。経営幹部の回答は、組織で AI を導入するための準備と、AI ツールの安全性について、より高い自信を示しています。
経営幹部は組織の AI コーディングツールへの準備について自信がより高い
あなたの組織は AI コーディングツールに対してどの程度準備ができていますか?
CTO/CISO
AppSec/Sec
開発者/エンジニア
50%
40%
30%
20%
10%
0%
0%
10%
20%
30%
40%
50%
極めて準備できている
とても準備できている
準備できている
だいたい準備できている
まったく準備できていない
AI への素晴らしい準備ができている?CISO と CTO の自信は開発者の 2 倍
3 つの役職タイプ全体で、回答者の大半が組織は AI コーディングツールの導入に対して「極めて準備できている」または「とても準備できている」と回答しています。組織が準備できていないと回答したのは 4% 未満でした。ただし、経営幹部の回答は他の回答者グループより自信が高く、自社の組織は最適な状態にあり、AI コーディングツールのデプロイメントと導入の準備ができていると感じています。このグループの 40.3% が組織は「極めて準備できている」と評価しているのに対して、アプリケーションセキュリティ (AppSec) チームメンバーでは 26%、開発者では 22.4% に留まります。CISO と CTO の間には有意義な差異は認められません。CISO がセキュリティとリスクに責任を負っていることを考えると、これは意外に感じられます。この原因として、迅速に AI コーディングツールを投入し、ソフトウェア開発プロセスをスピードアップするというテクノロジーリーダーシップに対する厳しいプレッシャーが考えられます。他のグループの躊躇は、セキュリティ、トレーニングに、コード品質、その他の実装レベルでの詳細に関する具体的な準備状況の課題に関する現場レベルの懸念を表していると思われます。
CTO と CISO は ASAP AI コーディングツールの導入をより強力に推奨
経営幹部の回答者の 32.5% が、AI コーディングツールの迅速な導入が「不可欠」だと感じています。つまり、AppSec の回答者と比較して、導入の緊急性を感じる割合がほぼ 2 倍となっています。開発者は AppSec よりは前向きですが、経営幹部ほどの熱意はありません。この強い思いは、取締役会、CEO、CTO からより迅速に AI を活用するように厳しく要求されていることを反映している可能性があります。
AI コーディングツールを可能な限り速く導入することはあなたの組織にとってどのくらい重要ですか?
CTO/CISO
AppSec/Sec
開発者/エンジニア
40%
30%
20%
10%
0%
0%
10%
20%
30%
40%
極めて重要である
回答者の大半は AI コーディングツールのセキュリティポリシーは適切であると考えている
3 つの回答グループすべてにおいて、経営幹部と開発者の 2/3 以上を含む、大半の回答者が、自社の AI コーディングツールのポリシーは適切であると回答しています。ポリシーが厳しすぎるという回答の割合は非常に小さいです。ところが、それよりかなり多くの割合のセキュリティ担当者が、ポリシーは不十分だと回答しており、AppSec とセキュリティ分野の回答者は組織における AI コードセキュリティの実践にまだリスクを感じていることを示しています。
あなたの組織の AI コーディングツールに対するセキュリティポリシーをどう評価しますか
CTO/CISO
AppSec/Sec
開発者/エンジニア
80%
60%
40%
20%
0%
0%
20%
40%
60%
80%
不十分
適切
過剰
63.3% がAI 生成コードのセキュリティを高く評価
回答者の約 2/3 が、AI 生成コードのセキュリティを「素晴らしい」または「良い」と評価しています。「悪い」と評価したのは 5.9% にすぎません。回答サンプル全体で AI 生成コードに対する評価は肯定的なもので、AI コーディングツールの使用と導入を管理するポリシーに対する肯定的な態度を反映しています。
AI 生成コードのセキュリティをどのように評価しますか?
