ヒーロー背景(区切りなし)
ブログ

良いツールが悪さをするとき:AIが二重スパイとして働くのを止めるには?

ピーテル・ダンヒユー
2025年07月09日 掲載
最終更新日: 2025年07月09日
アプリケーションセキュリティ
セキュアコーディング
脆弱性(Vulnerability
ビデオ再生ボタン。
ビデオ再生ボタン。

AI支援開発(あるいは、より流行のバージョンでは「バイブ・コーディング」)は、コード作成に大きな変革をもたらしている。既存の開発者たちはこぞってこれらのツールを採用し、また、自分たちでソフトウェアを作りたいと思いつつも関連する経験がなかった開発者たちも、以前であればコストと時間の負担となっていたような資産を構築するために、これらのツールを活用している。このテクノロジーは、イノベーションの新時代の到来を約束する一方で、さまざまな新しい脆弱性とリスクプロファイルをもたらし、セキュリティリーダーはその軽減に苦慮している。 

InvariantLabsが最近発見したModel Context Protocol(MCP)の重大な脆弱性は、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用することを可能にするAPIのようなフレームワークであり、「ツールポイズニング攻撃」と呼ばれる、企業において特に被害をもたらす可能性のある新しい脆弱性のカテゴリーを可能にするものである。WindsurfやCursorのような主要なAIツールに免疫があるわけではなく、何百万人ものユーザーがいるため、この新たなセキュリティ問題に対する認識と管理スキルが最も重要である。

AWSとIntuitのセキュリティ研究者であるVineeth Sai Narajala氏とIdan Habler氏の最近の研究論文で指摘されているように、現状では、これらのツールの出力は一貫して、エンタープライズ対応と言えるほどセキュアではない「AIシステムがより自律的になり、MCPのようなものを介して外部のツールやリアルタイムのデータと直接やり取りするようになると、それらのやり取りが安全であることを確認することが絶対に不可欠になります。

エージェントAIシステムとモデルコンテキストプロトコルのリスクプロファイル

モデルコンテキストプロトコルは、Large Language Model(LLM)AIエージェントと他のツール間のより良い、よりシームレスな統合を可能にするAnthropicによって構築された便利なソフトウェアです。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubのようなビジネスクリティカルなSaaSツールの間に可能性の世界を開き、最先端のAIソリューションと相互作用する。MCPサーバーを作成し、どのように機能させ、どのような目的を達成させるか、ガイドラインを設定するだけです。 

MCP技術のセキュリティへの影響は、実際、ほとんどが肯定的なものである。LLMとセキュリティ専門家が使用する技術スタックとの間のより分かりやすい統合の約束は、無視できないほど魅力的であり、少なくとも、通常はタスクごとにカスタムコードを書いて展開しなければ、これまでは不可能であったレベルの精度の高いセキュリティタスクの自動化の可能性を示している。データ、ツール、人員間の広範な可視性と接続性が、効果的なセキュリティ防御と計画の基本であることを考えると、MCPによってもたらされるLLMの相互運用性の強化は、企業のセキュリティにとってエキサイティングな展望である。

しかし、MCPの使用は、注意深く管理されない限り、他の可能性のある脅威ベクトルを導入し、企業の攻撃対象領域を大幅に拡大する可能性がある。InvariantLabsが指摘しているように、Tool Poisoning攻撃は、AIモデルによる機密データの流出や不正行為につながる可能性のある新しい脆弱性のカテゴリーを表しており、そこからセキュリティへの影響は非常に暗く、非常に速くなります。 

InvariantLabsによると、ツールポイズニング攻撃は、ユーザーには見えないがAIモデルには完全に読める(実行可能な)悪意のある命令がMCPツール記述内に埋め込まれている場合に可能になる。これにより、ユーザーが意識することなく、ツールを騙して不正なアクションを実行させることができる。この問題は、MCPがすべてのツール記述を信頼できると思い込んでいることにあります。

彼らは、危険なツールがもたらす可能性のある結果を次のように指摘している:

