AISAST 、AIを活用してセキュリティエンジニアと同様の方法でコードを分析し、ビジネスロジックの欠陥、不適切なアクセス制御、多段階エクスプロイト 、およびパターンベースのスキャナーでは構造上検出できない脆弱性を検出します。ルールエンジンの代わりにAIを全面的に採用しているものもあれば、決定論的スキャナーの上にAIを組み込んでいるものもあります。また、これら2つのアプローチにはそれぞれ異なるユースケースと利点があるため、両方を別々の製品として提供しているものもあります。
本特集では、静的コード解析にAIを取り入れた10のツールを紹介します。ツールは、AIが検出にどのように関与するかによって分類されています。具体的には、推論モデルが検出を行う「AIネイティブ型」のツール、AIが確定論的エンジンを拡張または支援する「AI支援型」のツール、そしてその両方を提供するプラットフォームが1つあります。
要約
Aikido は、このリストに掲載されているツールの中で、決定論的なAISAST と、ビジネスロジック、アクセス制御、エクスプロイト 独立して推論を行う別のAIネイティブ検出製品(AI Code Audit)の両方を提供する、わずか2つのツールのうちの1つです。ほとんどのツールは、これらをどちらか一方しか提供していません。 AI Code Auditは、ペンテスト検出機能を、より低価格で提供します。多くの既存製品は、確定的な検出機能を提供し、トリアージや言語拡張のために後からAIが追加される形をとっています。 Aikido は、1つのプラットフォーム上でこれら両方を独立した製品として提供します。
AISAST何ですか?
「AISAST」として販売されているツールすべてが、同じ方法でAIを活用しているわけではありません。
AIネイティブSAST 、推論モデルを主要な検出エンジンとして採用しています。SASTのように、その基盤にルールエンジンは存在しません。最新のAIネイティブSAST を提供しているベンダーの例SAST Aikido Security、BlackDuck、ZeroPath、Corgea、AISLE、Depthfirstなどが挙げられます。AIは、シニアエンジニアがそうするように、コードを読み取り、脆弱性を発見します。その結果、SAST 、以下のようなより複雑な脆弱性を検出SAST :
- ビジネスロジックの脆弱性
- 認証エラー
- 認証チェックの欠落
- 競合状態
- タイミング攻撃
- IDOR
SAST 、検出用に決定論的なエンジンを維持しつつ、トリアージ、未対応言語への対応範囲の拡大、あるいは是正措置のためにAIを追加しています。AIはコードベース全体を読み込まないため、結果がより迅速に得られます。一般的に、AIネイティブSAST多くの脆弱性を検出することはできませんが、コストがはるかに低く、その結果、拡張性にも優れています。このリストの例としては、 Aikido Security、Black Duck、Checkmarx、Snyk Code、GitHub Advanced Security、Endor Labsなどがあります。
AIネイティブSAST 決定論的SAST 、セキュリティスタックにおいてそれぞれ異なる役割を担っています。トリアージにおけるAIはノイズ低減し、検出におけるAIは、ルールでは表現できない脆弱性 検出範囲を拡大します。これら両方を備えることで、2つのベンダーのソリューションを組み合わせる必要なく、コミットごとに再現性のあるルールベースのスキャンと、オンデマンドでのAIを活用した推論を実現できます。
SAST当社のブログ記事をご覧いただき、その仕組みやさまざまな種類のSASTについてご確認ください。
チームに最適なSAST ールの選び方
AISAST 評価する際には、まず自社の状況に応じて判断する必要があります。
SAST をお持ちですが、より効果的なトリアージや自動修正のためにAIを導入したいとお考えですか?AIを活用したツールは、良い出発点となります。しかしSAST を超えてSAST AIにビジネスロジックやアクセス制御の脆弱性を検出させたい場合はSAST AIネイティブSAST適しているでしょう。その両方を導入する場合、それらを1つのプラットフォームに統合したいですか、それともセキュリティスタックに追加のベンダーが含まれることを許容できますか?
