The AI Governance Gap Is Bigger Than We Think
2026/05/25 SecurityBoulevard — それをコントロール下に置いているという言葉は、テクノロジーの世界における最も危険な錯覚である。たしかに、それにより安心感が与えられ、成熟感が示される。そして、今後において直面するだろう課題が、すでに理解され、測定され、管理されているように聞こえる。しかし実際には、クラウド/オープンソース/コンテナ/Kubernetes に至るまで、業界全体で繰り返して学んできたことは、自信と制御が同一ではないことだ。
現実の問題として、これまでの 20年間に安全性を脅かしてきた、最大級とされる運用上の障害の多くは、素早く進化しているリスクに対してガバナンス・モデルが追いついていると、あらゆる組織が誤認してきたことに起因している。JFrog が新たに公開した “2026 Software Supply Chain Security State of the Union” レポートは、この傾向を明確に示している。
このレポートによると、97% の組織が AI ガバナンスを導入していると主張している。一見すると、それは良いニュースに見える。AI が実験段階から本番システムへと急速に移行している現状を踏まえれば、ガバナンスへの真剣な取り組みが、企業に期待されるのは当然のことである。
しかし、レポートを深く読み込むと、その自信は疑わしいものに見えてくる。この調査で判明したのは、53% の組織が、すでに悪意のペイロードが検出されているリポジトリからモデルを取得していることである。
さらに懸念すべき点として、18% の組織が IDE および Model Context Protocol (MCP) サーバに対してガバナンスを持たないと回答している。それらが、開発者のワークフローに直接組み込まれている状況に対して、配慮が足りないと指摘せざるを得ない。
これらの数値は、成熟したガバナンス環境を示していない。それぞれの組織が、”制御していると捉えているもの” と、”実際に制御できているもの” の間で、乖離が拡大している状況を示している。
このレポートのタイトルは、ソフトウェア・サプライチェーン攻撃の急増に焦点を当てている。悪意の npm パッケージは、この 1年間で 451% も増加した。JFrog は、ソフトウェア・レジストリ全体において、177,000 以上の悪意のパッケージを特定している。
これらは重要な数値であり、ソフトウェアのセキュリティに責任を持つ者にとって無視できるものではない。しかし、悪意のパッケージだけに注目すると、その背後で進行している、より大きな変化を見落とすことになる。つまり、ソフトウェア・サプライチェーンそのものが変化しているのである。
これまでサプライチェーン・セキュリティが焦点を当ててきたのは、主にソースコード/オープンソース依存関係/コンテナ/バイナリの来歴に対する理解である。つまり、本番環境にソフトウェアが流入する、主要な経路の可視化に多大なコストが投じられてきた。しかし、現在のサプライチェーンはコードだけで構成されていない。
現代の開発環境が依存するものを挙げると、基盤モデル/ファインチューニング・モデル/AI 生成コード/エージェント型ワークフロー/MCP サーバ/AI 搭載 IDE エクステンションなどがある。それに加えて、開発者の代わりに企業システムと対話する自律エージェントへの依存もある。
現実に生産性が向上するため、これらの機能が多くの組織で急速に採用されている。開発者は迅速にコードを書ける。チームは定型作業を自動化できる。エージェントは、テスト/トラブルシューティング/デプロイを加速できる。
しかし、この技術の進化に対して、ガバナンス・フレームワークが追いついていない状況を忘れてはならない。自律システムが意思と行動を決定する新しいエコシステムに対して、多くのユーザー組織が、ソフトウェア・パッケージ向けに設計されたガバナンス・モデルを適用している。
JFrog レポートの興味深い点は、これら新しいリスクを、定量化しようとしている点である。同社が特定したものには、495 件の悪意の AI モデル/969 件の悪意の AI エージェントとスキル/多数の悪意の OpenVSX エクステンションがある。
5 年前であれば、これらはセキュリティ・チームの関心対象ですらなかった。しかし現在では、ソフトウェアが本番環境に到達する以前の段階で、マルウェアが混入していく主要な攻撃ベクターとなっている。