悪い
5.9%
OK
30.8%
良好
44.3%
優れている
19%
パート 2
組織には AI コーディングのセキュリティに関する懸念があるが、適切な準備をしていない
組織の準備状況、セキュリティポリシー、AI コードの品質、リスクについて強い肯定的な回答が示されているにもかかわらず、多くの回答者は AI コーディングツール導入の最大の障壁はセキュリティであると回答しています。このある意味矛盾した意見を持ちながら、同時に、概念実証の実施や AI コーディングツールについての開発者のトレーニングなど、リスクを最小化して組織を準備するための基本的なステップを実行できていません。
セキュリティに関する懸念が AI コーディングツールの最大の障壁
3 タイプのすべての回答者が、組織での AI コーディングツール導入の最大の懸念はセキュリティに関する心配であることに同意しており、すべてのタイプの回答者全体の約 58% に上ります。反対に、経営幹部による承認がないことが障壁であると考えている回答者は半数を下回ります。この調査結果は、AppSec 担当者の一般的な視点と一致しており、開発者ともある程度一致しています。それでもなお、回答者の大半が示した AI コーディングツールおよびその準備状況についての一般的に肯定的な意見とは矛盾しています。
AI コーディングツールの導入でどのような障壁に直面しましたか?
CTO/CISO
AppSec/Sec
開発者/エンジニア
60%
40%
20%
0%
0%
20%
40%
60%
経営幹部の同意がない
セキュリティの懸念
開発者による低い導入率
準備とトレーニングの不足
AI ツールの概念実証を実施した組織は 20% 未満
組織に新しい技術やツールを導入する際の標準的なプロセスでは、機能とコストを分析してから、小規模なサブセクションのチームで「概念実証」の演習を実施します。Pinterest のプラットフォームエンジニアリングチームは、こちらで説明しているような方法で、AI コーディングツールの導入に対処しました。当社の調査では、AI コーディングツール導入の準備ステップとして概念実証を実施した組織は 20% 未満であることが分かりました。すべての準備ステップの中で、概念実証の実施率は圧倒的に低くなっています。組織が概念実証を実施する確率は、他の手法の約 1/3 となっています。
多くの組織が概念実証を無駄なものと捉えている可能性があります。さらに、この結果は、AppSec、CTO/CISO、開発者/エンジニアの回答者に均等に当てはまります。大半の回答者が、AI コーディングツールの準備のためにセキュリティツールとセキュリティチェックを追加したことを示しているのに対し、1/3 を超える組織がこのような予防措置を取っていません。AI により発生する新しい課題に対処するのに既存のソフトウェア開発のプラクティスで十分に安全であると感じているのか、または AI コーディングツールにより必ずしもソフトウェア開発のライフサイクルにリスクが追加されることはないと考えていることを示しています。
AI コーディングツールの導入前に組織でどのような準備ステップを実施しましたか?
CTO/CISO
AppSec/Sec
開発者/エンジニア
80%
60%
40%
20%
0%
0%
20%
40%
60%
80%
概念実証
セキュリティレビュー
AI ツールのトレーニング
AI ポリシーと手順の作成
追加のセキュリティチェック、ツール、コードレビュー
上記いずれもなし
開発者の大半に AI コーディングツールのトレーニングを実施した組織は 44.8% のみ
相当のセキュリティリスクを生じさせる可能性がある新規テクノロジーを導入する際には、適切なトレーニングが不可欠です。ところが、開発者の大半に AI コーディングツールのトレーニングを提供した組織は、全回答者の半分をはるかに下回ります。これは、ツールが簡単に使用できることや、多くのツールにそのワークフローの一部としてセキュリティスキャンが実際に含まれていることが影響している可能性があります。とはいえ、セキュリティに関するエラーは一般的で広く文書化されているにもかかわらず、コーディングツールには、そのようなエラーをツールが起こした場合にそれをユーザーが見つける方法に関するトレーニングは用意されていません。
AI コーディングツールのトレーニングを受けた開発者の割合
0~25%
20.4%
26~50%
34.7%
51~75%
30.8%
76~100%
14%
パート 3
コードにより近い場所で仕事をする人ほど、セキュリティの問題についての懸念が大きい
AppSec チームは、AI のセキュリティリスクと、それらのリスクに対する組織の対応方法について、より否定的な意見を持つ傾向があります。これには、AI 生成コードのセキュリティに対する低い評価、AI ツールに対して認識するリスクの高さ、組織の AI セキュリティポリシーが十分でないという否定的な考えが含まれます。
