生成 AI は DevSecOps を殺すのか?

ノアが編集

制作：51CTO テクノロジースタック（WeChat ID：blog）

生成 AI は DevSecOps を完全に置き換えるものではありませんが、間違いなく大きな課題をもたらします。コード生成のペースが急速に進む中、セキュリティ チームはどのように対応すればよいのでしょうか?

ほとんどの開発者はすでに生成 AI 技術を採用しています。今では、生産性と仕事への満足度が大幅に向上しているか、少なくとも認知負荷がいくらか軽減されている可能性があります。 Generative AI は、開発者が迅速な解決策を得るための新しい Stack Overflow になりました。しかし、高速化には大きなリスクが伴います。

昨年、パデュー大学の研究者らは、ChatGPT によって書かれたコードのエラー率が 52% にも達することを発見しました。先月、GitClear は、GitHub Copilot への過度の依存により全体的なコード品質が低下していることを明らかにするレポートを公開しました。

生成 AI に関するこれら 2 つの研究の背後にある中心的な疑問は次のとおりです。

1. チャットボットの応答は、その正確性やコードベース全体のコンテキスト内での適合性ではなく、受け入れられる可能性に基づいています。

2. チャットボットは長期的なコード保守性を考慮していないため、無駄なコードや技術的負債が増えてしまいます。

3. 生成 AI がコード作成を支援する速度は、DevSecOps チームが追いつくのがほぼ不可能なほどです。

「生成 AI は製造現場で安全に使用できますか？」Snyk のプロダクト ディレクターである Hannah Foxwell 氏は、最近の State of Open Con カンファレンスでこの質問をしました。

彼女は、組織や業界の規模に関係なく、「これらのツールは非常に強力で、効率性を大幅に高めるため、正式に承認するかどうかにかかわらず、開発者がそれを使用する方法を見つけるため、AI 生成コードは最終的に本番環境で実行されるようになります」と述べています。

Foxwell 氏は、同僚のシニア セキュリティ アドボケートの Sonya Moisset 氏、GitLab のソリューション アーキテクトの Dominique Top 氏と Stefania Chaplin 氏とともにパネルに参加し、生成 AI がソフトウェア開発ライフサイクル (SDLC) 全体にわたってセキュリティを統合するという DevSecOps の目標にどのような影響を与えるかを検討しました。

つまり、生成 AI はすべてを変えているのです。組織が開発者による大規模言語モデル (LLM) への機密情報の入力を防止できたとしても、生成 AI の導入が急速に進むと、すべての組織のセキュリティが依然として危険にさらされます。これにより、チーム間のコミュニケーションとコラボレーションを促進する DevSecOps プロフェッショナルの役割がさらに重要になります。 GenAI 時代の DevSecOps 実践者が直面する課題と、慎重に最善の行動を取る方法について議論してみましょう。

1. 速度が問題ですか?

フォックスウェル氏は、ソフトウェア エンジニアリングにおける生成 AI を「ペースの大きな変化」と呼んでいます。トップ氏は、業界全体が世界を揺るがすような変化に直面するだろうと語った。

しかし、生成 AI のユースケースとそれがもたらすメリットについてはまだ調査と解明が進められていますが、DevSecOps プロフェッショナルの仕事がより困難になることは否定できません。

このような課題に直面して、DevSecOps 実践者は次のことを行う必要があります。

1. 適応型戦略を確立する: 生成されたコードの品質管理とセキュリティ監査を維持しながら、セキュリティ プロセスが AI 駆動型開発環境に迅速に適応して統合できるようにします。

2. トレーニングと意識の強化: 機密情報の漏洩を避けること、出力結果の潜在的なエラーを理解すること、AI によって生成されたコードの慎重なレビューを促進することなど、生成 AI ツールを正しく使用することの重要性について開発者を教育します。

3. 統合された自動検証: AI 生成コードの自動テスト、静的分析、動的スキャンを CI/CD プロセスに追加して、誤検知や誤検出の可能性を減らします。

4. 関連する標準とポリシーを策定する: 組織のセキュリティ標準とガイドラインを更新して、AI 支援プログラミングの実際的な要件と、これらのテクノロジーを安全に適用できる時期と場所を明確に定義します。

