第四の波：AIがコードを書き、それをハッキングするとき

第四波への進化において、私たちは重要な転換点を越えた​​。 そして、ソフトウェア開発と提供の未来。 第4波は、単にエンジニアリングのスピードアップにとどまらず、ソフトウェアライフサイクル全体を通してAIが積極的に関与するようになることを意味します。コーディング・コパイロットは、わずか2年足らずで実験段階から標準的な手法へと移行し、その影響はすでに測定可能です。フォーチュン100企業の約90%がAIコーディングツールを使用し、多くの環境でコードの約40～50%がAIによって生成され、開発者によるAIの導入は企業チーム全体でほぼ普遍的なものになりつつあります。

同時に、企業組織は不都合な現実に気づき始めている。それは、コード生成の高速化が、ソフトウェア開発という複雑なエンドツーエンドのビジネスプロセスにおける価値提供の高速化に必ずしも繋がるわけではないということだ。 コーディングエージェントはそのプロセスの一部にすぎません そして、ほとんどの大規模組織では、真の摩擦はコーディング作業そのものではなく、上流の計画段階と下流のテスト、セキュリティ、リリース段階に存在する。

しかし、ここでより重要なのは、既に指摘したボトルネックの問題ではありません。それと並行して、あまり議論されていないものの、はるかに重大な変化が起こっているのです。

AIは今や一流の脅威アクターだ

開発を加速させてきた同じ能力が、今度は攻撃を加速させている。

Anthropic社のMythosモデルや関連するProject Glasswingコンソーシアムといった最近の動向は、この分野がどれほど進歩したかを如実に示している。これらのシステムは、これまで知られていなかった脆弱性を特定し、最小限の人的介入でエクスプロイトを生成する能力を備えている。アプリケーションを数秒でリバースエンジニアリングでき、攻撃者はこれらのエージェントを利用して攻撃部隊を編成することができる。
私たちはもはや、セキュリティツールの漸進的な改善や攻撃者の巧妙化といった問題に対処しているわけではありません。AIが脆弱性を発見し、悪用するスピードが、ほとんどの組織の対応能力をはるかに上回る時代に突入しているのです。加速するリスクは、スピードだけでなく、複雑さ、規模、高度化、そして広がりといった点にも関係しています。これらのモデルの開発者が、広範な公開による影響について懸念を示している今こそ、業界が戦略を見直し、再調整する必要がある時だと私たちは認識しています。

攻撃対象領域は拡大している――両側から。

今回の状況がこれまでと異なる点は、リスクが二つの方向から同時に増大していることだ。

外部的には、 AIは攻撃者のエコシステムを変革している。

• 攻撃のタイムラインは数時間から数秒に短縮されている。
• エージェントとエージェント群は、これまでにない規模と複雑さの攻撃を可能にしている。
• 参入障壁の低下とコストの急激な減少に伴い、活動的な小規模ハッキンググループの数は増加している。
• AIは、自動偵察、エクスプロイト生成、および適応型攻撃を可能にしている。

内部的には、 AIはコードの生成方法を変えつつある。

• 開発者はこれまで以上に多くのコードを、より速いペースで生成している。
• AIが生成したコードは、必ずしも完全に理解されていない脆弱性を引き起こす可能性がある。
• コーディングコパイロットの多くの用途は、開発者自身がコードを理解できない「ブラックボックス」状況を生み出している。
• 安全でないパターンは、未成熟で手動によるものが多いシステム間で大規模に伝播する可能性がある。 DevOps 事態をさらに悪化させるプロセス

既にデータにはこの変化が反映され始めている。 Hubspot Digital.aiの2025 Application Security 脅威レポート:

• アプリケーションの83％が常に攻撃を受けている――前年比で約20％増加
• 通信（91％）、金融サービス（87.5％）、自動車（86％）、医療（78.5％）など、主要な業界すべてで攻撃率が急上昇した。
• 脱獄技術やAIを活用した攻撃手法が成熟するにつれ、iOSとAndroidの攻撃率の差は大幅に縮小した。
• 無料で利用できるAIツールのおかげで、攻撃者はこれまで以上に簡単にアプリケーションをリバースエンジニアリング、分析、悪用できるようになった。

その結果、新たな非対称性が生じている。脆弱性の発生から悪用までの時間的猶予が縮小しているのだ。近日公開予定の2026年のデータでは、その時間的猶予がどれほど縮小したかが明らかになるだろう。

なぜ旧来のセキュリティモデルは破綻するのか

ほとんどの企業セキュリティ戦略は、人間が主導する開発ペースと人間が主導する規模の攻撃が特徴だった、異なる時代のために構築されたものだ。
 
そのモデルは以下を前提としている。

• コードは開発者によって書かれ、レビューされます。
• 脆弱性は時間をかけて発見され、可能な限りパッチが発行されました。
• 防御側には、攻撃を検知して対応するための猶予期間がある。

これらの前提はどれも第四波においては当てはまらない。
 
コードが瞬時に生成され、攻撃も瞬時に実行される現代において、セキュリティは定期的または事後的な対応では不十分です。境界防御に留まったり、スキャンやパッチ適用だけに頼ったりすることも許されません。アプリケーション自体に組み込まれ、継続的、適応的、かつリアルタイムなセキュリティ対策が不可欠です。

アプリケーションの自己防衛の加速

こうした理由から、アプリケーションレベルの保護に対する緊急性が高まっています。難読化、改ざん防止、ランタイムアプリケーション自己保護（RASP）、ホワイトボックス暗号化といった機能は以前から存在していましたが、第4波の脅威環境においては、これらのアプローチはオプションの追加保護から、今日の脅威環境で生き残るための必須要件へと変化しました。これらは今や、現代のセキュリティ戦略の基盤となる要素となっています。それは、これらの機能が新しいからではなく、環境が変化したからです。
AIが絶えず脆弱性を探り、アプリケーションを数秒で逆コンパイルし、かつてない規模で攻撃を仕掛ける現代において、アプリケーションは外部からの介入に頼ることなく、実行時に内部から防御できる能力を備えている必要があります。これは、攻撃対象領域が非常に広く、ネットワークが制御不能で、動作環境を所有していないモバイルアプリケーションやWebアプリケーションにおいて特に重要です。

戦略的意味合い

第四の波は、シンプルながらも強力なダイナミクスによって定義されます。それは、AIがソフトウェアの構築方法と攻撃方法を加速させているということです。この二面性は、かつてない規模で機会とリスクの両方を生み出します。AIを単なる生産性向上の手段と捉える組織は、より大きな視点を見失うでしょう。開発モデルと並行してセキュリティモデルを進化させる必要性を認識する組織こそが、業界をリードしていくのです。この新しい環境において、スピードだけでは優位性は得られません。セキュリティを伴わないスピードは、むしろ弱点となるのです。
 
第四の波で勝利を収めるのは、より迅速に開発と革新を進める企業であり、さらに重要なのは、機械の速度で安全なアプリケーションを提供する企業である。
 
よりスマートなソフトウェア。エージェント並みのスピード。設計段階からセキュリティを確保。