生成AIでDevSecOpsを加速させる方法｜開発の上流工程を高速・高品質にするための活用術｜ブログ

生成AIで加速するDevSecOps

DevSecOpsとは、「開発・運用（DevOps）」のサイクルに「セキュリティ（Sec）」を組み込み、開発スピードと安全性の両立を目指す取り組みです。しかし現実には、両者は多くの場合トレードオフの関係にあるというジレンマがあります。

本記事では、生成AIによってこのジレンマを解消し、従来よりも高速かつ高品質にDevSecOpsを実現できる可能性に注目します。特に、DevSecOpsのライフサイクルにおける初期フェーズ（企画～設計）での生成AI活用に焦点を当て、具体例や導入にあたっての考え方、そして当社がご支援できる内容をご紹介します。

DevSecOpsの現状を変える生成AI

DevSecOpsでは、アジリティ（開発スピード・柔軟性）とセキュリティの両立を目指します。

参考記事

日本でDevSecOpsが進まない理由｜必要なのは「失敗を許容する文化」

参考記事でも紹介したように、当社では、この過程を下図のような二軸（縦：アジリティ / 横：セキュリティ）のマトリクス上で表現しています。右上が、DevSecOpsが実現した理想状態です。

しかし現実には、アジリティとセキュリティは往々にしてトレードオフとなります。スピードを取ればセキュリティが疎かになり、セキュリティを取ればスピードが落ちる。その結果、DevSecOpsの理想状態になかなか辿り着けないという課題が長らく続いてきました。

こうした状況を変える可能性を持つのが生成AIです。従来は人手に依存し、時間をかけざるを得なかった工程を生成AIが代替することで、アジリティとセキュリティを同時に高め、理想状態へより直接的に近づく道筋が見えてきました。

DevSecOpsの各フェーズにおける生成AI活用イメージ

当社では、DevSecOpsのライフサイクルを Plan / Create / Verify / Package / Release / Configure / Monitor の7つのフェーズで捉えています。

セキュリティ強化を目的とした場合、各フェーズでは次のような生成AIの活用法が検討できます。

DevSecOpsの各フェーズ	生成AI活用によるセキュリティ強化の例
Plan（企画・要件定義）	・脅威シナリオの生成、分析・公的標準や社内規程への準拠状況評価
Create（設計・コーディング）	・設計書のセキュリティレビュー・セキュアコーディング支援
Verify（検証）	・ SAST/DAST/IAST実行結果の解釈、修正提案・検査項目の補完、誤検知の精査
Package（パッケージ化）	・ SCA実行結果の解釈、修正提案・検査項目の補完、誤検知の精査
Release（リリース）	・セキュリティゲート判定の補完
Configure（構成・デプロイ）	・ IaC、各種構成設定のセキュリティレビュー
Monitor（監視・運用）	・ログ解析、不審挙動検知・インシデントレスポンス支援

このように、工夫次第でDevSecOpsのすべてのフェーズで生成AIを活用する余地があります。ただしVerify以降の工程は非生成AIを含む既存ツールが充実しているため、生成AIの役割はそれらを運用する際のさらなる効率化や補完が中心になると想定されます。

一方で、Plan〜Create（企画～設計）といったサイクル初期のフェーズは、生成AIを導入することの恩恵が最も期待できる領域であると言えます。これらの工程は定型化が難しいために自動化自体がほとんど進まず、人間の経験や判断に頼る以外の手段がなかったからです。生成AIは非定型な情報を非定型なまま解釈し、早く、かつ網羅的な観点で示唆を返すことができます。その結果、従来は人間の能力が制約となっていた工程において、その制約を超えたアジリティとセキュリティの向上が可能となります。

セキュリティ・バイ・デザインを支える生成AI活用

DevSecOpsサイクルの初期フェーズへの生成AI導入は、近年その重要性が強調されている「セキュリティ・バイ・デザイン」の理念とも合致します。セキュリティ・バイ・デザインとは「開発の早い段階からセキュリティを考慮し、脆弱性の早期発見や修正コスト削減を目指す」という考え方のことですが、これはDevSecOpsを目指す上でも極めて重要な要素です。

