10 Key Predictions:Secure Code Warrior 2025年におけるAIとセキュア・バイ・デザインの影響力について

エキサイティングでチャレンジングな1年を終え、2025年を展望するとき、AIとソフトウェア開発の交差点は、有意義な方法で開発者コミュニティを形成し続けるだろう。 

組織は、長期的な生産性、持続可能性、セキュリティのROIをサポートするために、AIの利用について厳しい決断を迫られている。AIが開発者の役割に完全に取って代わることはないことは、ここ数年で明らかになった。AIと開発者のパートナーシップから、Secure-by-Designへの期待にまつわるプレッシャーの高まり（と混乱）まで、来年に期待できることを詳しく見てみよう。
‍

AIの方程式を書き換える：開発者の代わりにAIを使うのではなく、AI＋開発者を使う

"2025年、企業が抜本的なコスト削減策を迫られる中、開発者がAIツールに取って代わられるのは、誰も驚くことではないだろう。しかし、ジェネレーティブAIが初めてデビューしたときの状況や、数年にわたるアップデートを経た現在も、特にコードを作成する際には、まだ安全で自律的な生産性の牽引役にはなり得ていない。AIは多くの素晴らしいアプリケーションやユースケースを持つ非常に破壊的なテクノロジーだが、熟練した人間の開発者の十分な代替にはならない。私は、2025年にAIと人間の代替に向かうこのシフトは失敗する可能性が高く、特に長期的には失敗するだろうというForresterの 予測に同意する。AI単独よりも、AI＋開発者の組み合わせの方が達成できる可能性が高いと思います。"

‍

AIがもたらすリスクと機会の混在

「2025年の間に、AIが生成したコードから新たなリスクケースが出現し、幻覚スクワッティングのような既知の問題による悪影響や、毒入りライブラリ、ソフトウェアのサプライチェーンに影響を及ぼすエクスプロイトなどが発生するだろう。さらに、グーグルの「プロジェクト・ゼロ」が実証したように、AIはコードの欠陥を発見するために使われるだけでなく、そのためのエクスプロイトを書くためにも活用されるようになるだろう。これに対して、企業の開発者が、余分なリスクをあまり増やすことなく、これらのツールを業務に活用できるようになる初期レベルの成熟が、さらに見られるようになると思う。しかし、これはルールではなく例外であり、開発者のリスクを積極的に測定し、それに応じてセキュリティ・プログラムを調整する組織に依存するだろう。2025年がもたらすであろう急速に進化する脅威環境において、より速くコードを作成できるのは、承認されたAIコーディングツールを使用する熟練したセキュリティ意識の高い開発者であり、セキュリティ意識や一般的なスキルが低い開発者は、より多くの問題を、より速いスピードで引き起こすだけであろう。" 

‍

AI]の影からの脱却

「AIを取り巻く法制度は、AI技術の頻繁な進歩とその普及速度に対応するため、急速に変化している。2025年、セキュリティ・リーダーは、潜在的な指令に確実に対応する必要がある。シャドーAI」の性質を理解し、それが組織内で使用されていないことを確認すること、次いで承認され、検証されたツールだけを会社のシステムにインストールすることを厳格に使用すること、これらの組み合わせが、これからの1年間、組織にとって最も重要であることが証明される。このことは、開発者集団のassessment 、彼らが継続的にセキュリティ能力を向上させ、業務のあらゆる側面に適用するために、どのようにサポートするのが最善かを理解することにつながる。"

‍

AIツールのセキュリティは開発者にとって重要な指標となる

「今、LLMを搭載したコーディング・ツールは、フリー・フォア・オール市場だ。新しいものが次々と登場し、それぞれがより優れた出力、セキュリティ、生産性を誇っている。2025年に向けて、各AIツールの安全性をベンチマークし、評価できる基準が必要だ。これにはコーディング能力、すなわち脅威行為者に悪用されることのない、優れた安全なコーディングパターンでコードを生成する能力も含まれる。" 

