生成AIがコードのセキュリティ脆弱性診断

　AIは現在の先進技術の中でも、企業の関心を最も集めるものの1つだ。ガートナーが今後12カ月以内に実装予定の技術を尋ねた調査でも、企業の48％が「AI」を挙げ、「SASE（サシー）」や「エッジ・コンピューティング」などを大きく引き離す結果となっている。同等の関心を集めたのは「分散クラウド」程度だ。

　こうしたトレンドの中、「生成AIによるアプリケーション・コードの脆弱性診断／修正」に乗り出す動きが本格化しつつあるという。

　「アイデア自体は素晴らしい。実現すればアプリケーション・セキュリティにまつわる作業の劇的な効率化と迅速化が実現します」と話すのはGartner バイス プレジデント,アナリストのマーク・ホーヴァス氏だ。

「しかし、それは現状、“夢物語”です。何より問題なのは、真実っぽい嘘をつくハルシネーションです。この問題を解決できない限り、AIを頼ることはできても、作業を任せることはできません」（ホーヴァス氏）

　ガートナーでは、アプリケーション・コードの脆弱性診断／修正用のAIを「AIセキュリティ・コーディング・アシスタント（ASCA）」または「コード・セキュリティ・アシスタント」などと呼び、動向の継続調査を始めているという。ガートナーのハイプサイクル（Hype Cycle for Application Security, 2023）を見るとASCAは現在、「黎明期」を上り始めたところだ。

「今後さらに注目を集め、過度な期待のピーク期を経て、問題のすべてが解決されるわけではないことが明らかとなることで、幻滅期の急坂を下ることになります。ただ、失望の必要はありません。その間もASCAは着実に進化を続けるのです」（ホーヴァス氏）

懸念も多い一方で活用できる3つの用途

　改めてASCAを説明すると、会話型チャットボットに大規模言語モデル（LLM）を組み込んでコンテンツを作成する機能／サービスである。複数ソースから得た数十億語から成る基盤モデルでトレーニング後、人間のフィードバックによる強化学習で微調整される。ガートナーではASCAの利用を通じて、開発者の90％が27年までにセキュアなコード記述に費やす時間を30％削減させると予想する。

　生成AIによるコード生成に対しては、現状でも関係者の多くが懸念を感じているのが実態だ。アプリのテスト会社のCheckmarxの調査でも、「生成AI攻撃（プロンプト・インジェクションとハルシネーション）」「秘密の漏えい」「データプライバシー」「セキュアでないコーディング」「ライセンス・リスク」などが懸念点として多く挙げられているという。

　では現状、ASCAはどう使われているのか。ホーヴァス氏が主な用途として挙げたのが「セキュリティ・レビュー」「セキュリティ・リスク評価」「根本原因分析」などだ。

「アプリケーション開発者の大半は脆弱性の知識を豊富に備えているわけではなく、コードを書く中でのASCAのレビューはとりわけ有効です。問題が発見された場合には、対応のための必要最小限の修正方法も提示してもらえます」（ホーヴァス氏）

　アプリケーション・コードのセキュリティ・レビューは従来、開発サイクルの後半に実施されてきた。ASCAの登場を機に、計画段階の脅威モデリングや根本原因分析を実施するなど、より前工程で実施する動きが広がっているのだという（図2）。

【次ページ】“ジュニア”レベルのASCAを信頼することなかれ