  • AIモデルに機密ファイル(SSHキー、設定ファイル、データベースなど)へのアクセスを指示する;
  • このような悪意のある行動は、本来、無自覚なユーザーからは隠蔽される環境下で、AIにこのデータを抽出し、送信するよう指示する;
  • ツールの引数や出力のUI表現を欺くようにシンプルにすることで、ユーザーが見ているものとAIモデルが行うことの間に断絶を生じさせる。

これは、懸念すべき新たな脆弱性のカテゴリーであり、MCPの利用が必然的に増加するにつれて、ほぼ確実に頻繁に見られるようになるものです。企業のセキュリティプログラムが進化するにつれて、この脅威を発見し、緩和するためには慎重な対応が必要であり、開発者がその解決策の一部となるための十分な準備が鍵となります。

セキュリティに精通した開発者だけがエージェント型AIツールを活用すべき理由

エージェント型AIコーディングツールは、AIアシストコーディングの次の進化と考えられており、ソフトウェア開発における効率性、生産性、柔軟性を向上させる機能を追加している。文脈や意図を理解する能力が強化されたことで、特に有用なものとなっているが、攻撃者からのプロンプト注入、幻覚、行動操作などの脅威から免れることはできない。 

開発者は、良いコード・コミットと悪いコード・コミットの間の防御線であり、セキュリティとクリティカル・シンキングの両方のスキルを磨いておくことが、将来の安全なソフトウェア開発の基本になる。

AIの出力は、決して盲目的な信頼関係で実装されるべきではなく、セキュリティに精通した開発者が、文脈に即した批判的思考を適用することで、この技術によってもたらされる生産性の向上を安全に活用することができる。それでも、人間の専門家がツールによって生成された作業を評価し、脅威モデルを作成し、最終的に承認できるような、ペアプログラミングのような環境でなければならない。 

開発者のスキルアップとAIによる生産性の向上については、こちらをご覧ください。

実践的な軽減テクニックと、最新の研究論文でさらに詳しい情報を得る。

AIコーディング・ツールとMCPテクノロジーは、サイバーセキュリティの将来において重要な要素になると思われるが、水面を確認する前に飛び込まないことが肝要だ。 

NarajalaとHablerの論文では、企業レベルでのMCP導入とその継続的なリスク管理のための包括的な緩和戦略について詳述している。最終的には、深層防衛とゼロ・トラストの原則を中心に、この新しいエコシステムが企業環境にもたらすユニークなリスクプロファイルを明確にターゲットにしている。特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠である:

  • 認証とアクセス制御:エージェント型AIツールは、人間がエンジニアリングのタスクに取り組むのと同じように、問題を解決し、設定された目標を達成するために自律的な意思決定を行う。しかし、我々が確立したように、これらのプロセスに対する熟練した人間の監視を無視することはできず、ワークフローでこれらのツールを使用する開発者は、彼らがどのようなアクセス権を持っているか、彼らが取得したり、公開する可能性のあるデータ、そしてそれが共有される可能性のある場所を正確に理解する必要があります。 
  • 一般的な脅威の検出と緩和:ほとんどのAIプロセスに言えることだが、ツールの出力に潜在する欠陥や不正確さを発見するには、ユーザ自身がそのタスクに習熟していなければならない。開発者は、セキュリティプロセスを効果的にレビューし、AIが生成したコードをセキュリティの精度と権限を持ってレビューするために、継続的なスキルアップとそのスキルの検証を受けなければならない。
  • セキュリティポリシー及び AI ガバナンスとの整合:開発者は、承認されたツールについて周知され、スキルアップしてそのツールにアクセ スする機会を与えられるべきである。開発者とツールの両方が、コミットを信頼される前にセキュリティベンチマークを受けるべきである。

当社は最近、バイブコーディングとAIアシストコーディングの出現に関する研究論文を発表しました。ぜひご覧ください。また、開発部隊を強化するために、今すぐご連絡ください。

リソースを見る
リソースを見る

ご興味がおありですか?

