静的解析とLLMの融合がもたらすDevSecOpsの進化：セキュリティ「誤検知」問題への現実解

アプリケーションセキュリティ（AppSec）の分野で、従来のコード解析技術と大規模言語モデル（LLM）を組み合わせるアプローチが注目されています。イスラエルのセキュリティ企業Apiiroが発表した「AI SAST」は、静的解析の「確実性」とLLMの「文脈理解」を融合させることで、開発現場の長年の課題である「誤検知」の排除を試みています。本稿では、この技術トレンドを紐解きつつ、日本企業のセキュリティ運用におけるAI活用のヒントを探ります。

セキュリティ運用のボトルネック：「オオカミ少年」問題

日本国内のソフトウェア開発現場において、DevSecOps（開発・セキュリティ・運用の統合）の浸透が進む一方で、依然として大きな課題となっているのがセキュリティテストの「誤検知（False Positives）」です。

従来の静的アプリケーションセキュリティテスト（SAST）ツールは、あらかじめ定義されたルールやパターンに基づいてコードをスキャンします。これは網羅性が高い反面、実際の動作環境や文脈を考慮しないため、実害のないコードまで「脆弱性あり」として警告してしまうケースが多発します。

大量の誤検知は、開発者にとって「アラート疲れ」を引き起こします。結果として、本当に危険な警告が見過ごされたり、セキュリティツール自体の信頼性が損なわれたりする「オオカミ少年」状態に陥ることが、多くの組織でセキュリティシフトレフト（早期段階でのセキュリティ対策）を阻む要因となっていました。

「決定論的解析」と「確率論的AI」の共生

今回、Apiiroが発表したAI SASTのアプローチで特筆すべきは、すべてを生成AIに任せるのではなく、従来の技術とAIを適材適所で組み合わせている点です。

具体的には、まず従来の技術である「抽象構文木（AST）」を用いた解析を行います。ASTはプログラムの構造をツリー状に表現するもので、コードの構文的な特徴を正確かつ高速に捉えることができます。これは「決定論的」なアプローチであり、ここで潜在的なリスクを漏らさずピックアップします。

次に、そこで検出された候補に対して、LLM（大規模言語モデル）ベースのAIエージェントが「確率論的」な検証を行います。AIはコードの文脈、データの流れ、変数のサニタイズ（無害化）処理の有無などを人間のように読み解き、「これは理論上は脆弱性に見えるが、実際には無害である」といった判断を下します。

この「Deep Code Analysis（深いコード解析） + GenAI」というハイブリッド構成により、従来の手法の弱点であった文脈理解をAIが補完し、誤検知を大幅に削減することが可能になります。

AI活用のリスクと限界

もちろん、このアプローチにも留意すべき点はあります。LLMは「ハルシネーション（もっともらしい嘘）」を出力するリスクを完全には排除できません。セキュリティ診断において、AIが「安全である」と誤って判断した場合（False Negative）、重大な脆弱性を見逃すことにつながります。

また、日本企業が導入を検討する際には、データプライバシーの観点も重要です。解析のために自社のソースコードの一部が外部のLLMプロバイダに送信される場合、そのデータが学習に利用されないか、コンプライアンス規定に抵触しないかを確認する必要があります。

しかし、Apiiroのような最新のソリューションは、こうしたリスクを制御しつつ、人間の専門家が行っていた「トリアージ（選別作業）」をAIに代替させることで、セキュリティ運用の生産性を劇的に向上させる可能性を秘めています。

日本企業のAI活用への示唆

今回の事例は、単なる新しいセキュリティツールの紹介にとどまらず、企業が業務にAIを組み込む際の重要なアーキテクチャを示唆しています。

1. ハイブリッドアプローチの有効性
「すべてを生成AIで解決しようとしない」ことが重要です。既存のルールベースや論理的なアルゴリズム（今回の場合はAST解析）で土台を作り、その上での判断や文脈理解にLLMを活用することで、精度と信頼性のバランスを取ることができます。

2. 専門家の役割の変化
AIが一次判断を行うことで、人間のエンジニアは「大量のアラート処理」から解放され、「AIが判断に迷った複雑なケース」や「AIの判断ロジックの監査」といった、より高度な業務に集中できるようになります。これは日本の深刻なセキュリティ人材不足に対する現実的な解となります。

3. ガバナンスとスピードの両立
日本企業は品質と安全性を重視するあまり、開発スピードが犠牲になりがちです。しかし、高精度なAIによる自動化を取り入れることで、ガバナンスレベルを落とさずにアジリティを高めることが可能になります。ツール選定においては、「AIを使っているか」だけでなく、「どのように誤検知や見逃しを防ぐ仕組みになっているか」というアーキテクチャの視点を持つことが求められます。