米GitLabの日本法人(以下、GitLab)は11月28日、ソフトウェア開発の事例を共有するユーザー向けイベント「GitLab Epic Tour Japan 2025」を開催した。本稿では同イベントの基調講演より、AI時代におけるソフトウェア開発の3つの課題について、DevSecOpsの観点から紹介したい。

DevSecOpsとは、Development(開発)、Security(セキュリティ)、Operations(運用)を組み合わせた造語で、これらの一連のプロセスを統合し、開発ライフサイクル全体にセキュリティを組み込むアプローチを意味する。

AIを用いたソフトウェア開発は1兆6000億円相当の経済効果

基調講演に登壇したヘッド・オブ・ジャパンの小澤正治氏はまず、「GitLab企業経営調査2025」の結果を引用して、ソフトウェア開発におけるAIによるイノベーションとリスクについて紹介した。この調査は日本を含む主要8カ国の約2800人の経営者を対象に実施したもので、日本からは251人の経営層が回答している。

国内の結果を見ると、72%が「自社の成功にはソフトウェアイノベーションが不可欠」と回答したほか、89%が「自社は昨年、ソフトウェア開発への投資を増やした」と回答。また、45%が「AIに対して投資を増加させる」と回答した。

  • ソフトウェア開発における国内の状況(資料:GitLab)

    ソフトウェア開発における国内の状況(資料:GitLab)

また同調査では、AIへの投資によってデベロッパーの作業時間を短縮し1人当たり年間約123万円を削減できていることが明らかになった。この金額はデベロッパーの平均年収から平均時給を算出し、業務削減時間から試算した値だ。この額を国内のデベロッパー人口に当てはめると、1年間でおよそ1兆6000億円の経済価値につながる計算になる。

「ソフトウェア開発にAIを入れる流れは、自然なものになっている。そうした中で当社のソリューションも大きく舵を切っており、ソフトウェア開発プラットフォームからAIエージェントの司令塔へと変化していく。AIに関連するコストの削減も見込めるプラットフォームへと変わっていく」(小澤氏)

  • GitLab ヘッド・オブ・ジャパン 小澤正治氏

    GitLab ヘッド・オブ・ジャパン 小澤正治氏

課題1:技術的負債

この調査結果からは、AI時代におけるソフトウェア開発の課題も見えてきた。その1つ目は技術的負債だ。回答者の31%が「ソフトウェアイノベーションへの投資を妨げる最大の要因が技術的負債」と回答した。

技術的負債とは、技術的な問題の解決を後回しにしたことで、借金の利息のように問題が徐々に大きくなってしまう課題を示している。

古い言語やツールを使い続けたことでサポートが切れてセキュリティの穴が開いてしまう場面や、知識が属人化してキーパーソンの退職後にシステムや業務プロセスがブラックボックス化してしまう場面などが該当する。

経済産業省の「DXレポート」によると、約8割の企業が技術的負債を抱えていることが明らかになった。レガシーなシステムやコードからの脱却は喫緊の課題として顕在化している。

  • 技術的負債の例

    技術的負債の例

課題2:セキュリティリスク

2つ目はセキュリティリスク。ソースコード生成などにAIが使われる例が増えているが、85%が「自律的AIにより前例のないセキュリティの課題が生まれる」と回答した。

情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威」では、1位が「ランサム攻撃による被害」、2位が「サプライチェーンや委託先を狙った攻撃」、3位が「システムの脆弱性を突いた攻撃」となっており、ソフトウェアに起因するリスクが上位に選ばれている。

  • ソフトウェアに起因するリスクが上位に(IPA 情報セキュリティ10大脅威2025)

    ソフトウェアに起因するリスクが上位に(IPA 情報セキュリティ10大脅威2025)

近年の商用ソフトウェアは、平均するとコードの70%以上がOSS(オープンソースソフトウェア)で構成されている。その一方で、2021年末に発見された「Log4Shell」や2024年の「XZ Utils」のバックドアのように、OSSの脆弱性を狙った攻撃も増えている。

こうしたソフトウェア開発のセキュリティリスクに、AIによるコード生成が拍車をかけているのだという。その例として、AIが生成したコードサンプルの45%がセキュリティテストに失敗し、OWASP Top 10の脆弱性を含んでいることが判明した。

また、5つの主要なAIモデルが生成したコードは、少なくとも48%に脆弱性が含まれたことが報告されている。そうした中、AIが生成または記述を支援したコードの脆弱性を検出する能力について「非常に自信がある」と回答したデベロッパーはわずか29%にとどまる。

  • AIによるセキュリティリスクの例

    AIによるセキュリティリスクの例

このような背景から、ソフトウェア開発のライフサイクル全体にセキュリティの観点を取り入れるDevSecOpsが求められているとのことだ。

小澤氏は「既知のセキュリティリスクに対応できれば、インシデントの約85%は発生を抑制できると言われている。残りの15%で発生するインシデントの規模が年々大きくなっており、経営に与えるインパクトも大きい。防災ではなく減災の考え方をソフトウェア開発環境に取り入れるのも良いだろう」とコメントしていた。

課題3:人材

3つ目の課題は、人材だ。回答者の48%が「AIスキルのギャップを埋めるために、より多くのトレーニングが必要になった」と回答。特にデベロッパーにおいては、従来のようなソースコードの記述や資料作成がAIに代替できるようになり、業務の価値が大きく変化している。

これまでは、ソースコードの記述がエンジニアの創造性を発揮する領域であった。しかしAIによりコードを生成できるようになった現代では、AIが生成したコードのクオリティやリスクを評価し判断する役割へと、エンジニアの働き方が変わりつつある。

  • AI時代に変化が求められる人材の観点

    AI時代に変化が求められる人材の観点

GitLabでマーケティングを担当する川口修平氏は「これまではコーディングの速度がエンジニアに必須のスキルセットだった。今後は問題解決時能力のような本質的なスキルが求められるようになる。これに伴って、コミット数やコード行数といった量的な評価制度から、これからはビジネスへの貢献度に応じた質的な評価が進む可能性がある」と話していた。

  • GitLab Staff Regional Marketing Manager 川口修平氏

    GitLab Staff Regional Marketing Manager 川口修平氏