なぜなら、セキュリティを確保しつつもアジリティを損なわないためには手戻りの少ないプロセス設計が不可欠であり、そのためには自然とセキュリティ・バイ・デザインの実践が求められるからです。しかし先に述べたように、開発の早い段階でセキュリティを考慮する作業は、これまで人間の能力に強く依存し、効率や品質の向上が難しい領域でした。これに対して、生成AIが現実的な解決策となります。

こうした背景を踏まえ、DevSecOpsサイクル初期フェーズにおける生成AIの具体的な活用例を以下にご提案します。

セキュリティレビュー支援AIエージェント

要件定義書や設計書を読み込み、NIST文書・CIS Controls・社内規程等、ベースラインとなる基準への準拠状況を評価し、考慮漏れの指摘や改善案を提示します。レビューの省力化、チェックの網羅性向上が期待できます。 aiagent

脅威分析支援AIエージェント

要件定義書や業務フロー、設計情報をインプットに、世の中の脅威動向やインシデント事例を踏まえ想定される攻撃シナリオを作成し、発生可能性や影響度を評価します。セキュリティレビュー支援AIエージェントと同様に、分析の省力化と網羅性向上が期待できます。

セキュリティプロセス支援AIエージェント

セキュリティ・バイ・デザインのガイドライン等に記載されている対策を、対話的に相談できる相手となります。さらに管理側で「どのプロジェクトがどの工程でどのような質問を行ったか」といったデータを取得できるようにすることで、セキュリティ・バイ・デザインの実践状況を可視化し、組織の改善に活用します。

これらはあくまで一例に過ぎませんが、どのような形であれ生成AIをサイクル初期フェーズに導入することは、従来スローガンに留まりがちだった「セキュリティ・バイ・デザイン」を、現場レベルで実践可能にする強力な手段となるでしょう。

生成AI導入後の人間の役割

ここまで、生成AIがDevSecOpsの現場にもたらす価値の可能性を見てきました。しかしAIが多くの作業を担うようになった後、人間の役割はどうなるのでしょうか。おそらく、人間の役割は「作業者」から「評価者・意思決定者」へとシフトしていくと考えられます。もちろんその評価や意思決定の材料を提供するのもまたAIかもしれませんが、最終的な責任は依然として人間にあります。

まず人間が担うべき任務は、AI活用方法の設計と見直しです。人間が仕事の主役である業務を前提とする限りは、どの工程にAIを適用し、どこで人間が介在するかを決めることは、人間にしかできません。なぜなら、現実世界の制約や人間同士の複雑な相互作用まで含む業務活動全体の在り方を捉えることは、AIには困難だからです。そして、そのような戦略はAIの技術的進化や組織の成熟度に応じて継続的に見直す必要があります。

その上で、人間は評価基準の定義とその解釈に注力することになると考えられます。AIの出力品質や運用効果を測るためのKPIを設定し、モデルやプロンプト、運用ルールを調整していくことになります。

また、最終承認やリスク受容といった判断は、少なくとも現在の社会においては人間が必ず担うべき行為です。ビジネスリスクを伴う意思決定をAIに委ねることは、当面は現実的ではないでしょう。

つまりAI導入後の人間は、単に「作業を減らされる側」ではなく、AIをよりよく・正しく活用するための「仕組みづくりと改善に注力する側」になると言えます。結果として、DevSecOpsの現場も「人間が戦略を描き、AIが実務を遂行する」構造へと移行していくと予想されます。

ちなみに、このような考え方は「ヒューマン・イン・ザ・ループ（Human-in-the-Loop; HITL）」と呼ばれているアプローチに通ずるものがあります。HITLは、AIがプロセスを自動化しつつも人間による監督を意識的に組み込み、精度・倫理性・透明性といった点を確保する手法です。

NRIセキュアで可能なご支援

とはいえ、実際に「評価者・意思決定者」としての役割を果たすことは容易ではありません。AIが出力した内容を適切に評価するには、その内容を正しく理解し、ときにはそれを上回る判断を下す力が求められます。モデルやプロンプトをチューニングしてプロジェクトに合わせた最適化を図るにも、その妥当性を裏付けるセキュリティの知見が必要になります。またAI導入の効果を最大化していくためには、持続的な運用と改善を支える仕組みづくりが不可欠です。

こうした課題に向き合いながら共に伴走するパートナーとなるべく、当社では以下のようなご支援が可能です。