「バイブコーディング」のセキュリティリスク、どう対応？　企業がやるべき“3つのこと”

　「バイブコーディング（Vibe Coding）」とは、自然言語でAIに指示するだけでソフトウェアを構築できる手法で、今や国内外で急速に普及しつつあります。プログラミング言語を習得する必要がないため、エンジニアに限らず、誰もがソフトウェアを開発でき、幅広い層の関心を集めています。

　これに伴い、開発者向けプラットフォーム「GitHub」の日本の利用者数は450万人以上に急増し、世界でも6位の規模に成長しました。「CESAゲーム産業レポート2025」によると、ゲーム業界では半数以上の開発プロジェクトにAIを取り入れているといいます。個人、企業を問わずAIによる開発が広がっている様子が伺えます。

　バイブコーディングによるソフトウェア開発の民主化は、イノベーションの裾野を広げる歴史的な転換点であるといえるでしょう。しかし、その陰では新たなセキュリティ課題が生まれつつあります。

AI生成コードの45％に「セキュリティ脆弱性」

　AIが生成したコードの中には、現時点ではセキュリティ要件を十分に満たしていないものもあります。ITセキュリティ企業の米Veracodeは、AI生成コードの約45％に何らかのセキュリティ脆弱（ぜいじゃく）性が含まれていると報告しています。

　熟練した開発者が手動でソフトウェアを設計する場合には気付けるセキュリティリスクが、バイブコーディングでは見落とされる可能性があるという課題もあります。

　特に懸念すべきケースは、企業による大規模なバイブコーディングの採用です。AI活用計画が十分に成熟していない企業も多く、セキュリティ対策が追い付かないまま“AI依存”が進んでしまうと、取り返しのつかないセキュリティリスクが急速に拡大する恐れがあります。

攻撃者によるバイブコーディングの悪用も

　バイブコーディングがもたらすリスクは他にもあります。サイバー攻撃者にとってもバイブコーディングは強力な武器となり、マルウェアの作成やフィッシングサイトの構築、攻撃スクリプトの開発など、悪意ある用途にも容易に転用できます。

　サイバーセキュリティ企業である仏Thales傘下のImpervaによると、広く利用されているAIツールがすでにサイバー攻撃に悪用されているといいます。同社の「悪性ボットに関する報告（2025年版）」では、悪意のあるbotをAIで容易に開発できるようになり、Webの全トラフィックの半数以上をbotが占めるようになったことも判明しました。

　また米Anthropicは、最新AIモデル「Claude Mythos Preview」について、脆弱性の発見と悪用リスクが高まったため、防御に特化した研究用途での運用に限定する方針を打ち出しています。最先端AIの高いコーディング能力が、金融機関をはじめとするさまざまな産業で脅威として認識され、慎重に対応する姿勢が広まっています。

　こうした状況は、セキュリティを取り巻く状況が急速に変化していることを意味しています。攻撃者もAIを使いこなす時代において、バイブコーディングはもろ刃の剣であるといえるでしょう。

日本企業がやるべき“3つのこと”

　では、こうした課題に対して、企業はどのように向き合えばよいのでしょうか。筆者は、以下の3つの対策を提案します。