“AI開発”時代、コードの死角をどう防ぐ？ WorkXが「静的解析」を選んだ必然：AIコードの品質を守る「SonarQube」の実力

生成AI活用で開発が加速する一方、AIが書いたコードのブラックボックス化等のリスクも顕在化している。本稿では静的解析ツール「SonarQube」で脆弱性ゼロと工数削減を実現したWorkXを取材。AI時代の死角をなくし、品質とスピードを両立させた実態に迫る。

PR／ITmedia

PR

　生成AIの進化によって、プロダクト開発の幅がこれまでにないほど広がったが、さまざまなリスクも生まれている。代表的なものが、AIにコーディングさせることで生まれるセキュリティリスクやガバナンス問題だ。

　近年、現場でも使えるレベルのコードをAIが生成できるようになったが、爆発的に増えるソースコードの確認や整備に頭を抱える企業も多い。もはや人間によるチェックだけでは十全とは言えない中、セキュリティリスクや脆弱（ぜいじゃく）性対策は急務だ。

　そこで本稿では、開発環境の大規模化や開発サイクルの高速化が進む中で、スピードと品質を両立させるだけでなくプロダクトのセキュリティ対策も念頭に置いて静的ソースコード解析ツール「SonarQube」（ソナーキューブ）を導入したWorkXの事例をお届けする。

セキュリティ対策と、開発サイクルの高速化への対応が課題に

　WorkXは2018年に創業した。フリーランスのコンサルタントと企業をマッチングするプラットフォーム「ProConnect」（プロコネクト）を中心に、AI活用などDXに関するコンサルティングも手掛けている。同社のCTOでありセキュリティ領域を管掌している久木田佑馬氏は、当時の課題についてこう話す。

　「約2年前から上場（IPO）を視野に入れた体制を構築しており、経営の最優先課題として浮上したのがセキュリティ対策でした。当社のコア事業であるProConnectは、職務経歴書など極めて機密性の高い個人情報を扱っています。ステークホルダーからの信頼維持は事業の生命線であり、ISMS（情報セキュリティマネジメントシステム）認証やPマークの取得といった組織的なガバナンス強化はもちろんのこと、プロダクト自体の脆弱性にもこれまで以上に向き合う必要がありました」

WorkXの久木田佑馬氏（執行役員 CTO）

　上場に向けたセキュリティ対策のアップデートに加えて、生成AIによる開発環境の変化も見逃せないポイントだった。

　これまで同社では、コーディングにAIを使っていたがあくまでサポートのような役割にとどまっていた。しかしAIの飛躍的な進化によって、そのまま使えるレベルのコードを生成できるようになった。開発スピードが上がった結果、扱うソースコードも従来比で2割ほど増加した。

　IT人材は昨今の人手不足で特にあおりを受けている領域の一つということもあり、少ない人員で開発ニーズに対応するにはAIの利用がもはや欠かせなくなっている。ただ、AIが書いたコードは「ブラックボックス」。動作はするが、エンジニア側から見て「なぜこのロジックなのか」が分かりにくいことも多い。

　同社のコードの規模は、バックエンドとフロントエンドを合わせて約26万行にも及ぶ。セキュリティリスクを一つずつ人の手でつぶすのは不可能に近い。同社も、AIが生成したコードをどのようにレビューするかという品質管理体制の過渡期に直面していた。

　「これまではエンジニアが相互レビューした後、私が最終チェックをするというフローを運用していました。ただ、開発スピードや要求レベルが急速に高まったことで現場にはコードを十分に精査する余裕がなくなりつつあり、エンジニアによってレビューの基準や精度にばらつきが生じていました」

動的解析では見つからなかった脆弱性を検知

　こうした課題を解決するために同社が導入したのがSonarQubeだった。

　SonarQubeは、ソースコードを実行せずに分析する「静的解析」という手法によって品質やセキュリティリスクをチェックする、スイスのSonar製のツールだ。国内ではパーソルワークスイッチコンサルティングがリセラーパートナーとして提供している。

　久木田氏は、SonarQubeの導入を決めたポイントとして第一に「コスト」を挙げ、次のように話す。

　「開発環境にスピードが求められる昨今、あまりにも導入や運用コストが大きいとボトルネックになってしまいます。そのため、使いながら適用範囲を拡大しやすいという点が導入の決め手になりました。課題だったセキュリティ対策とコード品質の確保の二兎（にと）を追えるという点も魅力に感じました」

　既存の開発パイプラインと統合しやすいことも選定の後押しとなり、導入作業はわずか1週間ほどでスムーズに完了した。SonarQubeの導入効果はすぐに確認できたとして、久木田氏は当時の驚きを交えつつこう話す。