‍

AIは若手開発者の参入を困難にする

「開発者の参入障壁はかつてないほど高まっている。ハイブリッドで分散したワークフォースと、エントリーレベルの役割に求められるスキルセットのレベルにより、若手開発者にとってのハードルは年々上がり続けている。2025年、雇用主は、若手開発者がその職務に就いた時点で、OJTに時間を割くのではなく、ワークフロー内でAIツールを安全に統合・最適化できるスキルと知識をすでに持っていることを期待し始めるだろう。今後1年以内に、開発ワークフローでAIツールを活用する方法を学べない開発者は、自身のキャリア成長に重大な影響を及ぼし、仕事の機会を確保する上で困難に直面するだろう。安全なAIの習熟が最終的に重要になるため、より複雑なプロジェクトに参加できなくなる "License to Code "が阻害されるリスクがある。"

‍

セキュア・バイ・デザインの実現は時間が阻む

「開発者は、"Secure by Design "を達成するために、適切なツールやプラクティスに慣れ親しみ、スキルアップするための十分な時間とリソースを必要としている。組織がセキュリティとエンジニアリングのリーダーの賛同を得られない限り、進捗は妨げられ、あるいは完全に停滞する。コスト削減やリソースの制限をしようとする組織は、長期的な解決策よりも目先の対策に優先的に取り組み、あることは「まあまあ」、それ以外は「平凡」な多面的な対策ツールに注力することが多い。2025年には、この不均衡が、安全なソフトウェア開発を優先する組織と、変化する状況に対応するために手っ取り早い修正を求める組織との間に、より大きな格差を生み出すことになるだろう。

‍

サプライチェーンセキュリティ監査は、グローバルリスクを軽減する上で重要な役割を果たす。

「すべてのアウトソーシング／サードパーティ・ベンダーの監視が強化されるでしょう。社内では最高のセキュリティ・プログラムを導入できても、アウトソーシング先の企業がセキュア・バイ・デザインを実践していなければ、セキュリティの枠組み全体が危険にさらされる可能性があります。その結果、組織はアウトソーシングの取り組みを厳しく監査するようになり、厳格なセキュリティと業界のコンプライアンス・ガイドラインに従うよう、ビジネス・リーダーにプレッシャーをかけるようになります。結局のところ、セキュリティ・チームが成功するかどうかは、組織全体と外部パートナー全体にわたる統一的なアプローチを含む、全体的で360度の視点にかかっている」。

‍

AIは "雑音を切り裂く "ことに影響力を持つだろう  

「開発チームはコード脆弱性スキャナーの誤検出率に苦しんでいる。 。2025年、AIはコードの修復に関して、開発者が「ノイズを切り抜ける」ための重要なツールとなり、コードそのものをより深く理解できるようになる。機械学習を活用することで、AIはコンテキストに基づいて実際の脅威の優先順位付けをより適切に行うことができ、セキュリティ・アラートの精度向上に費やす時間を短縮することができる。これにより、チームは真にリスクをもたらす脆弱性に集中できるようになり、全体的な効率が向上し、より迅速で安全な開発サイクルが可能になります。"

‍

セキュア・バイ・デザインの目標を達成するためには、ベンチマーキングが解決策となる。

「セキュア・バイ・デザインの標準を満たすための進捗を測定するための明確な基準線がないためです。チームがどのようにセキュアコーディングを実践しているかを評価するベンチマークシステムがなければ、これらの組織は、大規模な情報漏えいにつながりかねない脆弱性を不注意に導入してしまう危険性がある。そして、万が一侵害が発生した場合、ベンチマーキング・システムを導入する時間はなく、開発者チームのセキュリティ成熟度を評価することなく、SBDの取り組みを加速せざるを得なくなる可能性が高い。

‍

AIが生成するコードの代償としての技術的負債

「この業界がすでに技術的負債という大きな問題を抱えていることは周知の事実である。開発者が本質的に安全でない、AIが生成したコードに盲目的に依存するようになり、さらに経営陣の監視が制限されるようになったことで、状況は悪化の一途をたどっている。このような動きによって、今年報告されたCVEが10倍に増加する可能性は十分にある。"

‍

2025年の成功のためには、組織は開発チームに対する適切なトレーニングとリスク軽減のための投資とともに、責任を持って安全にAIを導入する意思が必要である。来年はCISAのSecure-by-Design誓約の1周年にあたるが、競争優位性を維持するブランドは、AI、サードパーティのセキュリティ懸念、その他の新たな脅威に関連するリスクを排除するために、安全な開発アプローチを優先するものである。