最高経営責任者(CEO)、会長、および共同設立者

もっと詳しく

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
リンクトインのブランドソーシャルx ロゴ
著者
ピーテル・ダンヒユー
2025年07月09日掲載

最高経営責任者(CEO)、会長、および共同設立者

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

シェアする
リンクトインのブランドソーシャルx ロゴ
ビデオ再生ボタン。
ビデオ再生ボタン。

AI支援開発(あるいは、より流行のバージョンでは「バイブ・コーディング」)は、コード作成に大きな変革をもたらしている。既存の開発者たちはこぞってこれらのツールを採用し、また、自分たちでソフトウェアを作りたいと思いつつも関連する経験がなかった開発者たちも、以前であればコストと時間の負担となっていたような資産を構築するために、これらのツールを活用している。このテクノロジーは、イノベーションの新時代の到来を約束する一方で、さまざまな新しい脆弱性とリスクプロファイルをもたらし、セキュリティリーダーはその軽減に苦慮している。 

InvariantLabsが最近発見したModel Context Protocol(MCP)の重大な脆弱性は、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用することを可能にするAPIのようなフレームワークであり、「ツールポイズニング攻撃」と呼ばれる、企業において特に被害をもたらす可能性のある新しい脆弱性のカテゴリーを可能にするものである。WindsurfやCursorのような主要なAIツールに免疫があるわけではなく、何百万人ものユーザーがいるため、この新たなセキュリティ問題に対する認識と管理スキルが最も重要である。

AWSとIntuitのセキュリティ研究者であるVineeth Sai Narajala氏とIdan Habler氏の最近の研究論文で指摘されているように、現状では、これらのツールの出力は一貫して、エンタープライズ対応と言えるほどセキュアではない「AIシステムがより自律的になり、MCPのようなものを介して外部のツールやリアルタイムのデータと直接やり取りするようになると、それらのやり取りが安全であることを確認することが絶対に不可欠になります。

エージェントAIシステムとモデルコンテキストプロトコルのリスクプロファイル

モデルコンテキストプロトコルは、Large Language Model(LLM)AIエージェントと他のツール間のより良い、よりシームレスな統合を可能にするAnthropicによって構築された便利なソフトウェアです。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubのようなビジネスクリティカルなSaaSツールの間に可能性の世界を開き、最先端のAIソリューションと相互作用する。MCPサーバーを作成し、どのように機能させ、どのような目的を達成させるか、ガイドラインを設定するだけです。 

MCP技術のセキュリティへの影響は、実際、ほとんどが肯定的なものである。LLMとセキュリティ専門家が使用する技術スタックとの間のより分かりやすい統合の約束は、無視できないほど魅力的であり、少なくとも、通常はタスクごとにカスタムコードを書いて展開しなければ、これまでは不可能であったレベルの精度の高いセキュリティタスクの自動化の可能性を示している。データ、ツール、人員間の広範な可視性と接続性が、効果的なセキュリティ防御と計画の基本であることを考えると、MCPによってもたらされるLLMの相互運用性の強化は、企業のセキュリティにとってエキサイティングな展望である。

しかし、MCPの使用は、注意深く管理されない限り、他の可能性のある脅威ベクトルを導入し、企業の攻撃対象領域を大幅に拡大する可能性がある。InvariantLabsが指摘しているように、Tool Poisoning攻撃は、AIモデルによる機密データの流出や不正行為につながる可能性のある新しい脆弱性のカテゴリーを表しており、そこからセキュリティへの影響は非常に暗く、非常に速くなります。 

InvariantLabsによると、ツールポイズニング攻撃は、ユーザーには見えないがAIモデルには完全に読める(実行可能な)悪意のある命令がMCPツール記述内に埋め込まれている場合に可能になる。これにより、ユーザーが意識することなく、ツールを騙して不正なアクションを実行させることができる。この問題は、MCPがすべてのツール記述を信頼できると思い込んでいることにあります。

彼らは、危険なツールがもたらす可能性のある結果を次のように指摘している:

  • AIモデルに機密ファイル(SSHキー、設定ファイル、データベースなど)へのアクセスを指示する;
  • このような悪意のある行動は、本来、無自覚なユーザーからは隠蔽される環境下で、AIにこのデータを抽出し、送信するよう指示する;
  • ツールの引数や出力のUI表現を欺くようにシンプルにすることで、ユーザーが見ているものとAIモデルが行うことの間に断絶を生じさせる。