生成 AI コードのセキュリティを「悪い」と評価する割合は AppSec チームでは 3 倍
回答全体に占める割合は低いものの、AppSec とセキュリティの担当者は、経営幹部の回答者の 3 倍、開発者よりはさらに高く、AI 生成のコードの品質は「悪い」と述べています。 回答におけるこのような差異は、コードの修正やセキュリティ強化を担当する人達は開発者よりも AI ツールのエラーの警告を頻繁に受けていることを示している可能性があります。開発者は脆弱性やコードのエラーに気が付かない可能性があり、経営幹部にいたってはコードに触れることはほぼありません。その一方で、CTO と CISO は日々 AI 生成コードで作業する開発者と比較して、非常に高い割合で、生成されたコードの品質は「素晴らしい」と信じています。これは、開発者は AI 生成コードの実際の品質に関してより現実的で、AI により作成されたコードで一般的な欠陥や問題に遭遇する機会が多いことを、Snyk 独自の調査結果および学術的研究が示しています。
このような調査結果から、いくつかの疑問が生じます。まず、組織は AI コーディングツールがもたらすリスクを全般的に把握しているのでしょうか。すべての役割の回答者全体で、平均的に AI のコード品質は高く評価されています。これは、AI 生成コードにより定常的にセキュリティリスクがもたらされ、追加のコードレビューと対策が必要になるという複数の学術研究の報告結果と相反しています。(AI 生成コードのライブハック攻撃についてはこちらの Snyk ウェビナーをご覧ください)。次に、CTO と CISO が AI 生成コードの品質を過信しているのであれば、これは与えられている情報が不完全なためなのか、あるいはこれらのツールを使って仕事をする人達と直接触れ合う機会が少ないためでしょうか。また、なぜ開発者と考えが一致していないのでしょうか。
AI 生成コードのセキュリティをどのように評価しますか?
CTO/CISO
AppSec/Sec
開発者/エンジニア
30%
20%
10%
0%
0%
10%
20%
30%
優れている
AI コーディングツールのセキュリティリスクを感じる経営幹部は 2 倍から 5 倍少ない
回答者は概ね AI コーディングツールにより大きなリスクが生じることはなかったという点に同意していますが、AI にリスクはまったく存在しないと回答した人達には大きな差異が見られます。Snyk の調査によれば、経営幹部の 19.4% が AI コーディングツールは「まったくリスクがない」と回答しているのに対し、これに同意する AppSec チームメンバーは 4.1% にすぎません。開発者の考えも AppSec に近く、開発者/エンジニアの 8.8% が AI コーディングツールのリスクは最小限であると回答しています。反対に、AppSec 担当者の 38.3% が AI コーディングツールは「とてもリスクが高い」またはそれより悪いとの回答をしているのに対し、それに同意する経営幹部は 29.8% にすぎません。この調査結果の解釈の 1 つとして、欠陥のあるコードや脆弱性への日々の対策により近い立場にある AppSec チームは、日々のセキュリティやコーディングの作業からは離れた立場にある経営幹部よりも、AI ツールから生じるセキュリティの問題により多く接しているということが考えられます。
AI コーディングツールを使用することによるあなたの組織のセキュリティリスクをどう評価しますか?
CTO/CISO
AppSec/Sec
開発者/エンジニア
20%
15%
10%
5%
0%
0%
5%
10%
15%
20%
リスクはまったくない
AI セキュリティポリシーが不十分だと回答する AppSec 担当者は 3 倍
AppSec 担当者は AI コーディングツールに対する自社のセキュリティポリシーに疑問を感じています。AppSec の役割の回答者が AI コーディングツールのポリシーは「不十分」であると回答した割合は、同様に回答した CTO および CISO と比較してほぼ 3 倍に上ります。それと比較して、開発者およびエンジニアの意見は中間的で、AppSec メンバーの 30.1% に対して、組織の AI ポリシーが不十分であると回答したのは 19% のみです。つまり、テクノロジー組織内でセキュリティプロセスから遠くにいる人ほど、AI セキュリティポリシーを承認する可能性が低くなっています。これは、AppSec チームがより多くのリスクを認識していることを示している可能性があります。また、AppSec チームはアプリケーションセキュリティの要件に沿った形で論理的に AI セキュリティポリシーを策定する必要性を感じている可能性もあります。経営幹部の回答者は、これらのポリシーは過剰であると考える割合が高くなっています。このような考え方は、この調査の他の質問でも表れているように、AI コーディングツールの導入を加速したいという経営幹部の強い意志を反映している可能性があります。
