AIコーディングの速度にDevOpsが追いつかない——Harness調査が示すセキュリティの空白
GitHub Copilot や Cursor をはじめとする AI コーディングツールの普及により、開発者がコードを書く速度はかつてないレベルに達している。しかし、そのコードを安全に本番環境へ届ける DevOps のプロセスは、同じ速度で進化しているだろうか。CI/CD プラットフォームを提供する Harness が2026年3月に公開した調査レポートは、その問いに対して明確な「No」を突きつけた。
Harness の調査によれば、AI によるコード生成速度が過去2年間で約3〜5倍に加速した一方、セキュリティテストやデプロイパイプラインの成熟度は平均1.4倍程度の改善にとどまっている。この「速度と安全性のギャップ」が、企業のソフトウェアサプライチェーンに深刻なリスクをもたらしていると同社は警告する。さらに、このギャップを埋めるための新しいセキュリティモジュールも同時に発表された。
Harness とは何か
Harness は2017年にサンフランシスコで創業された DevOps プラットフォーム企業だ。元 AppDynamics の CTO だった Jyoti Bansal が設立し、CI/CD(継続的インテグレーション/継続的デリバリー)、フィーチャーフラグ、クラウドコスト管理、セキュリティテストなどを統合的に提供する。2022年にはシリーズ D で2億3,000万ドルを調達し、評価額は37億ドルに達した。
顧客にはPfizer、American Express、Dell Technologies などの大手企業が名を連ね、Fortune 500企業の多くが採用している。特にエンタープライズ向けのCI/CDパイプライン管理では、GitHub Actions や GitLab CI/CD と並ぶ主要プレイヤーだ。
| 項目 | Harness | GitHub Actions | GitLab CI/CD |
|---|---|---|---|
| 設立年 | 2017年 | 2019年(GA) | 2012年 |
| 主な強み | エンタープライズCI/CD統合 | GitHubエコシステム連携 | オールインワンDevOps |
| AI機能 | AIセキュリティスキャン(新機能) | Copilot連携 | GitLab Duo |
| セキュリティ | 統合セキュリティモジュール | Dependabot / CodeQL | SAST / DAST内蔵 |
| 料金 | 無料枠あり / Enterprise要問合 | 無料枠あり / Team $4/月〜 | 無料枠あり / Premium $29/月〜 |
レポートが示す「3つのギャップ」
Harness のレポートは、AI コーディング時代の DevOps における3つの重大なギャップを特定している。
1. 速度のギャップ:コード生成 vs デプロイパイプライン
AI ツールによりコードの初稿が生成される時間は、従来の手書きに比べて劇的に短縮された。しかし、そのコードがコードレビュー → テスト → ステージング → 本番デプロイを経て実際にユーザーに届くまでのリードタイムは、多くの組織でほとんど改善されていない。
レポートによると、調査対象企業の**68%**が「AI でコードを書く速度は上がったが、デプロイ頻度は変わっていない」と回答した。これは、パイプラインのボトルネックがコーディングではなく、テストやセキュリティ検査、承認フローにあることを示している。
2. セキュリティのギャップ:AI 生成コードの脆弱性
AI が生成するコードは人間が書くコードと同様に、あるいはそれ以上に脆弱性を含む可能性がある。Harness の調査では、AI 生成コードに含まれるセキュリティ脆弱性の割合は手動コードと比較して平均12%高いという結果が出た。
特に問題なのは以下の3点だ。
- 入力バリデーションの不備:AI はユーザー入力のサニタイズ処理を省略しがち
- 古いライブラリ依存:学習データに含まれる旧バージョンの API パターンを出力
- シークレット管理の甘さ:ハードコードされた認証情報をそのままコードに含める
3. 文化のギャップ:開発者のセキュリティ意識
AI ツールの導入により、開発者の多くがコードの品質チェックを AI に委ねる傾向が強まっている。レポートでは、AI コーディングツールを日常的に使用する開発者の**43%**が「AI が生成したコードのセキュリティレビューを毎回は行っていない」と認めた。
「AI が書いたから安全だろう」という暗黙の信頼が、組織全体のセキュリティ文化を弱体化させるリスクがある。
以下の図は、AI コード生成速度と DevOps 成熟度、セキュリティテストの進歩度合いの差を概念的に示している。
この図が示すとおり、AI コード生成速度(赤線)が急激に上昇する一方で、DevOps 成熟度(青線)とセキュリティテスト(黄線)は緩やかな改善にとどまっている。この乖離こそが「セキュリティの空白」の正体だ。
Harness 新セキュリティモジュールの詳細
今回のレポートと同時に、Harness は AI 生成コードに特化した新しいセキュリティモジュールを発表した。主な機能は以下のとおりだ。
AI コード自動セキュリティスキャン
コードがリポジトリにプッシュされた瞬間に、AI を用いた静的解析(SAST)と動的解析(DAST)が自動実行される。従来の SAST ツールとの違いは、AI 生成コード特有のパターン(上記の入力バリデーション不備、古い API 利用など)を検出するための専用ルールセットが組み込まれている点だ。
自動修正サジェスト機能
脆弱性が検出された場合、単にアラートを出すだけでなく、修正コードのサジェストを自動生成する。開発者はワンクリックで修正を適用でき、手戻りを最小限に抑えられる。Harness によれば、この機能により脆弱性の修正時間が平均70%短縮される。
ポリシーエンジンとの統合
組織のセキュリティポリシー(例:「外部 API との通信には必ず TLS 1.3 を使用する」「SQL クエリは必ずプリペアドステートメントを使う」)をルールとして定義し、AI 生成コードがこれらのポリシーに準拠しているかを自動チェックできる。違反があればデプロイをブロックする。