これは、懸念すべき新たな脆弱性のカテゴリーであり、MCPの利用が必然的に増加するにつれて、ほぼ確実に頻繁に見られるようになるものです。企業のセキュリティプログラムが進化するにつれて、この脅威を発見し、緩和するためには慎重な対応が必要であり、開発者がその解決策の一部となるための十分な準備が鍵となります。

セキュリティに精通した開発者だけがエージェント型AIツールを活用すべき理由

エージェント型AIコーディングツールは、AIアシストコーディングの次の進化と考えられており、ソフトウェア開発における効率性、生産性、柔軟性を向上させる機能を追加している。文脈や意図を理解する能力が強化されたことで、特に有用なものとなっているが、攻撃者からのプロンプト注入、幻覚、行動操作などの脅威から免れることはできない。 

開発者は、良いコード・コミットと悪いコード・コミットの間の防御線であり、セキュリティとクリティカル・シンキングの両方のスキルを磨いておくことが、将来の安全なソフトウェア開発の基本になる。

AIの出力は、決して盲目的な信頼関係で実装されるべきではなく、セキュリティに精通した開発者が、文脈に即した批判的思考を適用することで、この技術によってもたらされる生産性の向上を安全に活用することができる。それでも、人間の専門家がツールによって生成された作業を評価し、脅威モデルを作成し、最終的に承認できるような、ペアプログラミングのような環境でなければならない。 

開発者のスキルアップとAIによる生産性の向上については、こちらをご覧ください。

実践的な軽減テクニックと、最新の研究論文でさらに詳しい情報を得る。

AIコーディング・ツールとMCPテクノロジーは、サイバーセキュリティの将来において重要な要素になると思われるが、水面を確認する前に飛び込まないことが肝要だ。 

NarajalaとHablerの論文では、企業レベルでのMCP導入とその継続的なリスク管理のための包括的な緩和戦略について詳述している。最終的には、深層防衛とゼロ・トラストの原則を中心に、この新しいエコシステムが企業環境にもたらすユニークなリスクプロファイルを明確にターゲットにしている。特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠である:

  • 認証とアクセス制御:エージェント型AIツールは、人間がエンジニアリングのタスクに取り組むのと同じように、問題を解決し、設定された目標を達成するために自律的な意思決定を行う。しかし、我々が確立したように、これらのプロセスに対する熟練した人間の監視を無視することはできず、ワークフローでこれらのツールを使用する開発者は、彼らがどのようなアクセス権を持っているか、彼らが取得したり、公開する可能性のあるデータ、そしてそれが共有される可能性のある場所を正確に理解する必要があります。 
  • 一般的な脅威の検出と緩和:ほとんどのAIプロセスに言えることだが、ツールの出力に潜在する欠陥や不正確さを発見するには、ユーザ自身がそのタスクに習熟していなければならない。開発者は、セキュリティプロセスを効果的にレビューし、AIが生成したコードをセキュリティの精度と権限を持ってレビューするために、継続的なスキルアップとそのスキルの検証を受けなければならない。
  • セキュリティポリシー及び AI ガバナンスとの整合:開発者は、承認されたツールについて周知され、スキルアップしてそのツールにアクセ スする機会を与えられるべきである。開発者とツールの両方が、コミットを信頼される前にセキュリティベンチマークを受けるべきである。

当社は最近、バイブコーディングとAIアシストコーディングの出現に関する研究論文を発表しました。ぜひご覧ください。また、開発部隊を強化するために、今すぐご連絡ください。

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
SCW アイコン
ダウンロードありがとうございます!
その他のリソース
SCWエラーアイコン
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。
ビデオ再生ボタン。
ビデオ再生ボタン。

AI支援開発(あるいは、より流行のバージョンでは「バイブ・コーディング」)は、コード作成に大きな変革をもたらしている。既存の開発者たちはこぞってこれらのツールを採用し、また、自分たちでソフトウェアを作りたいと思いつつも関連する経験がなかった開発者たちも、以前であればコストと時間の負担となっていたような資産を構築するために、これらのツールを活用している。このテクノロジーは、イノベーションの新時代の到来を約束する一方で、さまざまな新しい脆弱性とリスクプロファイルをもたらし、セキュリティリーダーはその軽減に苦慮している。 