次に、ノイズ 排除ノイズ 各ベンダーのAISAST 実際にどのような機能を提供しているのかを把握する必要があります。各社が自社のAISAST 説明する際、検出機能にAIがどの程度活用されているのか、あるいはトリアージや是正措置にどの程度活用されているのかを確認する必要があります。検出機能にAIが組み込まれている場合は「SASTであり、トリアージや是正措置のみにAIが活用されている場合は「SASTとなります。以下のトップ10リストでは、各社が提供するAI機能の種類を明確にまとめています。
必要なツールの種類が決まったら、機能に基づいて候補を絞り込むことができます:
- このツールは、御社のSCMおよびCI/CD に適していますか?
- チームの人数に応じて、料金はどのように変動しますか?
- ベンダーのデモアプリではなく、実際のコードベースにおける偽陽性率はどのくらいですか?
主要なAISAST 比較
AIネイティブSAST SAST SAST AI支援型SAST ールの2種類
AIネイティブSAST とAI支援SAST個別に提供するプラットフォームで、決定論的テストと最新のAIレビューを併用できるもの。
1. Aikido Security
Aikido Securityは、AIネイティブSAST SAST提供する、数少ないセキュリティプラットフォームであり、さまざまなワークフローのニーズを持つチームに対応しています。
AIコード分析は、ソースコードに直接適用されるペンテストセキュリティ分析を提供します。しかし、AIペネトレーションテストとは異なり、ステージング用URLや本番環境は必要ありません。設定するには、リポジトリへのアクセス権限を付与するだけで済みます。複数のセキュリティエージェントがコードベースを連携して分析し、ファイルやモジュール間でコンテキストを連鎖させることで、パターンベースのスキャナーでは構造上検出できないような問題を洗い出します。
AIエージェントは、意図を推論し、ファイル間の参照を追跡し、サービス境界を越えたデータフローを追跡し、複数のサービスやパッケージを含むモノリポをエンドツーエンドで分析します。 対象範囲の完全なリストには、アクセス制御(IDOR/BOLA、権限昇格)、インジェクションの脆弱性(SQL、NoSQL、コマンドインジェクション、RCE、SSTI)、XSS/CSRF/オープンリダイレクト、認証およびセッションロジック、SSRF/デシリアライゼーション/ファイル処理、暗号化の欠陥、およびビジネスロジックの欠陥が含まれます。
AIコード分析は、実ペンテスト 安全に実行できないコードパスペンテスト 及ぶことができます。AIコード監査は、人間ペンテスト 問題の最大80%を、その約10分の1のコストで洗い出します。実稼働中のアプリをクラッシュさせることなく、ソースコードからDoSおよびReDoSのパターンを検出するほか、まだ一般公開されていない機能フラグ付きのコードも検証可能です。 また、Fortran、COBOL、VB6、RPG、Gleam、Solidityなどのレガシー言語やニッチな言語を含め、あらゆる言語で制限なく動作します。対応範囲はWebアプリにとどまらず、モバイルアプリ、スマートコントラクト、デスクトップアプリ、IaCにまで及びます。
Aikido には、決定論型SAST 同梱されています。これは当初からAIと統合されており、AIを活用したノイズ 機能を備え、すべてのコミットで実行されるように設計されています。 AikidoのLLMは、SAST 削減します。脆弱性 SAST 脆弱性 修正方法が利用可能な場合、AI AutoFix 提案された差分(diff)をコメントにAI AutoFix 、すぐにレビューしてコミットできるほか、専用のプルリクエスト(PR)を開き、そのメタデータを自チームの貢献ガイドラインに合わせて微調整することも可能です。 生成された修正内容は、自然言語によるフォローアップで自社の基準に合わせて調整できるほか、正規表現(regex)の代わりに平易な英語でカスタムコードチェックを記述することも可能です。