5. チーム間のコラボレーションとコミュニケーション: DevOps、セキュリティ チーム、AI チーム間のコミュニケーションとコラボレーションを強化し、急速なコード生成によって生じる新たなセキュリティ リスクに共同で対処し、より堅牢なセキュリティ保護メカニズムを設計します。

6. 継続的な監視と改善: 生成 AI テクノロジーが進化するにつれて、ソフトウェアの品質とセキュリティへの影響を継続的に評価し、それに応じて DevSecOps のベスト プラクティスを調整します。

まとめると、生成 AI によってこれまでにない開発スピードの向上がもたらされた一方で、DevSecOps の専門家は、その結果生じるセキュリティ上の脅威に積極的に対応し、スピードを確保しながら効率的かつ安全な開発・運用システムを構築する必要があります。

サイバーセキュリティ専門家の半数以上がすでに燃え尽き症候群に陥っており、サイバーセキュリティ関連の求人が340万件も埋まらず、労働力は不足しています。 「これらのチームは、環境の複雑さや技術の無秩序な広がりなど、開発のペースについていくのにすでに苦労しています」とフォックスウェル氏は言う。「私が一緒に働いているセキュリティ チームが直面している速度の課題は、このことでさらに悪化していると思います。」

こうなると、次のような疑問が湧いてきます。私たちの業界は単にスピードのために前進しているのでしょうか?

「誰もが開発者の生産性を高める方法に非常に注力しています」とトップ氏は言う。「しかし、多くの組織では、セキュリティ チームが次のように問いかけています。『ちょっと待ってください。私たちは何をしているのですか? なぜこれをやっているのですか? そもそもなぜこれをやっているのか、たとえば AI を取り入れるなど、検討できますか?』」

ChatGPT がリリースされてから 1 年が経ち、セキュリティの問題がまだはっきりしていないにもかかわらず、ほとんどの企業が「早期導入の考え方」を急いで採用したことを彼女は振り返った。 「現時点では、本番環境に投入されるものが安全であることを確認するためにセキュリティチームに頼っていますが、変化のスピードについていくのは本当に難しいです」と彼女は語った。

しかし、生成 AI は避けられないトレンドとなっており、開発者は生産性を向上させるこれらの成果を簡単に放棄することはありません。では、DevSecOps の専門家はどのように対応すべきでしょうか?

2. AI で生成されたコードは重要なアプリケーションに信頼できますか?

AI がこれまで以上に多くのコードを生成するようになったため、DevSecOps の自動化がさらに重要になります。しかし、安全な自動化にはシステムに対する深い理解が必要ですが、GenAI の場合、その内部の仕組みは不明瞭なことが多いのです。

「モデルがなぜ特定の出力をするのかをリバースエンジニアリングするのは、不可能ではないにしても、非常に困難です」とフォックスウェル氏は言います。「モデルは非常に複雑で、常に進化しています。私たちが慣れ親しんでいる『こうなったら、ああなる』という決定論的なプロセスではありません。混沌としていて、予測不可能な可能性があり、なぜそのような結果になったのか説明できません。」

彼女は、この技術はまだ初期段階にあり、それをどのように、どの程度まで制御できるかをまだ模索している段階だと警告している。

モワセット氏は、絶対的な保証ではないものの、意思決定のための良い基準として、これらの大規模言語モデルの作成者が AI 倫理原則を公開しているかどうかを考慮することが重要だと付け加えた。

Top 氏は強く同意しています。「自動生成されたコンテンツは、どこから来たのか、何に基づいているのかわからないため、盲目的に信頼すべきではないと強く信じています。だからこそ、組織はすべてを二重チェックするプロセスと習慣を構築する必要があるのです。」

彼は、コードに対してセキュリティ スキャンを実行するだけでなく、GenAI ツール自体がどのように機能するかを理解することを推奨しています。 「たとえば、コードの生成方法を見ると、多数のオープンソース リポジトリからのトレーニング セットに基づいているかどうかがわかります。その多くはセキュリティ対策が実装されていません」と Moisset 氏は指摘します。「したがって、セキュリティ ツールをスキャンして、生成されたコードがパイプラインにあるものと同じレベルのセキュリティを備えていることを確認する必要があります。」これは、最終的に生成されたコードのセキュリティを確認するだけでなく、コードを生成するために使用されたデータ ソースとツールもセキュリティに関して厳密に検証されていることを確認することを意味します。