　「SonarQubeでリリース予定のコードを解析したところ、SQLインジェクション^※につながる危険性のある記述を発見しました。実はその前に、動的解析を一通り実施して『これで万全だ』と安心していた直後のことだったので驚きましたね。もしSonarQubeを導入していなければ気付かずにリリースしていたかもしれず、早速効果を実感しました。

　セキュリティリスクのあるコードやエラーを出す原因は、ある程度パターン化されています。そこをチェックすれば大事故は起きにくいのですが、反対に『ここさえ見ておけば大丈夫だろう』という考えにもなりがちです。そうした固定観念に惑わされず、さまざまな角度から解析できるというメリットは本当に大きいと感じました」

※Webサイトの入力フォームなどの隙を突き、不正に操作するサイバー攻撃の一種。

　SonarQubeはソースを解析するだけでなく、評価結果を総合的に鑑み、一定基準を満たすか否かを判定する「Quality Gate」という機能もある。これによって、基準を満たしたコードのみリリースされる。その結果、同社ではSonarQube導入から半年ほど経過した現在まで、セキュリティの脆弱性を「0件」のまま維持できている。

　「プロダクトの作り手が、ただ『大丈夫ですよ』と宣言するのではなく、SonarQubeという第三者の客観的なお墨付きを得られる。対外的に安全性を証明する上でも、この効果はありがたいと感じています」

「AI時代」を生き抜く　エンジニアのスキル向上にも効果を発揮

　セキュリティ対策やコード品質の確保という目的を達成し、以前はリリース前に数時間かけていたというレビュー時間はわずか15分ほどに短縮できた。開発の早い段階からSonarQubeで解析できるようになったことで、直前の手戻りも減っている。

　これまで多くのタスクと開発スピードの加速に追われる中で、エンジニアにとって重いプレッシャーになっていたセキュリティチェックの負荷が軽減され、現場の安心感も高まっている。その分、プロダクトの価値向上にしっかりと向き合う余裕も生まれた。

　「今では6割ほどのコードをAIが書いており、レビューも効率化できました。エンジニアたちはセキュリティ設計やUXといった、より本質的な領域に目を向けられるようになっています」

　SonarQubeを導入した効果は意外なところにも表れている。人材教育の場面だ。

　「SonarQubeは、『技術的負債につながるコード』も指摘します。AIが書いたコードは、動作するが構造が複雑化したいわゆる“スパゲティ状態”のものが多いのですが、それが『なぜ問題なのか』『どう修正すべきか』まで教えてくれます。そのため、若手エンジニアがそれを“教材”として利用する動きも出てきました。的確かつ納得感のあるフィードバックを得られる点が、学習意欲を刺激しているようです」

　さらに久木田氏はこう続ける。

　「開発現場にAI活用の波が押し寄せ、コードのブラックボックス化が進んでいるのが世の中の現状です。そのブラックボックスを解き明かすだけでなく、より良いものへと磨き上げるという意味でSonarQubeは非常に役立っています。だからこそ、SonarQubeに全てを任せるのではなく、あくまで共存しながらエンジニアたちが自らスキルを高めるための『武器』として活用したいですね」

　今後について久木田氏は、ProConnectだけでなく顧客から寄せられているシステム開発やAIエージェントといったさまざまな事業を展開・加速するためのエンジンとしても「SonarQubeに期待している」と笑顔で話す。

現場だけでは見えない視点から、デジタル化を支援

　SonarQubeの導入を支援したパーソルワークスイッチコンサルティングについて、久木田氏は「開発現場はどうしてもプロダクトや技術を中心に考えがちですが、もっと大きな視点からアドバイスをしてくれるのがありがたい」と評価する。

　パーソルワークスイッチコンサルティングは、SonarQubeの提供だけでなくIT領域全般を対象にした「DX-PMO」というコンサルティングサービスも手掛けている。WorkXのProConnectに登録されているプロフェッショナル人材も一部活用しながら、DXの実現を目的としたプロジェクト管理やITガバナンス構築、伴走支援を推進するPMOサービス、そしてSonarQubeの活用サポートを行っている。本サービスは、AI化とともに進むデジタル業務のブラックボックス化に悩む企業にとって力強い存在だ。

　その背景にあるのは、社名にある通り“はたらき方の転換”という同社の事業テーマだ。WorkXのケースのような開発環境のアップデートはもちろん、幅広い領域でデジタル化の支援に対応しており、困ったときにまず想起すべき企業と言える。AI時代の開発体制やセキュリティ確保に課題を感じている企業にとって、同社への相談は解決の第一歩となるはずだ。

※「提供」に記載の「Sarl」は、“a”にアクセント記号を付した表記が正式名称です。