Aikido は「開発者第一」の哲学に基づいて構築されているため、検出結果は開発者が作業している場所に表示されます。VS Code やその他のエディタ用の IDE プラグインは、ファイルの開く・保存時にスキャンを行い、問題をインラインでハイライト表示し、それらを Aikido パネルに一覧表示されます。検出結果にカーソルを合わせると、AutoTriage 機能でその影響を評価でき、AutoFix 機能では、その場で適用できる並列プレビューが表示されます。適用後、ファイルが再スキャンされ、問題が解決されたことが確認されます。すべての処理は、チームがすでに使用しているツールへと連携されます。 Aikido は、Jira Cloud、Linear、Slack、Bitbucket、Azure DevOpsと連携し、修正とチケット間のトレーサビリティを確保するために、AutoFixのプルリクエスト(PR)タイトルにJiraチケットIDを挿入することも可能です。
実行時の検証も希望するチームには、 Aikido ペンテスト は、AI Code Auditと同様に、稼働中のターゲットに対して同じエージェント型エンジンを実行し、この2つの製品は互いに補完し合います。オンデマンドでのソースレベルでの推論にはCode Auditを、テスト環境が稼働している際のリアルタイムな悪用可能性の検証ペンテスト をご利用ください。
最適な対象:環境設定の手間をかけずに、オンデマンドで、ペンテスト わずか数分の1のペンテスト で、ペンテストコード分析を行いたいチーム。あらゆる言語にわたるビジネスロジックやアクセス制御の欠陥を網羅した分析結果が得られます。
ぜひチェックしてみてください Aikidoの静的コードレビュー用ツール一式をご覧ください:
2. Black Duck
Black Duckは、このリストに掲載されているプラットフォームの中で、AIネイティブSAST AI支援型SASTの両方を提供しているもう1つのプラットフォームです。
Black Duck Signalは、2026年3月から提供されているAIネイティブのスキャナーです。 Aikidoの「AI Code Audit」と同様に、Black DuckのセキュリティモデルであるContextAIを基盤としたエージェント型アーキテクチャ(単一のモデルではなく、複数の役割ベースおよびタスクベースのエージェント)を採用しています。Signalは独立して動作し、検出結果をPolarisプラットフォームにフィードバックします。Polarisプラットフォームでは、決定SAST に加えて到達可能性分析を追加することで、実際に悪用可能な脆弱性の優先順位付けを行うことができます。
Black Duckの決定論的SAST 、「Coverity」(オンプレミス)または「Polaris Platform」(SaaS)としてSAST 、SAST は「Polaris fAST Static」として提供されています。この決定論的SAST 追加されるAIアシスタント機能は「Black Duck Assist」SAST 、Polaris PlatformとCode Sight IDEプラグインの両方に統合されています。 Assistは、SAST について平易な言葉で要約を生成し、開発者が作業中に貼り付けて利用できるコード修正案を提案するほか、スキャン結果について自然言語で質問することも可能です。この機能は、VS Code、Visual Studio、IntelliJ、Eclipse、Cursor、Windsurfで動作します。
しかし、BlackDuckはSAST SAST SAST 数少ない企業の1つではあるものの、Signalは単一のエンジンとして動作するのではなく、「外部分析」を通じてPolaris上で結果を表示するため、これら2つの製品はネイティブに統合されているわけではなく、レポート層で連携されているに過ぎません。Coverity自体は処理に時間がかかり、スキャン時間の長さから、多くのチームがコミットごとに実行することを避けています。 したがって、決定論的なSAST として、すべてのコミットのセキュリティを確保したいと考える、動きの速いチームには適していません。
どちらの製品も一般向けの価格設定が公開されていないため、エンタープライズ向け営業主導のスケジュールに縛られ、価格もそれに応じた設定となっています。この広範なプラットフォームには、Polaris、Coverity、Signal、SCA、DAST、IAST、ファジング、ASPM含まれており、導入や管理(そして各サービスの内容を把握すること)には多大な労力を要します。このプラットフォームは、個々の開発者ではなく、一元化されたエンタープライズセキュリティチーム向けに構築されているため、専用のインフラストラクチャと管理作業が必要となります。
最適な対象:コンプライアンスを重視した決定論的エンジンと、独立したAIネイティブのスキャナーを併せて導入したい規制業界の大企業で、エンタープライズ向けプラットフォームを導入するための予算と人材を確保している企業。