3. DevSecOpsは改善する必要がある

DevSecOps の実践では、自動化と安全な境界だけに頼るだけでは不十分です。モワセット氏は、DevSecOps チームが同僚が使用しているさまざまな生成 AI ツールを認識し、生成 AI の使用に関するポリシーを策定して伝達するなどして、それらの適切な使用方法を教育できるようにするために、企業レベルでセキュリティ ポリシーを導入することも重要であると強調しました。

GenAI を全面的に禁止することは現実的ではありません。イタリアがChatGPTを一時的に禁止したとき、同国のGitHub組織全体の生産性が大幅に低下したが、禁止が解除されると「政府のポリシーやファイアウォールをすべて回避して、これらのツールの使用が増加した」とフォックスウェル氏は指摘した。エンジニアは常に問題を解決する方法を見つけます。

特に、生成 AI を使用してカスタマー サービス チャットボットを開発する場合、悪意のある人物が特定のプロンプトを挿入してチャットボットを「ソーシャル化」し、望ましい結果をもたらす可能性があるため、入力側と出力側の両方にセキュリティ境界を設定することが重要であると Moisset 氏は考えています。これは、チャットボットを介して 1 ドルでシボレー車を購入することに成功した人と同じです。

「これは、ユーザーと開発者に AI を使うのは良いことであり、使うべきだと教育するという根本的な問題に戻りますが、AI の周りに安全基準を構築する必要があります」と彼女は言いました。これには、顧客が GenAI とどのようにやり取りするかを理解することも必要です。

パネル全体を通じて共通していたテーマは、セキュリティ専門家はタスクを実行する責任だけでなく、タスクを指導する責任も負っているという点でした。これには、従業員に対して、機密情報（個人情報、独自のコード、API キーなど）を生成 AI に入力しないように継続的に注意喚起することが含まれます。

もちろん、間違いは起こりますが、集団学習を促進するために間違いを明らかにするのが DevSecOps チームの仕事です。何か問題が起きたときは、その事件自体について誰も責められない、非難しない文化を維持する必要があります。

Foxwell 氏が言うように、質問を次のように再構成します。「この問題の原因となったシステムは何ですか。次回はどのように改善できますか。」 この考え方は、間違いから学び、プロセスを改善するのに役立ちます。

4. DevSecOps はどのように役立ちますか?

「DevSecOps は、人、プロセス、テクノロジーの順に重要です」と Top 氏は述べています。 AI がますます重要な役割を果たすようになるにつれて、私たちが自分自身を助けることができる方法は何でしょうか?

1. 人材育成とスキル向上：チームメンバーの AI と ML の基礎知識の理解を重視します。博士レベルの専門知識は必要ありませんが、チーム間のコラボレーションとコミュニケーションを促進するための基本的な認識が必要です。 Moisset 氏は、良好なコミュニケーションが DevSecOps の中心的な役割であると指摘しました。

2. ツール導入の目的を明確にする: 組織が選択するツールに関係なく、AI を使用する開発者の安全を確保する方法に特に重点を置いて、そのツールを導入する理由、または導入しない理由を明確に伝える必要があります。ただし、セキュリティ対策を推進する際には、過度の摩擦が生じて開発効率が低下しないように注意する必要があります。

3. インテリジェントな自動化: Foxwell は、自動化によってセキュリティ プロセスの導入を簡素化し、開発者が適切なセキュリティ プラクティスに従いやすくすることを推奨していますが、過度な自動化によって重要でない問題レポートが大量に発生し、開発速度に影響が出る可能性もあるため、注意が必要です。アクセス制御とセキュリティ境界は、組織の状況に基づいて本当に重要なリスクをフィルタリングして対処するために、対象を絞って実装する必要があります。