あなたの組織の AI コーディングツールに対するセキュリティポリシーをどう評価しますか
CTO/CISO
AppSec/Sec
開発者/エンジニア
80%
60%
40%
20%
0%
0%
20%
40%
60%
80%
不十分
適切
過剰
結論
組織は AI への準備状況について矛盾を抱えており、AI への対応と準備に向けた基本的なステップを実行できていない
準備完了なのか、そうでないのか。回答者は概ね、組織における AI コーディングツールへの準備状況について肯定的な態度を示しています。一般的に、自分たちのセキュリティポリシーは十分であり、AI 生成コードは安全であると考えています。大部分は、AI 導入の準備ができていると感じています。ただし、AI コーディングツールのセキュリティについては葛藤があります。すべての役割において、セキュリティについての恐れが、AI コーディングツール導入の最大の障壁であると見なされています。準備のための現実的なプロセスについて言えば、新しい技術の導入の基礎となる基本的なステップである概念実証を実施したと回答した回答者は 20% 未満です。さらに、開発者の大半が AI コーディングツールのトレーニングを受講済みだと回答した回答者は半分以下です。こうした矛盾は、計画と戦略の欠如に加えて、AI 導入に関する体制の欠如を示している可能性があります。
さらに詳しく見てみると、調査回答者の、コード品質、ツールの安全性、全般的な組織の準備状況に対する認識は、役割ごとに共通する相違を示しています。経営幹部は、コードやセキュリティのプロセスとポリシーにより近い場所で働く回答者に比べて、AI コーディングツールと準備状況に関してより肯定的な考えを持っています。特に、セキュリティチームのメンバーは AI コーディングツールのセキュリティについて暗い意見を持っており、この影響力の大きいグループが AI コーディングから生じるより多くの問題にさらされ、それ相応の反応を示していることを暗示しています。
上で述べたような矛盾は、AI コーディングツールの導入に関する計画やまとまった戦略が不十分であること、さらに、必要な事前条件を特定して満たすための体制が欠落していることを示しており、原因として、組織全体で認知度が一貫していないことが考えられます。このようなことが起こる理由は、スマートフォンや特定の消費者ソフトウェア製品と同様に、当初の導入が速く無秩序で、その後に IT 組織によって制度化されるためです。その意味では、ロールアウトは当初は混沌としており、その後の管理が大きな課題となっていた可能性があります。ただし、大事なのは、他の種類のエンタープライズソフトウェアの導入プロセスと同じように、AI コーディングツールの導入とセキュリティに対してより構造的なアプローチを組織で検討する必要があるということです。このようなアプローチを取ることで、セキュリティに関する懸念も解決することができ、さらに、開発者とセキュリティチームの過度な懸念にも対処することができます。そのためには、適切なチェックアンドバランスを導入し、ソフトウェア開発プロセスの根本的な変化を導入するために、より包括的、体形的、計画的なアプローチを提供します。
この調査からのシグナルに耳を傾けるテクノロジーリーダーは、以下の行動を取ることが役に立ちます。
AI ツール導入の正式な概念実装プロセスを策定する。
コードセキュリティの問題とツールのリスクに最も直接的にさらされている担当者からの意見をより尊重する。
AI コード生成ツールのすべてのインスタンスを文書化および監査し、セキュリティと QA のプロセスをより適切に通知する。
AI コーディングのトピックについて 3 つのグループに定期的にパルスサーベイを実施する。
AI のベストプラクティスについて専門家のガイダンスを取り入れることを検討する。
AI セキュリティツールの ROI を示すツールを使って経営幹部の同意を推進する。
開発サイクルの早い段階でセキュリティインシデントを防止して修正できるセキュリティツールを導入する。
開発者の作業をペースダウンさせず、既存のワークフローに取り込める、開発者フレンドリーな AI セキュリティツールとプラクティスを導入する。
AI 生成コードとルールの教育およびトレーニングを増やし、認識力と判断力を向上させる。Snyk およびその広範なナレッジベースと直接統合できる AI コーディングアシスタント (Google Gemini) を使用する。
調査方法
このレポートでは、世界各地の 406 人の IT 専門家を調査しました。Snyk では回答者を、自身の役割を「CTO」、「CISO」、「開発者」、「エンジニア」、「セキュリティ」、または「AppSec」と述べた人に限定しています。Snyk では 2024 年のオンラインおよびオフラインイベントでこの調査のデータ収集を継続し、企業の AI 準備状況と、AI のリスク、準備、課題に対する認識の違いについてより明確な全体像を示す予定です。