AIネイティブのSAST
AIネイティブSAST 、AIを用いてコードを読み取り、脆弱性を検出します。これらのツールは、推論モデルを主要な検出エンジンとして採用しています。パターンマッチングの代わりに、AIが脆弱性を検出します。
3. ZeroPath
テスラの元レッドチームおよびグーグルの元セキュリティエンジニアによって設立されたZeroPathは、LLMとプログラム解析を組み合わせ、プルリクエストの脆弱性をスキャンしています。
ZeroPath を使えば、平易な英語で検出条件を指定できます。自然言語によるポリシーとは、「ユーザー権限を確認しないAPI すべてフラグ付けする」といった、組織固有のルールのことです。この同じ仕組みをノイズ 絞り込むことも可能です。特定の入力が上流でサニタイズされていることや、認証の欠陥に関する問題が対象外であることをスキャナーに指定すれば、次回のスキャンでそれが考慮されます。
また、ZeroPathは結果を開発者のワークフローに組み込み、プルリクエスト(PR)にコメントとして投稿します。修正については、ZeroPathがパッチを生成し、その有効性を検証した上で、既存の動作を損なうことなく問題を解決します。さらに、ワンクリックでパッチを適用し、修正済みのPRを作成することも可能です。 生成された修正内容は、「make this async-safe」といった自然言語コマンドで再構成できます。「Zero」アシスタントは、なぜ脆弱なのか、どのように悪用される可能性があるのかなど、あらゆる検出結果に関する質問に回答し、オープンソースのMCPサーバーは、Claude、Cursor、Windsurf内で検出結果を表示します。
PRスキャンは差分のみを対象としており、つまり、プルリクエストごとにコードベース全体ではなく、変更された行のみをスキャンします。変更されていないコードに脆弱性 、そのコードが今回のPRによってアクセス可能になった場合、PRスキャンではその脆弱性を見逃してしまう可能性があります。対応言語は約16言語にとどまっており、一部の競合他社が提供する30言語以上という範囲に比べて狭くなっています。同社は設立から間もない企業であり、大手ベンダーのようなエンタープライズ規模の対応やサポート体制の成熟度にはまだ至っていません。
ZeroPathも最近、DAST 実行時検証機能を提供し始めましたが、決定論的SAST対応していません。
最適な対象:最小限の設定でAIネイティブなPRスキャン機能のみを必要とし、新興で動きの速いベンダーにも抵抗がない開発チーム。
4. コルゲア
Corgeaもまた、SAST 。同社のCodeIQエンジンは、LLMによる推論とAST解析を組み合わせて検出を行います。PolicyIQにより、チームは自然言語でビジネスコンテキストを定義することができ、同社はエンタープライズおよびプライベートクラウド環境での導入向けに独自のLLMを微調整しています。到達可能性分析では、公開エントリポイントから悪用可能なコードまでの実行パスを追跡するため、チームは攻撃者が実際に到達可能な箇所を優先的に対処することができます。 顧客には、Zapier、epilot、Sonae、YAGEO、First Resonanceなどが名を連ねています。
パフォーマンスに関しては、独立したペネトレーションテスターによるレビューで、Corgeaが実際の脆弱性を検出することは確認されたものの、その特定のデータセットにおいてはZeroPathに劣るという結果が出ました。また、同レビューでは、ポリグロット環境やモノレポ環境において、Corgeaは主要なアプリケーションを特定してそこに焦点を当てようとし、残りのコードを黙って無視してしまうことが判明しました。たとえば、同じリポジトリ内にAPI フロントエンドが存在する場合、Corgeaはどちらか一方のみをスキャンする可能性があります。 微調整されたLLMに関するトレーニングデータ、評価方法、モデルアーキテクチャの詳細は公表されていません。
Corgeaは20以上の言語に対応していますが、特にエンタープライズ向けにおいては、他のツールに比べて対応言語数は少ないです。しかし、Corgeaは他のいくつかの代替ツールよりも手頃な価格設定となっています。料金体系は、個人開発者向けの恒久的な無料プランから始まり、有料プランは開発者1人あたり月額39ドルおよび49ドル、さらにエンタープライズ向けのカスタム価格設定が用意されています。
最適な対象:営業プロセスをSAST AIネイティブSAST を試してみたい、主に単一言語のリポジトリで作業している小規模チームや個人開発者。
