AI開発企業には
「AI Trust」の確立が必須
「AI Trust」の確立が必須
Snyk株式会社
Solutions Engineering, Staff Solutions Engineer
Solutions Engineering, Staff Solutions Engineer
浦底 博幸氏
「開発現場では既に77%がAIコーディングアシスタントを使用しています。しかし、その一方、シャドーAIを報告する企業が52%に上っており、組織的なガバナンスが効いていない実態がうかがえます」と指摘するのは、Snykの浦底 博幸氏だ。
このような状況の中、必要となっているのが「AI Trust」である。IT環境内のどこでAIが使われているのかを把握し、それがもたらす既知のリスクはもちろんのこと、将来のリスクまで理解した上で、適切なガバナンスとコントロールを確立することが求められているのだ。
「このAI Trustの確立に向け、当社では様々な取り組みを進めています。具体的には、AIを活用したリスク検知の自動化や、セキュリティーポリシー管理の高度化を図ることで、開発現場が抱える課題を包括的に解決できる体制を整えています。これによってイノベーションを解き放ち、ビジネスリスクを低減することで、AI時代に向けたソフトウエアデリバリーを加速しています(図1)」(浦底氏)。 そのベースとなっているのが「Snyk AI Trust Platform」だ。これは、資産と問題点を「可視化」し、アプリ全体のコンテキストとリスクに基づいた優先順位付けを行い、柔軟なセキュリティーポリシーを管理するプラットフォーム。これによってAIセキュリティーガバナンスを確立できるという。
また開発担当者とセキュリティー担当者が、同じプラットフォームを使えるようになっている点も大きな特長だ。セキュリティー担当者と開発担当の間では、意思疎通がしにくいという問題が発生しがちだが、Snykなら両者が同じプラットフォームを見て共通言語で話すことで、セキュリティー担当者が問題を検知した瞬間に、開発担当がすぐに直し方を理解できるようになっている。
「当社はセキュリティーソリューションを提供している企業ですが、安全性を担保するだけでなく、高生産性の実現も重視しています。開発担当者とセキュリティー担当者が円滑にコミュニケートできる仕組みは、生産性向上に大きな貢献を果たすはずです」(浦底氏)
Snyk AI Trustを支える
AI駆動型エンジン
AI駆動型エンジン
このようにSnyk AI Trust Platformは、ソフトウエア開発ライフサイクル(SDLC)全体で、能動的にセキュリティーを確保できるようになっている。その基盤となっているのが、SCAやSAST、DASTといったテストエンジンの存在だ(図2)。
SCAは「Software Composition Analysis:ソフトウエア構成分析」の略であり、アプリで利用されているライブラリの依存関係や脆弱性(CVE)を自動的に検出し、AI技術を活用することで優先順位付けと修正を効率化したもの。Snykは業界最先端のセキュリティーインテリジェンスを保有しており、公開された脆弱性データベースよりも多くの脆弱性情報をカバーしている。この情報を基にした脆弱性検知を、開発者がコードを書く開発環境(IDE)などに統合することで、DevSecOpsを大幅に進化させることができるという。
SAST(Static Application Security Testing:静的アプリケーションセキュリティーテスト)は、AIを活用したソースコードの静的解析セキュリティーツール。「DeepCode AI」エンジンによって、開発者が記述したコード内の脆弱性をリアルタイムに検出する。これもIDEやリポジトリと直接統合でき、コードを記述する段階で即座にフィードバックを得られる。また脆弱性を見つけるだけではなく、その修正方法もAIが提案。さらにGitHub Copilotなどで自動生成されたコードに含まれるセキュリティーリスクの特定・修正提案も可能だ。
最後にDAST(Dynamic Application Security Testing:動的アプリケーションセキュリティーテスト)は、実行中のアプリやAPIに対して攻撃シミュレーションを行い、脆弱性を検出する動的なセキュリティー検査ツール。開発の初期段階や単体テストの環境に対して動的テストを実行でき、AIが脆弱性を検出するとともに、修正案も提示する。なお最近のリリースでは、DASTで検知した内容とSASTで検知した内容をマッチングさせる機能も備わっており、単体テストレベルでの修正を効率的に行うことが可能。CI/CDパイプラインや開発者ワークフロー(Jira、Slackなど)へのシームレスな統合も行える。
