AIがコードを書く時代のセキュリティ問題
別の記事で「AIが実装を肩代わりする時代に、内製DXエンジニアの仕事はどう変わるか」を書いた。
→ AI時代の内製DXエンジニア ── 実装の先にある仕事が本業になる
AIコーディングツールの普及で、コードを書くスピードは劇的に上がった。しかし、速く書けるようになった分だけ、新しい問題が出てきている。 AIが書いたコードのセキュリティを、誰がどうレビューするのか。
IT業界全体で見ると、これは深刻な問題になりつつある。コードを書くスピードが上がった分、レビューが追いつかなくなっている。Webサービスを開発している会社にとっては、セキュリティレビューの体制をどう整えるかが経営課題になりつつある。
セキュリティは「悪魔の証明」
なぜセキュリティレビューが追いつかないのか。根本的な理由は、セキュリティの検証がコーディングとは性質が違うことにある。
コーディングには達成すべき目的がある。「この入力に対してこの出力を返す」というゴールが明確で、テストで検証できる。別の記事で書いた「テストで検証する」アプローチは、機能面には有効に働く。
→ AI時代の内製DXエンジニア ── 実装の先にある仕事が本業になる
しかしセキュリティは 「穴がないこと」を証明する作業 になる。既知の脆弱性パターンはチェックできるが、まだ知られていない攻撃手法には対応できない。攻撃する側は1つの穴を見つければ勝ち。守る側はすべてを塞がないと負け。この非対称性は、AIを使ってもなかなか解消できない。
いずれAIがセキュリティの問題を解決する日は来ると思う。しかし「穴がありません」とAIが保証する形がどうなるかは、まだ見えていない。しばらくは人間の判断が必要な領域として残るだろう。
内製DXは「閉じている」から影響が小さい
ただし、この問題が中小製造業の内製DXにとって緊急かと言えば、 そこまでではない。
理由は単純で、内製DXのツールはほとんどが社内ネットワークに閉じているから。ユーザーは社員数十人。外部からのアクセスはない。攻撃者から見て、社内の業務ツールに直接到達するのは非常に難しい。
AIが書いたコードに問題があったとしても、そのコードが社内ネットワークの中でしか動いていなければ、外部から突かれることはない。内製DXの世界では、AIのコードをそのまま使うことのリスクは、外部公開サービスとは比較にならないほど小さい。
だから、内製DXにおけるAI活用は 使う方向で問題ない。 コーディングの難易度もそれほど高くなく、環境が閉じているから、AIとの相性は良い。別の記事でVBAとAIの組み合わせについて書いているが、内製DXの開発にAIを取り入れることへの障壁は低い。
外に出すなら話が変わる
問題になるのは、AIが書いたものを 外部に公開する 場面になる。
たとえば、自社のWebサイトに問い合わせフォームを設置する。社外向けの受発注ポータルを作る。取引先とのファイル共有の仕組みを構築する。こうした「外に開けた」システムをAIに書かせて、セキュリティレビューなしにそのまま公開するのは危ない。
「得意なプラットフォーム」を1つ持っておく
では、外に開けた環境でAIを使いたいならどうするか。答えは 自分がある程度理解しているプラットフォームを1つ決めて、そこで動かす ことになる。
VPSなら基本的なセキュリティの設定ができる、という人はVPSでやればいい。クラウド(AWSやGCP)のセキュリティグループの設定がわかるなら、そこでやればいい。FileMakerやkintoneのようなノーコード系のプラットフォームで外部公開の仕組みを作る手もある。セキュリティの基本的な部分はプラットフォーム側が担保してくれるので、自分でインフラを管理するよりハードルは低い。何のプラットフォームでもいいが、大事なのは 自分が仕組みを理解している「箱」の上で動かすこと になる。
別の記事で「自社固有の領域は自分で理解すべき」と書いた。これと同じ構造になる。AIがコードを書いてくれても、そのコードが動く環境の安全性は自分が担保する。コードの中身はAIに任せても、インフラの理解は手放さない。
→ 中小製造業の内製DXと外注の線引き ──「自社固有」か「汎用」かで決める
逆に言えば、 AIが書いたコードをコピペして、よくわからないプラットフォームに載せて外に出す のが一番危ないパターンになる。コードもわからない、環境もわからない。何かあったときに、何が起きているかも判断できない。
閉じた環境から始めて、得意な場所に広げる
中小製造業の内製DXとしての現実的なステップは明確になる。
まずは社内に閉じた環境でAIを使って開発する。 ここはリスクが低いので、積極的に活用していい。コーディングの速度が上がり、これまで手が回らなかった改善にも着手できるようになる。
外部に公開する必要が出てきたら、得意なプラットフォームを1つ決める。 そのプラットフォームの基本的なセキュリティ——ファイアウォールの設定、アクセス制御、SSL証明書の管理——を自分で理解して設定できる状態にしておく。
わからなければ、その部分は業者に頼む。 セキュリティは汎用領域なので外注が自然。ただし、何を守りたいかは自分で把握しておく。