新規プロジェクトと違い、長年動き続けてきたコードベースにAIコーディングを入れるときは、書ける速度よりも先に「どこまで任せ、どこから人間が止めるか」を決めることが事故防止の核になります。本ガイドは、リスク評価 → 範囲・権限・品質の3層ガードレール → 段階導入 → レビューと運用までを、2026年時点の実際のツール挙動に沿って整理します。
FIG.1 AIの提案は「範囲(見せる)→ 権限(実行)→ 品質(通す)」の3関門を通してから本番へ
大事な前提を一つ。最近のAIコーディングは単なる入力補完にとどまらず、ファイルをまたいで自分で編集・実行・PR作成まで進めるエージェント機能が標準になりました(Cursor のエージェント、GitHub Copilot のagent mode / coding agent、Claude Code など)。任せられる範囲が広がったぶん、ガードレールの設計が品質を直接左右します。
01導入前のリスク評価:機密性 × 影響範囲
同じコードベースでも、ファイルごとにリスクは大きく違います。まず「AIに見せていいか(機密性)」と「壊れたときの被害(影響範囲)」の2軸でざっくり仕分けすると、後のルール設計が楽になります。
FIG.2 まず4象限でラフに仕分け。右上(高機密・高影響)から順にルールを厚くする