生成AIの大波に揺れるIT業界。セキュリティ業界も無縁ではいられません。 その未来図が希望なのか絶望なのか。昨年(2025年)あたりからそのあたりを問われることが増えています。
確かに、大波によってIT業界は大きく様変わりし始めています。 AIのプログラミング性能が急速に向上し続ける一方で、昨年後半くらいからコードの脆弱性を発見するという場面で力を発揮し始めています。 その勢いはすさまじく、「プログラミング」の概念を変えつつある、と言っても過言ではありません。 生成AI業界における主役たちは、「プログラミング」を制することができれば社会のインフラとしての存在感を絶対的なものにできると信じてか、熾烈な競争を繰り広げています。 これまで、生産性を上げようとするさまざまな試みがほとんど効果を発揮できていなかったプログラミングの生産性が爆発的に向上する一方で、結局使いこなせるのは一部のエキスパートのみで、それ以外のエンジニアはむしろ取って代わられてしまっています。 その結果、大量レイオフが制度上可能なアメリカでは、これまでのIT業界のバブリーさから一転してレイオフの嵐が吹き荒れていて、優秀なエンジニアですら仕事にあぶれることになり、ホワイトカラーへの絶望感までが拡がっています。
セキュリティ業界として無視できないのは、脆弱性を見つけるツールや、その性能の劇的とも言える向上度合いです。 これまで、まさに脆弱性を見つける仕事である脆弱性診断においてもツールは用いられてきましたが、それらのツールはWebアプリケーションに対して、そのアプリの利用者が入力を行うのと同等の立場からさまざまな入力を試す、という形をベースにしたものがほとんどでした。ソースコードを直接検査するツールもありますが、残念ながらカバレッジはいまいちで、脆弱性を発見するという大きなプロセスの中では補助的な役割に使うのが精一杯というところでした。
近年、発見ツールベンダー各社のAI的な機能の導入をきっかけとして、その図式が徐々に変わり始めました。その変化は当初、緩やかなものでしたが、生成AI業界の主役のひとつでもあるAnthropicがコードをベースとする脆弱性発見ツールClaude code securityを発表したことで、激流へと変わりました。 ファジングという総当たり脆弱性発見業界においても近年研究が進むなど、その萌芽はありましたし、昨年にはAIxCCも10年ぶりに開催されるなど気運は高まっていましたが、その最後の一押しとなった印象です。
実際、脆弱性発見に賞金で応じるバウンティプログラムを主催するHacker Oneは、AIによる発見の爆増によって受付を停止すると発表しています。 大波がいよいよ現実的に押し寄せてきている、というところでしょうか。 今後はおそらく、システムやアプリケーションの開発プロセスの中にAIによる脆弱性発見機能が組み込まれていくでしょう。 そうなったとしたら、脆弱性の生産数が激減する可能性すらあると思います。
コードの生成や脆弱性の発見といった分野でこれほどまでに成果を上げられるのは、今の生成AI=確率モデルというものが正解(最適解)を見出すのが上手い仕組みだからだと思います。 プログラミングの場合、目的を達成する=望まれる機能を実現するための道筋は多数あるものの、一定の品質で動作させる最適解は見出しやすい分野ですし、脆弱性の発見についても同様で、脆弱性という正解=最適解があるのならばそれを見出しやすい、とも言えるわけです。 今現在生成AIが世を席巻しているのは、特にホワイトカラーと呼ばれる領域には想像以上に正解=最適解が多いからだと思いますし、IT業界、セキュリティ業界含めその版図の拡大は続くでしょう。
その拡大が限界まで達したとき、エキスパートだけがAIを使いこなせるのに、エキスパートになる機会を奪われてしまう人間はどこに勝機を見出せるのか。
(次回に続く)