シフトレフトセキュリティの実現
以下の図は、Harness が提唱するシフトレフトセキュリティのフローと、従来型との比較を示している。
この図のとおり、従来型ではセキュリティ検査が開発プロセスの後工程に位置しており、脆弱性の発見が遅れて修正コストが膨らむ。一方、Harness の新モジュールはコード生成直後にセキュリティスキャンを実行する「シフトレフト」アプローチを採用しており、問題を早期に検出・修正できる。
競合との比較
AI 生成コードのセキュリティに対応するプラットフォームは、Harness だけではない。
| 機能 | Harness(新モジュール) | Snyk | Veracode | SonarQube |
|---|---|---|---|---|
| AI生成コード専用スキャン | あり | 一部対応 | 開発中 | なし |
| 自動修正サジェスト | あり(AI駆動) | あり(AI駆動) | あり | 限定的 |
| CI/CDパイプライン統合 | ネイティブ統合 | プラグイン方式 | プラグイン方式 | プラグイン方式 |
| ポリシーエンジン | あり | Enterprise版のみ | あり | なし |
| 料金 | 統合プランに含む | 無料枠あり / Team $52/月〜 | 要問合 | Community無料 / Developer $16/月〜 |
| 対応言語数 | 30以上 | 40以上 | 100以上 | 30以上 |
Harness の最大の差別化ポイントは、CI/CD パイプラインにセキュリティモジュールがネイティブ統合されている点だ。Snyk や Veracode は強力なセキュリティスキャン機能を持つが、CI/CD パイプラインとの連携はプラグインや外部連携に依存する。パイプライン全体を一元管理できる Harness のアプローチは、特にエンタープライズ環境でのオペレーション効率に優れる。
日本企業への示唆
日本の DevOps 成熟度はさらに遅れている
日本は従来から DevOps の導入がグローバル水準に比べて遅い傾向にある。DORA(DevOps Research and Assessment)の調査でも、日本企業のデプロイ頻度は米国企業の平均と比較して2〜3分の1にとどまることが多い。この状態で AI コーディングツールだけを導入すれば、速度とセキュリティのギャップはさらに拡大する。
「AIで書いたから速い」は幻想
日本の開発現場でよく聞かれる「AI で開発を効率化した」という報告は、多くの場合コーディング工程のみの改善を指している。しかし実際のリードタイム(企画 → 本番リリース)を計測すると、ボトルネックはコーディングではなくレビュー、テスト、承認フロー、デプロイ手順にあることが多い。
対策として考えるべきこと
- パイプライン全体の可視化: コーディング速度だけでなく、PR レビュー時間、テスト実行時間、デプロイリードタイムを定量的に計測する
- セキュリティスキャンの自動化: AI 生成コードに対しては特に、手動レビューだけに頼らず自動スキャンを導入する
- ポリシーの明文化: AI が生成するコードに対してどのようなセキュリティ基準を適用するかを組織として明文化する
日本市場では Harness の直接的な導入ハードルはまだ高い(日本語ドキュメントが限定的、国内代理店が少ない)が、同様のアプローチは GitHub Advanced Security + GitHub Copilot の組み合わせや、GitLab Ultimate の SAST/DAST 機能でも実現可能だ。重要なのはツールの選択よりも、「AI が書いたコードも人間が書いたコードと同じ基準でセキュリティ検査を通す」という組織文化を定着させることだ。
AI コーディング時代のセキュリティ戦略
Harness のレポートが示す本質的な教訓は、「AI はコードを速く書けるが、安全に届けてはくれない」ということだ。AI コーディングツールは開発者の生産性を劇的に向上させる強力なツールだが、それだけでは片手落ちである。
DevOps パイプライン全体、特にセキュリティテストと品質保証のプロセスも同時にアップデートしなければ、「速く書いたが脆弱なコード」が大量に本番環境に流れ込むことになる。
まとめ:今すぐ取るべき3つのアクション
Harness のレポートを踏まえ、AI コーディングを活用するすべての開発チームが今すぐ検討すべきアクションは以下の3つだ。
- 現状のギャップを計測する: AI ツール導入前後で、コーディング速度だけでなくデプロイ頻度、脆弱性検出数、修正リードタイムを比較する。数字がなければ改善もできない
- セキュリティスキャンをパイプラインに組み込む: CI/CD パイプラインに SAST/DAST を自動実行するステップを追加する。Harness の新モジュール、GitHub Advanced Security、Snyk、SonarQube など選択肢は複数ある
- AI コードレビューポリシーを策定する: 「AI 生成コードは無条件に信頼しない」というルールを明文化し、チーム全体に周知する。特に入力バリデーション、認証情報管理、依存ライブラリのバージョンは重点チェック項目とする
AI が書いたコードだからこそ、人間がセキュリティの門番として機能しなければならない。Harness の新モジュールはその門番を自動化する試みだが、最終的な判断と責任は開発チームにある。シフトレフトの考え方を組織に根付かせることが、AI コーディング時代を安全に生き抜くための最優先課題だ。
「開発ツール」カテゴリの記事
- 開発ツール
Cursor 3リリース——AIエージェントが開発を自律的にこなす新時代
- 開発ツール
watchOS 26で64bit完全必須化——Apple開発者が今すぐ対応すべきこと
- 開発ツール
Google「Android Developer Verifier」全開発者に展開開始
- 開発ツール
Gemini Code Assistが無料化——月18万回のコード補完でCopilotの90倍
- 開発ツール
Windsurf Wave 13がArena Modeと並列エージェントを搭載——AI IDE戦争が新局面へ
- 開発ツール
React 19のServer Componentsが本番普及——フロントエンド開発の新常識