5. 通路
AISLEは、検出結果を提示する前に相互に照合を行う推論エージェントを備えた、SAST 。ゼロからAIネイティブとして構築されているため、その基盤には静的なルールは一切存在しません。あらゆる言語やコードベースに対応していると謳っています。新興企業であるAISLEは、Firefoxを含む数十のオープンソースプロジェクトをスキャンし、発見したCVEを公開することで、その信頼性を確立しようと努めてきました。
CVEに関する調査結果は有望ですが、公開されているドキュメントがないため、デモを体験するまでは製品の動作を確認することができません。すべての証明は、堅牢化されたオープンソースのC/C++ライブラリに集約されており、これはC++のコードベースにとっては素晴らしいことですが、Javaやインタプリタ型言語を使用している環境でのパフォーマンスについてはあまり示唆を与えていません。
利用はエンタープライズ向け限定であり、デモおよび2週間の価値実証(PoV)を通じてのみ可能です。セルフサービスオプションや公開価格設定はありません。AISLEには、一貫した結果やCIゲート設定に必要な決定論的なSAST が備わっていません。
最適な対象:大規模なC/C++コードベースや、重要なインフラプロジェクトのセキュリティ対策を行う組織。こうしたケースでは、ルールに基づく再現性よりも、これまで発見されていない深刻な脆弱性を検出することがより重要となります。
6. 深さ優先探索
Depthfirstは、同社の製品「Code」SAST 、AISAST 新たなアプローチを提案しています。Codeは、脆弱性の発見、検証、修正、確認という4段階からなるエージェント型ライフサイクルを実行します。特にユニークなのは検証段階であり、この段階では、検出結果を報告する前に、実行中のアプリケーションインスタンスに対して動的テストを実行します。
修正段階では、確認された脆弱性ごとにプルリクエストが自動的に生成され、コードの変更はお客様のコードベースの規約に合わせて行われます。検証段階では、修正がマージされた後、実行中のアプリケーションに対して元の攻撃を再現します。Depthfirstは、単にコードが変更されただけではなく、本番環境のアプリケーションで実際に攻撃が失敗した場合にのみ、脆弱性 マークします。SAST とペンテスト 、およびマージ後の再攻撃を組み合わせたこのフローにより、Depthfirstは、純粋なソースコードのみの分析というよりも、AISAST とAIペネトレーションテストを SAST に近いものとなっています。
検証段階では動的テストが実行されるため、その真価を最大限に引き出すには、デプロイ可能な環境が必要です。セットアップの手間(およびそれに伴う潜在的なコスト)により、このツールはペンテスト 近いため、ソースコードのみのスキャンを求めているチームには、Depthfirstは適していない可能性があります。もし本番環境でAIエージェントを実行したい場合は、 ペンテスト と比較検討することをお勧めします。
費用に関しては、透明性のあるセルフサービス型の価格体系は用意されていません。公開されているドキュメントも無料プランも存在しないため、詳細を知りたい場合や試してみたい場合は、デモを申し込むしか方法がありません。
最適な対象:エクスプロイト脆弱性情報を求めており、ソースコードへのアクセスに加え、動作中のアプリケーション環境の提供も可能なチーム。
AIを活用したSAST
これらのツールは、検出のための決定論的エンジンを備え、トリアージ、未対応言語への対応範囲の拡大、あるいは修正処理のためにAIを活用しています。パターンマッチングエンジンはルールに基づいて脆弱性を検出する一方、AIは主にトリアージ、誤検知の低減、および自動修正機能をサポートしています。
7. Checkmarx
Checkmarxは、規制対象業界の組織向けにコードスキャンを提供しており、多層アプリケーション全体にわたるテイント分析やデータフロー追跡機能をSAST、この分野で長年にわたり活用されてきたツールです。Checkmarxのコアとなる検出機能は、SAST 記述するための独自言語であるCxQL(Checkmarx Query Language)上で動作します。
CheckmarxSAST 3SAST LLMと既存のクエリベースの分析を組み合わせたハイブリッドエンジンとして、AISAST リリースしました。AIレイヤーは、CheckmarxがCxQLクエリを作成していない言語への検出範囲の拡大に重点を置いています。Checkmarxがすでにサポートしている言語については、検出には従来通り同じCxQLエンジンが使用されます。Checkmarxは、特にレガシーシステムにおいて、幅広い言語をカバーしている傾向があります。