InvariantLabsが最近発見したModel Context Protocol(MCP)の重大な脆弱性は、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用することを可能にするAPIのようなフレームワークであり、「ツールポイズニング攻撃」と呼ばれる、企業において特に被害をもたらす可能性のある新しい脆弱性のカテゴリーを可能にするものである。WindsurfやCursorのような主要なAIツールに免疫があるわけではなく、何百万人ものユーザーがいるため、この新たなセキュリティ問題に対する認識と管理スキルが最も重要である。

AWSとIntuitのセキュリティ研究者であるVineeth Sai Narajala氏とIdan Habler氏の最近の研究論文で指摘されているように、現状では、これらのツールの出力は一貫して、エンタープライズ対応と言えるほどセキュアではない「AIシステムがより自律的になり、MCPのようなものを介して外部のツールやリアルタイムのデータと直接やり取りするようになると、それらのやり取りが安全であることを確認することが絶対に不可欠になります。

エージェントAIシステムとモデルコンテキストプロトコルのリスクプロファイル

モデルコンテキストプロトコルは、Large Language Model(LLM)AIエージェントと他のツール間のより良い、よりシームレスな統合を可能にするAnthropicによって構築された便利なソフトウェアです。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubのようなビジネスクリティカルなSaaSツールの間に可能性の世界を開き、最先端のAIソリューションと相互作用する。MCPサーバーを作成し、どのように機能させ、どのような目的を達成させるか、ガイドラインを設定するだけです。 

MCP技術のセキュリティへの影響は、実際、ほとんどが肯定的なものである。LLMとセキュリティ専門家が使用する技術スタックとの間のより分かりやすい統合の約束は、無視できないほど魅力的であり、少なくとも、通常はタスクごとにカスタムコードを書いて展開しなければ、これまでは不可能であったレベルの精度の高いセキュリティタスクの自動化の可能性を示している。データ、ツール、人員間の広範な可視性と接続性が、効果的なセキュリティ防御と計画の基本であることを考えると、MCPによってもたらされるLLMの相互運用性の強化は、企業のセキュリティにとってエキサイティングな展望である。

しかし、MCPの使用は、注意深く管理されない限り、他の可能性のある脅威ベクトルを導入し、企業の攻撃対象領域を大幅に拡大する可能性がある。InvariantLabsが指摘しているように、Tool Poisoning攻撃は、AIモデルによる機密データの流出や不正行為につながる可能性のある新しい脆弱性のカテゴリーを表しており、そこからセキュリティへの影響は非常に暗く、非常に速くなります。 

InvariantLabsによると、ツールポイズニング攻撃は、ユーザーには見えないがAIモデルには完全に読める(実行可能な)悪意のある命令がMCPツール記述内に埋め込まれている場合に可能になる。これにより、ユーザーが意識することなく、ツールを騙して不正なアクションを実行させることができる。この問題は、MCPがすべてのツール記述を信頼できると思い込んでいることにあります。

彼らは、危険なツールがもたらす可能性のある結果を次のように指摘している:

  • AIモデルに機密ファイル(SSHキー、設定ファイル、データベースなど)へのアクセスを指示する;
  • このような悪意のある行動は、本来、無自覚なユーザーからは隠蔽される環境下で、AIにこのデータを抽出し、送信するよう指示する;
  • ツールの引数や出力のUI表現を欺くようにシンプルにすることで、ユーザーが見ているものとAIモデルが行うことの間に断絶を生じさせる。

これは、懸念すべき新たな脆弱性のカテゴリーであり、MCPの利用が必然的に増加するにつれて、ほぼ確実に頻繁に見られるようになるものです。企業のセキュリティプログラムが進化するにつれて、この脅威を発見し、緩和するためには慎重な対応が必要であり、開発者がその解決策の一部となるための十分な準備が鍵となります。

セキュリティに精通した開発者だけがエージェント型AIツールを活用すべき理由

エージェント型AIコーディングツールは、AIアシストコーディングの次の進化と考えられており、ソフトウェア開発における効率性、生産性、柔軟性を向上させる機能を追加している。文脈や意図を理解する能力が強化されたことで、特に有用なものとなっているが、攻撃者からのプロンプト注入、幻覚、行動操作などの脅威から免れることはできない。 