この変化は、攻撃者の行動の進化にも現れている。これまでの攻撃者は、主としてデプロイ済みアプリケーションの脆弱性を狙っていた。その後に、彼らの関心は依存関係やパッケージ・リポジトリへと上流へ向けて移動した。最近では、CI/CD パイプラインや開発環境が標的となっている。
さらに AI が、この傾向を加速し、新たな信頼関係と攻撃面積を生み出している。これらの領域に共通する点は、ソフトウェアそのものではなく、信頼を成立させるメカニズムが、攻撃の対象にされる点である。
悪意のパッケージ展開が成功するのは、そのソフトウェアが信頼され、インストールされるからである。汚染されたモデルであっても、正当と信じられるから導入される。侵害された MCP サーバのケースも、十分な検証なしにアクセスが許可されるから攻撃が成功する。
つまり攻防の最前線は、コードではなく信頼にある。この違いは微妙だが、セキュリティ戦略に大きな影響を与える。多くのガバナンス・フレームワークは、成果物としてのソフトウェアの管理を前提に設計されている。したがって、自律エージェント/モデル挙動/機械生成アクションの評価には対応していない。
もう 1つ注目すべき点として、2025年には 48,000 件以上の新規の脆弱性 (CVE) が公開され、前年比で約 20% の増加を示している。その一方で、それらの脆弱性のうちの約 3分の2は、実環境での影響が限定的であると分析されている。
長年にわたり、この業界は “脆弱性の数” をリスク指標としてきた。しかし実際には、開発ワークフロー内の信頼関係の破壊の方が、低リスク CVE の蓄積よりも危険である場合が多い。
AI 生成コードに関する調査結果も重要である。回答者の約半数が、AI 生成コードのレビューとハードニングが大きな負担になっていると述べている。AI は開発を加速するが、責任を消すわけではない。
すべての生成された機能に対して、レビューが必要である。つまり、依存関係に対する検証と、自動化された提案に対する監督が必要になる。つまり、AI により作業が減るのではなく、その対象が移動しているに過ぎない。
この文脈においては、プラットフォーム・エンジニアリングの重要性が増してくる。プラットフォーム・チームは、Kubernetes 管理から進化し、開発基盤を標準化する役割を担っている。そして現在、AI の導入と実運用におけるガバナンスの側面も担いつつある。
実質的にプラットフォーム層で行われているものには、承認モデル/MCP 接続/エージェント権限/ポリシー適用/ソフトウェア来歴などに対する意思決定がある。
JFrog が繰り返して用いる “熟達の幻想” (the illusion of mastery) という表現が、このレポートの本質である。問題は、ガバナンスが存在しないことではなく、実際のワークフローをカバーしていると錯覚していることである。つまり、ガバナンスは、作業が行われる場所に存在しなければ意味がないのだ。
ポリシー文書は AI モデルを制御しない。コミッティが MCP サーバを守るわけではない。実際のガバナンスは、プラットフォーム/ワークフロー/パイプラインの内側に存在する。
Shimmy の見解
さまざまな指標において、膨大な数値が示されているが、そこに JFrog レポートの価値があるわけではない。重要なことは、この業界の構造的な変化を示している点にある。
ソフトウェア・サプライチェーンは、もはやソフトウェアだけで構成されているわけではない。それにより、議論されるべき問題は、モデル/エージェント/エクステンション/自律システムへの信頼へと変化している。
今後において成功する組織は、最も多くのポリシーを持つ組織ではない。ソフトウェア/AI/人間による意思決定が交差する場所で、実際にガバナンスを実証できる組織である。
訳者後書:急速に普及する AI モデルや自律型エージェントや MCP サーバなどの新しい技術に対して、従来のソフトウェア向けの管理モデルを、そのまま適用して制御できていると誤認している点に問題があると指摘する記事です。このガバナンスと開発現場の実態との乖離が原因となり、検証が不足した状態での悪意のモデルの取得や、開発環境における統制の欠落などが生じ、信頼を悪用するマルウェアの混入という事態を招いています。日々のワークフローの中で新しい技術との信頼関係を適切に検証し、実際のパイプラインの内側に動的な統制を組み込んでいくことが大切です。攻撃対象が、ソフトウェアの脆弱性から、ソフトウェアやモデルへの信頼に移行している現状を、直視する必要があります。
IoT OT Security News 
You must be logged in to post a comment.