AI機能に関しては、Checkmarxのエージェント型機能は、独立した検出ではなく、トリアージと是正措置を目的としています。AISAST並行して、Checkmarxはエージェント型エージェントを提供しており、これには「Triage Assist」、「Remediation Assist」、「Developer Assist」、AIサプライチェーンセキュリティ、DAST が含まれます。
ウォーターフォール型開発の時代に開発されたCheckmarxは、処理速度が比較的遅い製品です。SAST アプリケーション1つあたり25分から45分かかり、数秒で結果を返す他の決定論的SAST 比べ、処理速度が桁違いに遅いです。また、運用には専任のチームが必要であり、市場にある他の製品に比べて開発者向けの配慮が不足しています。
組織内でCheckmarxを導入するには、多くの場合6週間以上かかることがあり、価格設定は不透明で、営業部門による見積もりベースとなっており、年間約4万ドルからとなっています。
最適な対象:規制業界に属する、セキュリティ体制が確立された大規模企業で、すでにアプリケーションセキュリティ(AppSec)のエンジニアリング担当者を擁しており、既存のCheckmarxへの投資を、新しい言語に対応したAIを活用した検出機能へと拡張したいと考えている企業。
8. Snyk Code
Snyk Codeは、広範なSnyk AppSecプラットフォームをSAST 。AI Security Fabric、Agent Scan、Agent Guardなどを含む、2026年のSnykによるAI分野への本格的な取り組みは、SAST 拡大ではなく、AIが生成したコードやAIエージェントのセキュリティ確保に重点を置いています。ただし、SnykにはAIを活用したSAST いくつか備わっています。
Snykの自動修正機能は、2026年5月に「DeepCode AI Fix」から「Snyk Agent Fix」へと名称を変更し、エージェント型アーキテクチャで再構築されました。 検出エンジンが脆弱性発見すると、Snykは数千件の手書きペアが収録されたデータベースから、そのCWEに対する人間が作成した修正例を抽出し、それらをLLMに「few-shotプロンプト」として入力します。これにより修正候補が生成され、各候補に対して静的解析を再実行して、修正が実際に機能したかどうかを検証します。 検証に失敗した場合、そのエラーはモデルにフィードバックされ、再試行が行われます。Agent Fixはローカルファイルの修正に限定されており、複数のファイルにまたがる脆弱性には対応していません。
SnykSAST 、特にコマンドインジェクションやハードコードされたシークレットといったよく知られた脆弱性 に関して、ノイズ のためにLLMではなく、より従来型の機械学習を採用しています。コードのトリアージや優先順位付けにLLMを活用したい場合は、SAST を選ぶ必要があります。 SnykのMLは、数百万件のオープンソースのデータフロー例を用いて学習されており、アプリケーション内での情報の移動パターンを認識するよう学習されています。そのため、このエンジンは関数呼び出しを通じて流れるデータを追跡します。しかし、Snykは競合他社に比べて、依然としてSAST 生成することが知られています。
料金体系は開発者1人あたりで設定されており、開発者が10人を超えると、年間15,000ドル以上の「エンタープライズ」プランに切り替わります。 このエンジンはクローズド型であり、カスタムルールは設定できないため、SAST カスタマイズしたいチームには適さない可能性があります。ドキュメントに記載されている対応言語は12言語(Apex、C、C++、C#、Go、Java、JavaScript、PHP、Python、Ruby、Swift、TypeScript)ですが、Snykは19言語に対応していると主張しています。SnykはSCA スタートし、SAST 後からSAST 。
最適な対象:IDE、CLI、CI/CDに統合された成熟したスキャン体験を重視し、開発者ごとの課金モデルを受け入れられ、AIネイティブSAST必要としない、開発者中心のチーム。
9. GitHub Advanced Security