開発者は、良いコード・コミットと悪いコード・コミットの間の防御線であり、セキュリティとクリティカル・シンキングの両方のスキルを磨いておくことが、将来の安全なソフトウェア開発の基本になる。

AIの出力は、決して盲目的な信頼関係で実装されるべきではなく、セキュリティに精通した開発者が、文脈に即した批判的思考を適用することで、この技術によってもたらされる生産性の向上を安全に活用することができる。それでも、人間の専門家がツールによって生成された作業を評価し、脅威モデルを作成し、最終的に承認できるような、ペアプログラミングのような環境でなければならない。 

開発者のスキルアップとAIによる生産性の向上については、こちらをご覧ください。

実践的な軽減テクニックと、最新の研究論文でさらに詳しい情報を得る。

AIコーディング・ツールとMCPテクノロジーは、サイバーセキュリティの将来において重要な要素になると思われるが、水面を確認する前に飛び込まないことが肝要だ。 

NarajalaとHablerの論文では、企業レベルでのMCP導入とその継続的なリスク管理のための包括的な緩和戦略について詳述している。最終的には、深層防衛とゼロ・トラストの原則を中心に、この新しいエコシステムが企業環境にもたらすユニークなリスクプロファイルを明確にターゲットにしている。特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠である:

  • 認証とアクセス制御:エージェント型AIツールは、人間がエンジニアリングのタスクに取り組むのと同じように、問題を解決し、設定された目標を達成するために自律的な意思決定を行う。しかし、我々が確立したように、これらのプロセスに対する熟練した人間の監視を無視することはできず、ワークフローでこれらのツールを使用する開発者は、彼らがどのようなアクセス権を持っているか、彼らが取得したり、公開する可能性のあるデータ、そしてそれが共有される可能性のある場所を正確に理解する必要があります。 
  • 一般的な脅威の検出と緩和:ほとんどのAIプロセスに言えることだが、ツールの出力に潜在する欠陥や不正確さを発見するには、ユーザ自身がそのタスクに習熟していなければならない。開発者は、セキュリティプロセスを効果的にレビューし、AIが生成したコードをセキュリティの精度と権限を持ってレビューするために、継続的なスキルアップとそのスキルの検証を受けなければならない。
  • セキュリティポリシー及び AI ガバナンスとの整合:開発者は、承認されたツールについて周知され、スキルアップしてそのツールにアクセ スする機会を与えられるべきである。開発者とツールの両方が、コミットを信頼される前にセキュリティベンチマークを受けるべきである。

当社は最近、バイブコーディングとAIアシストコーディングの出現に関する研究論文を発表しました。ぜひご覧ください。また、開発部隊を強化するために、今すぐご連絡ください。

ウェビナーを見る
始める
もっと詳しく

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
リンクトインのブランドソーシャルx ロゴ
ご興味がおありですか?

シェアする
リンクトインのブランドソーシャルx ロゴ
著者
ピーテル・ダンヒユー
2025年07月09日掲載

最高経営責任者(CEO)、会長、および共同設立者

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

シェアする
リンクトインのブランドソーシャルx ロゴ

AI支援開発(あるいは、より流行のバージョンでは「バイブ・コーディング」)は、コード作成に大きな変革をもたらしている。既存の開発者たちはこぞってこれらのツールを採用し、また、自分たちでソフトウェアを作りたいと思いつつも関連する経験がなかった開発者たちも、以前であればコストと時間の負担となっていたような資産を構築するために、これらのツールを活用している。このテクノロジーは、イノベーションの新時代の到来を約束する一方で、さまざまな新しい脆弱性とリスクプロファイルをもたらし、セキュリティリーダーはその軽減に苦慮している。 