4. 正確なデータ解釈と最適化: DevSecOps のタスクの 1 つは、大量の問題通知チケットを機械的に生成するのではなく、自動化によって収集された膨大な量のデータを解釈し、特定のリスクとその解決策を正確に特定することです。同時に、AI を活用したソフトウェア開発と互換性のある効率的な応答性を維持するために、既存のセキュリティのボトルネックを整理して改善する必要があります。

5. ソフトウェア開発ライフサイクルを包括的に検討する: Top 氏は、DevSecOps チームは、組織内のさまざまな社会的および技術的コンポーネント間の関係をより深く理解するために、バリュー ストリーム評価や Wardley マッピング手法の実施など、ソフトウェア開発ライフサイクルのあらゆる側面を詳細に検討する必要があると付け加えました。特に、各開発者が CI パイプラインに何を追加しているか、また、何か問題が発生した場合に「フェンス越しに放り投げられて」バージョンを単純にロールバックするだけのデプロイメントがまだあるかどうかを把握することが重要です。

6. 組織間の共感を育む: AI 時代において、組織内の他の部門やプロセスに対する深い理解と共感は、DevSecOps プロフェッショナルにとって重要な資質です。全体的なセキュリティと効率性を向上させるには、機能の境界を越えてさまざまなチームと連携する必要があります。

DevSecOps は、GenAI の導入をサポートし、開発プロセスへの安全で効果的な統合を保証し、専門的な成長を促進する上で重要な役割を果たすことができます。

5. DevSecOps は GenAI の導入をどのようにサポートできますか?

DevSecOps チームは、AI が実践的な経験や同僚とのコミュニケーションに完全に取って代わるものではないことを強調しながら、GenAI ツールを正しく使用する方法をジュニア開発者に教育する必要があります。上級エンジニアは、メンターとしての役割を果たし続けるよう奨励されるべきであり、若い才能が実践的な経験を積み、キャリアを前進させるのを支援するために、GenAI を使用してより的を絞った指導と会話を提供する必要があります。

AI への過度の依存による品質の低下を防ぐために、DevSecOps では自動検査メカニズムを確立し、コードレビューを CI/CD パイプラインに統合して、Stack Overflow やその他のソースから導入されたコード スニペットが組織のセキュリティ ポリシーと標準に準拠していることを確認する必要があります。

6. GenAI は DevSecOps をどのように支援しますか?

GenAI は、問題の概要、ドキュメントの生成、部門横断的および顧客との会話の概要の提供など、会話型のインタラクションを通じて開発者がコードを深く理解できるように支援します。さらに、潜在的なセキュリティの脆弱性を説明したり、コード内の間違った部分やリリースされたバージョンがもたらす可能性のある潜在的なリスクを指摘したりして、ソフトウェアのセキュリティを強化することもできます。

DevSecOps では、使用される GenAI モデルが公平かつ偏りなくトレーニングされ、悪意のある目的の影響を受けないようにする必要があります。これには、モデルによってもたらされる潜在的なリスクによってもたらされるセキュリティ上の脅威から組織を保護するためのフレームワークと戦略の開発に参加しながら、モデル出力を監視および評価することが含まれます。

DevSecOps チームは、ソフトウェア開発ライフサイクルに重点を置くだけでなく、組織全体のレベルで GenAI テクノロジーの理解と応用を促進し、技術的なバックグラウンドを持たない従業員や技術的成熟度の低い従業員に、これらの新しいツールを安全かつ適切に使用する方法をトレーニングする必要があります。

Darktrace や Crosstrek など、すでに AI が組み込まれているアプリケーションは DevSecOps チームによって使用されており、チームには、これらのツールを効果的に使用して全体的なセキュリティ レベルを向上させる方法について「セキュリティ パートナー」をトレーニングする責任があります。

GenAI が発展するにつれて、モデルはますますインテリジェントになり、自己修正や改善が可能になることが期待されます。それでも、人間の介入の重要性は常に存在します。 Top氏が述べたように、継続的な進化の過程で、生成AIはDevSecOpsの作業モードを大きく変えるものの、人間の役割を置き換えるのではなく、人間と機械のコラボレーションに基づいて作業の効率と品質を向上させることになります。

参考リンク: https://thenewstack.io/will-generative-ai-kill-devsecops/