GitHub Advanced Security は、GitHub 独自の CodeQL を基盤とするSAST 、最新の AI を活用したセキュリティ検出機能を組み合わせています。
GitHub Advanced Security(GHAS)の最大の利点の一つは、GitHub や Azure DevOps のリポジトリに直接統合されるため、すでにこれらのプラットフォームを利用しているチームは、別途ツールを導入する必要がないという点です。
GitHubのCopilotコードレビューは、GitHubが提供するAIセキュリティ機能の一つです。プルリクエストにCopilotをレビューアとして追加すると、潜在的なバグ、セキュリティ上の問題、パフォーマンスの問題、コード品質に関する懸念事項についてインラインコメントが表示され、数回のクリックで適用できる変更案が提案されます。 Copilotは、変更された行だけでなく、変更されたファイル全体の差分と周辺のファイル内容も読み取るため、そのフィードバックには変更が周囲のコードとどのように調和しているかが反映されます。また、影響を受けるファイルを一覧表示し、レビュー担当者が注目すべき点を指摘したPRの概要も作成します。GitHub.com上、IDE内、およびGitHub CLIの /review コマンドから実行できます。
ただし、Copilot Codeの対応範囲は、同種の製品に比べて限定的です。Copilot Code Reviewは、1つのリポジトリ内の単一のプルリクエストについては適切に処理できますが、複数のリポジトリからなるアーキテクチャや大規模なモノリポジトリでは、コンテキストの境界に直面してしまいます。 具体的には、リポジトリ間の依存関係 アーキテクチャの逸脱に対する認識が限られています。コスト面では、コードレビューはGHASではなくCopilotを通じて実行されますが、管理者は2つの組織ポリシーを有効にすることで、Copilotのフルライセンスを持たないコントリビューターに対してもこの機能を利用できるようにすることができます。
Copilot Autofix は、GitHub のもう 1 つの主要な AI セキュリティ機能であり、GHAS に含まれており、Copilot の追加費用はかかりません。この機能は、CodeQL アラートの説明と位置情報に基づいて、コードの修正案と平易な説明を生成し、プルリクエストやデフォルトブランチに表示します。 ただし、Autofixには1つの制限があります。それは、十分に理解されているパターンに対してのみ修正案を提案するという点です。コードが複雑である場合や、修正によって他の部分に不具合が生じる可能性がある場合、GitHubはアラートを表示しますが、提案は行わないため、手動で修正する必要があります。修正案の生成は、C#、C/C++、Go、Java/Kotlin、Swift、JavaScript/TypeScript、Python、Ruby、およびRustでサポートされています。
この製品は、使用する技術スタックに関してかなり制約が厳しいです。GitHubやMicrosoftのエコシステムを好む人にとっては素晴らしいですが、そうでない人にとってはおそらくデメリットとなるでしょう。 別のAIレイヤーを使用するオプションはないため、MicrosoftのAIアシスタントを好むかどうかに関わらず、Copilotを使うしかありません。また、このプラットフォームはGitHubに紐づいているため、GitLabやBitbucketを利用しているチームは利用できません。さらに、CodeQLのカスタムクエリについても、慣れていないユーザーにとっては習得に時間がかかるでしょう。
AIを活用した検出機能(おそらくAIネイティブSAST となる見込み)は、2026年第2四半期にパブリックプレビューが予定されていたが、本稿執筆時点では提供状況は未定である。この機能により、DockerfileやPHPなど、CodeQLがクエリを実行できないエコシステムへの対応範囲が拡大されることになる。
最適な対象:すでにGitHubまたはAzure DevOpsを利用しており、既存のプルリクエストワークフローにAIを活用したセキュリティスキャンを組み込みたいチーム。
10. エンドール・ラボ
2025年にリリースされたEndor LabsのAISAST 、「Endor Code」製品群の一部です。SAST 、検出にOpengrepを使用しており、AISAST 場合、検出結果をAIエージェントに送信して分類を行います。