SAST(Static Application Security Testing:静的アプリケーションセキュリティーテスト)は、AIを活用したソースコードの静的解析セキュリティーツール。「DeepCode AI」エンジンによって、開発者が記述したコード内の脆弱性をリアルタイムに検出する。これもIDEやリポジトリと直接統合でき、コードを記述する段階で即座にフィードバックを得られる。また脆弱性を見つけるだけではなく、その修正方法もAIが提案。さらにGitHub Copilotなどで自動生成されたコードに含まれるセキュリティーリスクの特定・修正提案も可能だ。
最後にDAST(Dynamic Application Security Testing:動的アプリケーションセキュリティーテスト)は、実行中のアプリやAPIに対して攻撃シミュレーションを行い、脆弱性を検出する動的なセキュリティー検査ツール。開発の初期段階や単体テストの環境に対して動的テストを実行でき、AIが脆弱性を検出するとともに、修正案も提示する。なお最近のリリースでは、DASTで検知した内容とSASTで検知した内容をマッチングさせる機能も備わっており、単体テストレベルでの修正を効率的に行うことが可能。CI/CDパイプラインや開発者ワークフロー(Jira、Slackなど)へのシームレスな統合も行える。
日本国内でも数多くの著名企業が導入
「このようにSnykはAIによって、DevSecOpsの高速化を推進しています」と浦底氏。またAI駆動開発のために、AIアシスタントとMCPツールを使用し、SDLCを進化させる取り組みも行っているという。
「ここで使用するAIアシスタントは、どれを使ってもいいというポリシーを採用しています。Windsurf、Cursor、Copilot、Claude Codeなどを使ってコードを書いていただき、これらとSnyk MCPサーバー(Snyk Studio)を連携させてスキャンを行います。開発者ごとに使用するAIアシスタントが異なっていても、一貫性のあるセキュリティーポリシーを満たすことが可能なのです」(浦底氏)
このような機能のユースケースとして、浦底氏は2つのワークフローを提示する。1つは「Secure-at-inception コード生成」だ。AIにコードを書かせ、Snykでスキャンし、見つかった脆弱性を再度AIに直させるのだ。これを繰り返すことで、開発者の手元にコードが出てくる段階で、既に脆弱性が解消された状態になっている。
もう1つは「AIを活用した修復」だ。既存のコード資産に対して、SnykのMCPサーバーとAIエージェントを活用し、問題の可視化・修正案の提示を行うのである。「実際に、人手で行えば2年はかかると見込まれていた既存コードの修正を、CursorのエージェントとSnykを用いて2週間で直せたという事例もあります」と浦底氏は語る。
このような特長が評価され、日本国内でもダイキン工業やカインズ、三菱電機、クレディセゾン、中外製薬など、数多くの企業が導入。世界では4500社以上の導入実績があり、その業種も多岐にわたる。さらに政府や航空宇宙機関、防衛といったパブリックセクターでも使われており、その信頼性の高さがうかがえる。
このようなプラットフォームがあれば、AI時代のアプリ開発の安全性と生産性を、同時に高めていくことも容易になっていくだろう。
「ここで使用するAIアシスタントは、どれを使ってもいいというポリシーを採用しています。Windsurf、Cursor、Copilot、Claude Codeなどを使ってコードを書いていただき、これらとSnyk MCPサーバー(Snyk Studio)を連携させてスキャンを行います。開発者ごとに使用するAIアシスタントが異なっていても、一貫性のあるセキュリティーポリシーを満たすことが可能なのです」(浦底氏)
このような機能のユースケースとして、浦底氏は2つのワークフローを提示する。1つは「Secure-at-inception コード生成」だ。AIにコードを書かせ、Snykでスキャンし、見つかった脆弱性を再度AIに直させるのだ。これを繰り返すことで、開発者の手元にコードが出てくる段階で、既に脆弱性が解消された状態になっている。
もう1つは「AIを活用した修復」だ。既存のコード資産に対して、SnykのMCPサーバーとAIエージェントを活用し、問題の可視化・修正案の提示を行うのである。「実際に、人手で行えば2年はかかると見込まれていた既存コードの修正を、CursorのエージェントとSnykを用いて2週間で直せたという事例もあります」と浦底氏は語る。
このような特長が評価され、日本国内でもダイキン工業やカインズ、三菱電機、クレディセゾン、中外製薬など、数多くの企業が導入。世界では4500社以上の導入実績があり、その業種も多岐にわたる。さらに政府や航空宇宙機関、防衛といったパブリックセクターでも使われており、その信頼性の高さがうかがえる。
このようなプラットフォームがあれば、AI時代のアプリ開発の安全性と生産性を、同時に高めていくことも容易になっていくだろう。
