大半のユーザー組織は承知の上で脆弱なコードを配布している：GenAI がもたらす危機的な状況とは？

Majority of Organizations Ship Vulnerable Code, Study Finds

2025/08/15 InfoSecurity — GenAI コードが主流になるにつれ、ユーザー組織の 81% が承知の上で、脆弱なコードを配布していることが、Checkmarx の最新調査により明らかになった。この調査は、CISO／開発者／アプリケーション・セキュリティ管理者たち 1,500 人を対象としたものであり、回答者の 50% が、すでに AI セキュリティ・コード・アシスタントを活用しているという。さらに、34% の回答者が、自社コードに占める GenAI コードの割合が 60% 以上に達することを認めているという。GenAI コードには、既知の脆弱性がデフォルトで含まれていることが多いが、それでも、このような状況となっている。

この調査結果は、2025年8月14日に発表された Checkmarx のレポート “Future of Application Security in the Era of AI” の一部である。

この調査は、北米／欧州／アジア太平洋地域の専門家たちを対象に実施されたものだ。地域別では、欧州の回答者の 32% が、既知の脆弱性を含むコードを頻繁に導入していると回答した。それに対して、北米は 24% であった。

この調査結果によると、回答者の 98% が、これまでの１ 年間において脆弱なコードに起因する侵害を経験しており、この比率は 2024 年の 91% から大幅に増加している。

その一方で Checkmarx は、AI コーディング・アシスタントの導入拡大により、開発者の所有権が侵害され、攻撃対象領域が拡大していると指摘している。

回答者の 32% は、今後の 12～18ヶ月以内に、Shaow API またはビジネス・ロジックへの攻撃による、Application Programming Interface (API) 侵害が発生すると予想している。

コード開発におけるセキュリティ・ガバナンスの欠如

DAST (Dynamic Application Security Testing) や、 Infrastructure‑as‑Code Scanning といった、成熟したアプリケーション・セキュリティ・ツールなどの、基本的なツールを導入していると回答したのは、半数未満に留まった。

その一方で、調査対象となった組織のうち、コアとなる DevSecOps ツールを積極的に活用しているのは半数に過ぎず、北米の組織で DevSecOps を導入しているのは僅か 51% となった。

Checkmarx の VP of Portfolio Marketing である Eran Kinsbruner は、「AI アシスタント開発が加速する流れの中で、もはやセキュリティは、後付けの対策では済まされない。コードからクラウドまで、セキュリティを組み込む必要がある」と述べている。

彼は、「当社の調査によると、すでに開発者たちは、多くのコードを AI に任せているが、これらのツールに関するガバナンスが、大半の組織において不十分である。さらに、81% の企業が脆弱なコードを、承知の上で配布しているという事実も加わり、まさに最悪の事態が予想される。危機が訪れるのは時間の問題である」と付け加えている。

レポートで指摘された問題を克服するため、Checkmarx がユーザー組織に対し推奨するのは、予防に重点を置いたセキュリティ・ツールの運用である。

アプリケーション・セキュリティ企業である同社は、AI の利用に関するポリシーの確立も必要だと指摘している。現時点において、GenAI コードが主流になり始めているが、この分野でのガバナンスは遅れている。

GenAI は、問題をリアルタイムかつ自動的に、分析／修正するためにも使用できる。Eran Kinsbruner は、「GenAI コードは、今後も増加し続けるだろう。今後の数年間において、セキュアなソフトウェアこそが、競争上の差別化要因となるだろう」と述べている。

先日に Checkmarx が発表したのは、Windsurf by Cognition／Cursor／GitHub Copilot などの、AI ネイティブ IDE 向けのエクステンションを備えた、Developer Assist Agent である。それを受けて、このレポートが公開された。

GenAI によるコード生成が広がる中で、既知の脆弱性を含むコードが、そのまま配布されている実態が示されています。原因の中心は、AI が生成するコードに、既存のセキュリティ上の欠陥が入り込みやすいこと、そして、それを検証せずに利用してしまう組織側のガバナンス不足にあると、この記事は指摘しています。よろしければ、カテゴリ Statistics も、ご参照ください。