AI駆動開発時代におけるGitHub Advanced Security

こんにちは、MS開発部の渋谷です。

デジタルトランスフォーメーションの進展により、あらゆるビジネスがソフトウェアを核とするようになった結果、開発のスピードと品質、そして安全性をいかに両立させるかが、企業の価値を高められるかどうかにつながってきています。

ソフトウェアが社会インフラとしての重要性を増す一方で、その背後にあるコードの複雑性は増大し続けており、人手による従来のセキュリティ管理手法は限界に達しつつあります。

こうした背景の中で、GitHub Advanced Securityは、開発者のワークフローを阻害することなく、開発プロセスの初期段階からセキュリティを組み込むシフトレフトの概念を具現化したソリューションとして活用されています。

今回は、AI駆動開発時代で改めてこういったセキュリティ製品について考えてみます。

アプリケーションコードの脆弱性起因のセキュリティ事故の増加

内閣サイバーセキュリティセンター（NISC）がまとめた調査によれば、政府機関等に対するインシデント報告件数は、2022年度の266件から2024年度には447件へと急増しており、わずか2年で1.6倍以上の増加を見せています。これらのインシデントの多くは、アプリケーションレイヤーの脆弱性を起点としています。

特に不正アクセスは全体の約4割を占めており、サーバーソフトウェアの既知の脆弱性を突いた攻撃や、不適切なアクセス制御が悪用されるケースが目立ちます。

サプライチェーン攻撃の常態化とOWASPの動向

ソフトウェアの構造が、自社開発のコードだけでなく、膨大な数のオープンソースソフトウェア（OSS）や外部ライブラリに依存するようになったことで、サプライチェーンそのものが攻撃の標的となっています。

OWASP（Open Web Application Security Project）が発表した2025年版の「Top 10 Security Risks」では、ソフトウェアサプライチェーンの不備（Software Supply Chain Failures）が第3位にランクインしました。

また、長年不動の1位であったアクセス制御の不備（Broken Access Control）は依然として深刻なリスクであり、テストされたアプリケーションの平均3.73%に何らかの脆弱性が含まれているというデータがあります。

インシデントが発覚することのインパクト

脆弱性を放置することのコストは、年々増大しています。一般的には、ランサムウェア攻撃等によるインシデントで、機会損失を含めた被害額が数百億円に達することもあるでしょう。

アプリケーションコードの脆弱性は、単なる技術的な不具合ではなく、企業の財務、ブランド、さらには社会的信頼を根底から揺るがす経営リスクそのものとなっています。

バイブコーディングやAI開発支援ツールの台頭によるコードセキュリティ対応の重要性

2025年、ソフトウェア開発の世界にバイブコーディング（Vibe Coding）という言葉が定着しました。

これは、開発者がプログラミング言語の詳細な構文を自ら記述するのではなく、大規模言語モデルに対して自然言語で雰囲気（バイブス）や意図を伝えるだけで、アプリケーション全体を構築していく手法を指します。

バイブコーディングは、プロトタイピングの速度を飛躍的に向上させ、非専門家でもシステムを構築できるようにしました。

しかし、従来の開発手法では考えられなかった新しいセキュリティリスクも潜んでいることに注意が必要です。

• 盲目的な信頼と検証の欠如: AIが生成したコードは一見正しく動作するように見えますが、内部に脆弱な関数や、現在は非推奨となっている安全性の低いアルゴリズムを含んでいる場合があります。開発者がコードの内容を深く理解せずマージしてしまうことで、脆弱性がサイレントに混入します。
• 非決定的な出力: 同じプロンプトを与えても、AIは毎回異なるコードを生成することがあります。これにより、テストの再現性が低下し、エッジケースにおけるセキュリティ上の不備が見逃されやすくなります。
• ガイドラインの無視: AIは明示的に指示されない限り、セキュリティのベストプラクティスを優先しません。入力値のバリデーションや適切なエラーハンドリングを欠いたコードが、AIによって量産されるリスクがあります。

バイブコーディングによる速すぎる開発は、これらの新しいリスクを検討する時間を奪いがちです。

そのため、人間によるレビューを補完し、AI生成コードの安全性をリアルタイムで検証する自動化されたガードレールが不可欠となっています。

Advanced Securityの機能と価格

GitHub Advanced Securityは、これらの複雑化する脅威に対抗するために設計された、包括的なセキュリティプラットフォームです。

また、最近のアップデートにより、AIによる自動修正機能の強化や、ライセンス体系の柔軟化が進んでいます。

1. 静的コード解析：CodeQLとCopilot Autofix

GitHub Advanced Securityの核となるのが、CodeQLです。CodeQLはコードをデータベースとして扱い、データフロー解析を行うことで、単純なパターンマッチングでは不可能な汚染されたデータの追跡を実現します。

さらに、2024年にリリースされたCopilot Autofixは、CodeQLが検出した脆弱性に対してAIが文脈に即した修正コードを提案します。

この機能により、修正スピードは劇的に向上しました。

2. シークレット保護：Secret ScanningとPush Protection

APIキーや認証トークンの漏洩は、最も防がなければならない事故の一つです。

GitHub Advanced Securityは、開発者が誤ってこれらをコミットしようとした瞬間に、リアルタイムで検知しブロックするPush Protectionを提供します。

GitHubは200以上の主要プロバイダーと提携し、それぞれのトークン形式を正確に識別するだけでなく、組織独自の暗号化キーや社内システムのID形式などを定義し、独自のスキャンルールを適用することも可能です。

3. サプライチェーンセキュリティ：Dependency Review

依存関係の脆弱性を管理する「Dependency Review」は、プルリクエストの段階で、新たに追加されるライブラリに既知の脆弱性や不適切なライセンスが含まれていないかを可視化します。

また、コンプライアンス対応として重要なSBOMの自動生成機能も備えており、SPDXやCycloneDX形式でのエクスポートが可能です。

料金体系とSKU構成

GitHub Advanced Securityは現在、大きく2つのSKUに分かれており、必要な保護範囲に応じて選択できます。

料金はアクティブコミッター（過去90日間に該当のリポジトリにコミットしたユニークユーザー）単位で発生します。

製品名	料金（月額/1コミッター）	含まれる主要機能
GitHub Secret Protection	$19 USD	Secret Scanning, Push Protection
GitHub Code Security	$30 USD	CodeQL, Copilot Autofix, Dependency Review

まとめ

今日のソフトウェア開発の現場は「速度」と「安全」の極めて高いレベルでの両立を求められています。

アプリケーションコードの脆弱性による事故は増加の一途をたどり、バイブコーディングの普及は、開発者が自ら生み出したコードの安全性を完全には把握しきれない状況を作り出しました。

今回ご紹介したGitHub Advanced Securityは開発者のバックログでは後回しにされがちな、コードセキュリティに関するリファクタリングをGitHubを使った開発ワークフローの中に入れることで、よりアプリケーションコードが安全に保たれるようにすることを可能にしました。

特に、GitHub Copilotと連携したCopilot Autofixの機能は、脆弱性を指摘されたが修正しないという状況を少なくすることに寄与することになるでしょう。