既存コードベースに AI を導入する
新規プロジェクトと違い、長年運用してきたコードベースに AI を入れる時はガードレール設計が重要。何を任せ、何を禁止するかを最初に決めるのが事故防止の鍵です。
導入前のリスク評価
① コードの機密性
- 営業秘密、競合優位の核:AI に送る前に社内ルール確認
- 個人情報・顧客データを含むコード:マスキング必須
- API キー・認証情報を含む設定:除外設定必須
② 影響範囲の大きさ
- 本番直結のコード:高リスク、人間レビュー必須
- テスト・ユーティリティ:低リスク、自由度高め
- マイグレーション:中リスク、ロールバック計画必須
3 段階のガードレール
① 範囲制限
AI に編集を許可するディレクトリを明示。.cursorignore / .copilotignore で対象外を指定。
# .cursorignore secrets/ node_modules/ dist/ *.env production-config/
② 動作制限
- 権限モード:「実行前に必ず確認」設定
- 削除操作:明示的承認なしには不可
- git 操作:commit / push は人間が
③ 品質ゲート
- Lint・Format 必須通過
- テストカバレッジ維持