InvariantLabsが最近発見したModel Context Protocol(MCP)の重大な脆弱性は、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用することを可能にするAPIのようなフレームワークであり、「ツールポイズニング攻撃」と呼ばれる、企業において特に被害をもたらす可能性のある新しい脆弱性のカテゴリーを可能にするものである。WindsurfやCursorのような主要なAIツールに免疫があるわけではなく、何百万人ものユーザーがいるため、この新たなセキュリティ問題に対する認識と管理スキルが最も重要である。

AWSとIntuitのセキュリティ研究者であるVineeth Sai Narajala氏とIdan Habler氏の最近の研究論文で指摘されているように、現状では、これらのツールの出力は一貫して、エンタープライズ対応と言えるほどセキュアではない「AIシステムがより自律的になり、MCPのようなものを介して外部のツールやリアルタイムのデータと直接やり取りするようになると、それらのやり取りが安全であることを確認することが絶対に不可欠になります。

エージェントAIシステムとモデルコンテキストプロトコルのリスクプロファイル

モデルコンテキストプロトコルは、Large Language Model(LLM)AIエージェントと他のツール間のより良い、よりシームレスな統合を可能にするAnthropicによって構築された便利なソフトウェアです。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubのようなビジネスクリティカルなSaaSツールの間に可能性の世界を開き、最先端のAIソリューションと相互作用する。MCPサーバーを作成し、どのように機能させ、どのような目的を達成させるか、ガイドラインを設定するだけです。 

MCP技術のセキュリティへの影響は、実際、ほとんどが肯定的なものである。LLMとセキュリティ専門家が使用する技術スタックとの間のより分かりやすい統合の約束は、無視できないほど魅力的であり、少なくとも、通常はタスクごとにカスタムコードを書いて展開しなければ、これまでは不可能であったレベルの精度の高いセキュリティタスクの自動化の可能性を示している。データ、ツール、人員間の広範な可視性と接続性が、効果的なセキュリティ防御と計画の基本であることを考えると、MCPによってもたらされるLLMの相互運用性の強化は、企業のセキュリティにとってエキサイティングな展望である。

しかし、MCPの使用は、注意深く管理されない限り、他の可能性のある脅威ベクトルを導入し、企業の攻撃対象領域を大幅に拡大する可能性がある。InvariantLabsが指摘しているように、Tool Poisoning攻撃は、AIモデルによる機密データの流出や不正行為につながる可能性のある新しい脆弱性のカテゴリーを表しており、そこからセキュリティへの影響は非常に暗く、非常に速くなります。 

InvariantLabsによると、ツールポイズニング攻撃は、ユーザーには見えないがAIモデルには完全に読める(実行可能な)悪意のある命令がMCPツール記述内に埋め込まれている場合に可能になる。これにより、ユーザーが意識することなく、ツールを騙して不正なアクションを実行させることができる。この問題は、MCPがすべてのツール記述を信頼できると思い込んでいることにあります。

彼らは、危険なツールがもたらす可能性のある結果を次のように指摘している:

  • AIモデルに機密ファイル(SSHキー、設定ファイル、データベースなど)へのアクセスを指示する;
  • このような悪意のある行動は、本来、無自覚なユーザーからは隠蔽される環境下で、AIにこのデータを抽出し、送信するよう指示する;
  • ツールの引数や出力のUI表現を欺くようにシンプルにすることで、ユーザーが見ているものとAIモデルが行うことの間に断絶を生じさせる。

これは、懸念すべき新たな脆弱性のカテゴリーであり、MCPの利用が必然的に増加するにつれて、ほぼ確実に頻繁に見られるようになるものです。企業のセキュリティプログラムが進化するにつれて、この脅威を発見し、緩和するためには慎重な対応が必要であり、開発者がその解決策の一部となるための十分な準備が鍵となります。

セキュリティに精通した開発者だけがエージェント型AIツールを活用すべき理由

エージェント型AIコーディングツールは、AIアシストコーディングの次の進化と考えられており、ソフトウェア開発における効率性、生産性、柔軟性を向上させる機能を追加している。文脈や意図を理解する能力が強化されたことで、特に有用なものとなっているが、攻撃者からのプロンプト注入、幻覚、行動操作などの脅威から免れることはできない。 

開発者は、良いコード・コミットと悪いコード・コミットの間の防御線であり、セキュリティとクリティカル・シンキングの両方のスキルを磨いておくことが、将来の安全なソフトウェア開発の基本になる。

