1. HOME
  2. ブログ
  3. 編集部
  4. AI×OSS時代を勝ち抜く鍵は「DevSecOps」と「SBOM」──サイバートラストが語る、信頼と価値の再定義 〜 JAPANSecuritySummit 2025レポート 

AI×OSS時代を勝ち抜く鍵は「DevSecOps」と「SBOM」──サイバートラストが語る、信頼と価値の再定義 〜 JAPANSecuritySummit 2025レポート 

編集部

クラウドやAIが加速度的に進化するなか、ソフトウェア開発はかつてないスピードと複雑さを帯びている。 
その裏で、企業を脅かす新たな脅威が静かに広がっている。 

そんな状況を背景に開催されたのが、サイバートラスト株式会社 野口氏による講演 
「AI×OSS時代の競争力アップ戦略〜DevSecOpsとSBOMが切り開く信頼と価値〜」だ。 
セッションでは、AIとオープンソースソフトウェア(OSS)の利用拡大がもたらすセキュリティ課題、 
そしてそれをチャンスに変えるための具体的なアプローチが語られた。 

OSSが支える現代のソフトウェア開発、その裏に潜むリスク 

いま、商用ソフトウェアの約7割がOSS由来だという。 
オープンソースの恩恵は大きい。世界中の知見を素早く取り入れ、開発コストを削減し、柔軟にカスタマイズできる。 
だが一方で、古いコンポーネントを使い続けるケースが9割にのぼり、脆弱性(CVE)の発行件数はこの10年で5倍に増えているという現実もある。 

「OSSは開発スピードを加速させる反面、依存関係の複雑化と情報不足によって、“何が使われているのか”を正確に把握できないという課題を生みます」と野口氏。 

OSSの恩恵とリスク、その両方を見据えた管理が今、開発者に求められている。 

ソフトウェアサプライチェーンを狙う攻撃が急増 

野口氏が次に示したのは、近年顕著なソフトウェアサプライチェーン攻撃の脅威。 
攻撃者はもはや完成品を狙うだけではなく、 
その“前段階”──開発プロセスやビルド環境そのものに侵入してくる。 

この背景には「開発の高速化と複雑化」、そして「攻撃の高度化」がある。 
OSSを多用する現代の開発現場では、無数のコンポーネントが重なり合い、 
その中で「どこに」「誰が作った」「どんなコード」があるのかが見えにくくなっている。 

「信頼できる開発を取り戻すには、まず“見える化”が必要です。 
つまり、ソフトウェアサプライチェーンの透明性を確保することが第一歩なのです。」 

AIが生む新たな脆弱性──生成コードの45%に潜むリスク 

今や開発現場でAIは欠かせない存在だ。 
しかしそのAIが生み出すコードの約45%に脆弱性が含まれているという調査結果は衝撃的だ。 

AIはOSSを学習しているため、 
元データにバグや脆弱性があれば、それを“コピー”してしまう。 
さらに、AIが生成したコードが知らぬ間にOSSのライセンス条項に違反するケースも少なくない。 

「AIが脆弱なコードを再生産し続けることで、 
セキュリティ負債が雪だるま式に膨らむ危険があります。 
これを防ぐためには、AIもOSSも含めた透明性の確保が欠かせません」と野口氏は警鐘を鳴らす。 

セキュリティを“後付け”しない──DevSecOpsとシフトレフトの実践 

講演の後半では、セキュリティを開発プロセス全体に統合する考え方、「DevSecOps」が紹介された。 

DevSecOpsとは、開発(Dev)、運用(Ops)、セキュリティ(Sec)を一体化し、すべての関係者がセキュリティの責任を共有する文化をつくるアプローチだ。 

さらに、その中核となるのが「シフトレフト」の概念。 
従来リリース直前に行っていたセキュリティチェックを、 
より早い設計・開発段階に前倒しすることで、 
修正コストを削減し、リリース後のリスクを最小限に抑える。 

「リリース直前に脆弱性が見つかると、修正コストは何倍にも膨れ上がります。 
早い段階で組み込む“セキュリティ・バイ・デザイン”が、これからの常識になるでしょう。」と野口氏。 

SBOMがもたらす「見えるセキュリティ」 

続いて登場したキーワードがSBOM(Software Bill of Materials)。 
SBOMとは、ソフトウェアを構成するすべての部品を一覧化した「ソフトウェアの部品表」だ。 

野口氏はこれを「食品の原材料表示」に例え、 
「どんな素材が使われているかを明示することで、信頼を生み出す」と語る。 
SBOMの導入により、 

  • 使用コンポーネントの透明性を確保し、 
  • 新たな脆弱性が見つかった際に影響範囲を迅速に特定でき、 
  • ライセンス違反のリスクも軽減できる。 
    さらに、SBOMをリリース時の“一度きり”ではなく、運用中も継続的に更新していくことで、真に「生きたセキュリティ管理」が実現する。 

ツールと仕組みで支える“持続可能なセキュリティ” 

サイバートラストでは、この考え方を実現するための具体的なソリューションも展開している。 

たとえば、商用利用を前提としたAlmaLinuxでは、SBOMの一括生成と更新、日本語サポート、EOL延長といった機能を提供。 
また、PHPの脆弱性管理サービスでは、ウェブサーバー利用環境に特化した安全維持を支援している。 

さらに注目すべきは、SaaS型脆弱性管理ツール「MIRACLE VulHammer」だ。 
SBOMと脆弱性DBを自動で突合し、影響を検知するとメールで通知。 
複雑化したOSS依存関係を“人手で管理する時代”に終止符を打つ。 

「もはや手動の管理では限界です。自動化と継続的な監視こそが、これからのセキュリティの標準になります。」と野口氏。 

“守り”から“価値創出”へ──セキュリティの新しい役割 

講演の締めくくりに、野口氏はこう語った。 
「セキュリティを“コスト”ではなく、“価値”として捉えること。それがAI×OSS時代における最大の競争力になります。」 
セキュリティへの投資は、単なる防御策ではなく、信頼できる製品を素早く市場に届ける力となる。 
SBOMによる再利用性や透明性は、生産性の向上にも直結する。 

「安全に早く作る」──その当たり前を実現するためのテクノロジーと文化が、 
今、DevSecOpsとSBOMによって形になりつつある。 

編集後記 

AIとOSSが支える現代開発の“スピード”と“開放性”。 
それを守るための新しい武器が、セキュリティの自動化と可視化だ。 
セキュリティが「守りのコスト」から「信頼のブランド」へと進化する 
この講演は、まさにその未来を示していた。 

関連記事

【新着記事】