同社のドキュメントによると、AISAST CLIフラグで簡単に有効化でき、これによりAIエージェントが検出結果を「真陽性」または「偽陽性」として自動的に分類できるようになります。さらに、Endor Labsの「AI Security Review」ツールは、SAST の結果SAST 渡し、AIがその検出結果に基づいて、深刻度レベルや説明を盛り込んだ、プルリクエスト(PR)に適したセキュリティ分析レポートを作成します。
いくつかのAI機能は備えているものの、その中には不明確なものもあります。Endor Labs社は、IDORを検出する「検出エージェント」を使用していると述べていますが、ドキュメントに記載されている実装内容ではこれがサポートされていません。Endor社は、検出エージェントを駆動するAPICodeAPIについて説明していますが、その機能や動作を確認できる公開されたAPI 存在しません。Endor Labs社の導入を検討している場合は、どのような種類の検出エージェントが提供されるのかを必ず確認してください。
プラットフォームとして、Endor Labsは優れたSCA、シークレット 、および基本的なコンテナイメージスキャン機能を備えています。Endor LabsSCA 、スタンドアロンのSAST 比較的新しいSAST 。SCA特に重視するチームにとっては、良い選択肢となるでしょう。
Endor Labsには、AIネイティブSAST AISAST ペネトレーションテストの機能はなく、無料のセルフサービスプランも提供されていません。
最適な対象:SCA (セキュリティコンフォーマンステスト)向けにEndor Labsをすでに導入している、または評価中のSCA OpengrepベースのSAST に対して、AIを活用した優先順位付けとノイズ SCA 。
おまけ:セキュリティスキャン機能を備えたAIコードレビューエージェント
また、別の種類のツールには、コード品質レビューにAISAST 組み込んだものがあります。これらはAIコードレビューエージェントであり、その主な役割は、プルリクエストの品質、ロジック、チーム基準をレビューすることであり、セキュリティチェックもその一環として組み込まれています。
Panto AI
Pantoは、セキュリティスキャン機能も兼ね備えたAIコードレビューエージェントです。Pantoはプルリクエスト(PR)を分析し、30以上のプログラミング言語にわたって、品質、ロジック、セキュリティについて行単位でフィードバックを提供します。その設計は3つのレイヤーで構成されています。 ビジネスコンテキスト層は、Jira、Confluence、設計ドキュメントからメタデータを取得し、各プルリクエストをその目的に照らし合わせて整合性を図ります。品質・セキュリティ層は静的解析を実行し、モデルはコードが何を実行するかだけでなく、なぜそのように書かれたのかについても推論を行います。Pantoが「AI OS」と呼ぶこのビジネスコンテキストとの整合性が、単なるスキャナーとは一線を画す特徴です。 Pantoは、レビューの遅延要因や過負荷状態にあるメンバーをエンジニアリングマネージャーに可視化するチーム可視化ダッシュボードにより、監視機能の層を追加しています。
Pantoは、Azure AI Foundryを経由してOpenAI、Anthropic、DeepSeek、およびGoogle Geminiを通じて推論を行っており、独自の検知モデルは保有していません。しかし、他に具体的な検知エンジンが明記されておらず、ルール分類体系も公開されていないため、そのセキュリティ層が実際にどのような機能を持っているかを評価する手段がありません。 Pantoは、エンジンの開示もサードパーティによるベンチマークも提供していません。Pantoは、SAST、コードスタイルリンター、パフォーマンスチェッカー、シークレットスキャナーを1つのワークフローに統合して検出結果を報告しているため、その集計値にはリンティングやスタイルチェックがセキュリティと同じカテゴリーに含められています。
料金体系は、スタンダードプランで開発者1人あたり月額15ドル、上位プランでは最大40ドルとなっています。一部のプランでは月間プルリクエスト数が200件に制限されており、無料プランはなく、独自の鍵(BYOK)の使用もできません。報告されている利用状況は、開発者500人以上、コード行数500万行以上ですが、これは控えめな数字です。
最適な対象:検出深度SAST 評価するチームではなく、ビジネスコンテキストを考慮したPRレビューやエンジニアリングマネージャー向け分析機能を求めており、セキュリティスキャンを付加的なメリットとして活用したいチーム。