AIの出力は、決して盲目的な信頼関係で実装されるべきではなく、セキュリティに精通した開発者が、文脈に即した批判的思考を適用することで、この技術によってもたらされる生産性の向上を安全に活用することができる。それでも、人間の専門家がツールによって生成された作業を評価し、脅威モデルを作成し、最終的に承認できるような、ペアプログラミングのような環境でなければならない。 

開発者のスキルアップとAIによる生産性の向上については、こちらをご覧ください。

実践的な軽減テクニックと、最新の研究論文でさらに詳しい情報を得る。

AIコーディング・ツールとMCPテクノロジーは、サイバーセキュリティの将来において重要な要素になると思われるが、水面を確認する前に飛び込まないことが肝要だ。 

NarajalaとHablerの論文では、企業レベルでのMCP導入とその継続的なリスク管理のための包括的な緩和戦略について詳述している。最終的には、深層防衛とゼロ・トラストの原則を中心に、この新しいエコシステムが企業環境にもたらすユニークなリスクプロファイルを明確にターゲットにしている。特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠である:

  • 認証とアクセス制御:エージェント型AIツールは、人間がエンジニアリングのタスクに取り組むのと同じように、問題を解決し、設定された目標を達成するために自律的な意思決定を行う。しかし、我々が確立したように、これらのプロセスに対する熟練した人間の監視を無視することはできず、ワークフローでこれらのツールを使用する開発者は、彼らがどのようなアクセス権を持っているか、彼らが取得したり、公開する可能性のあるデータ、そしてそれが共有される可能性のある場所を正確に理解する必要があります。 
  • 一般的な脅威の検出と緩和:ほとんどのAIプロセスに言えることだが、ツールの出力に潜在する欠陥や不正確さを発見するには、ユーザ自身がそのタスクに習熟していなければならない。開発者は、セキュリティプロセスを効果的にレビューし、AIが生成したコードをセキュリティの精度と権限を持ってレビューするために、継続的なスキルアップとそのスキルの検証を受けなければならない。
  • セキュリティポリシー及び AI ガバナンスとの整合:開発者は、承認されたツールについて周知され、スキルアップしてそのツールにアクセ スする機会を与えられるべきである。開発者とツールの両方が、コミットを信頼される前にセキュリティベンチマークを受けるべきである。

当社は最近、バイブコーディングとAIアシストコーディングの出現に関する研究論文を発表しました。ぜひご覧ください。また、開発部隊を強化するために、今すぐご連絡ください。

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

最高経営責任者(CEO)、会長、および共同設立者

もっと詳しく

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リンクトインのブランドソーシャルx ロゴ
リソース・ハブ

始めるためのリソース

その他の記事

Trust Agent:AI - Secure and scale AI-Drive development

AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.

さらに詳しく
Apr 1, 2026
A minimalist illustration showing a stack of three white papers. The top document has a folded top-right corner and horizontal blue lines representing text, over a smooth blue-to-pink gradient background.
ポケットベル
ポケットベル

OpenText アプリケーションセキュリティのパワー + Secure Code Warrior

OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.

2026年3月23日
ポケットベル

Secure Code Warrior corporate overview

Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.

Mar 19, 2026
パンフレット

セキュアコード・トレーニングのトピックと内容

Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.

2026年3月11日
リソース・ハブ

始めるためのリソース

その他の記事

Enabler 3: Developer Communications Plan

Keep developers engaged in your secure coding program with a strong communications plan. Learn to highlight benefits, set the right tone, and celebrate wins.

さらに詳しく
Apr 16, 2026
Header graphic for the Secure Code Warrior "Enablers of Success Series" featuring the text "Developer Communications Plan" on a blue background with abstract circuit board lines.
ブログ
ブログ

The Agentic Era Arrived Early. Don’t Get Caught Off Guard by Late AI Governance.

Anthropic's Claude Mythos represents a permanent, fundamental shift in how every security leader must approach their security program, especially with patch management of legacy systems.

Apr 10, 2026
ブログ

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

Mar 19, 2026
ブログ

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.

Mar 17, 2026