2026

セキュリティと開発におけるAIの現状

我々の新しいレポートは、ヨーロッパとアメリカの450人のセキュリティリーダー（CISOまたはそれに相当する人）、開発者、AppSecエンジニアの声を捉えている。このレポートでは、サイバーセキュリティとソフトウェア開発におけるAIがいかにすでに状況を打破しているか、ツールの乱立がいかにセキュリティを悪化させているか、開発者の経験がいかにインシデント発生率に直結しているかを明らかにしている。2026年、スピードと安全性が衝突する。

主な調査結果

01

AIの採用

5人に1人がAIコードに関連した重大インシデントに見舞われた

「それは、AIがもたらすサイバーリスクの増大から組織を守ることだ。CISOの役割は、テクノロジーと同様にセキュリティ体制も迅速に拡張できるようにすることだ。

クリステル・ヘイキラ

アーセナルFC 元CIO/CISO

53％がAIコードに関連したインシデントについてセキュリティチームを非難

Q.GenAIコードによって導入された脆弱性が後にセキュリティインシデントを引き起こした場合、あなたの組織では誰が最終的な責任を負いますか？該当するものを全て選んでください

「回答者の間では、適切なリスク管理に対する責任の所在が明確になっていない。

アンディ・ブーラ

ロッセイ、CISO

02

デベロッパー経験

エンジニアリング時間の15%
がアラートのトリアージに費やされている。

1000人規模の開発組織で年間2000万ドルだ。

偽陽性で無駄になった費用

残りはトリアージに費やす

トリアージに費やす開発者の時間の年間推定コスト

$720k

$3.6m

$14.4m

回答者の2/3がセキュリティを回避し、発見を却下、または修正を遅らせる

44%

37%

35%

34%

32%

22%

Q: セキュリティ・ツールによる誤検知への対処は、あなたの開発手法にどのような影響を与えましたか？該当するものをすべて選んでください。

「セキュリティ・ツールが開発者をノイズで圧倒すると、開発者は危険な回避策に流されてしまいます。私たちは、チームが本当に重要なことに集中できるよう、誤検知を取り除き、ガードレールを強化し、デベロッパーエクスペリエンスを向上させることで、バランスを取り戻すことを目指しています。

ダルシット・パンディヤ

シニア・プリンシパル・エンジニア - プラットフォーム, Serko

開発チームとセキュリティチームの両方向けに構築されたツールでは、インシデントが大幅に減少した。

開発者チームとセキュリティチームの両方を対象として設計されたツールを使用しているチームは、どちらか一方のグループのみを対象として設計されたツールを使用しているチームと比較して、インシデントゼロを報告する確率が2倍以上高かった。

「既存のツールやワークフローと連動する適切なセキュリティ・ツールを開発者に提供することで、チームはセキュリティのベスト・プラクティスを導入し、体制を強化することができます。

ワリード・マハムード

英国内閣府DevSecOpsリード

セキュリティの現実

03

「業界ではAIで人を置き換えることが盛んに言われているが、セキュリティの分野では、セキュリティ担当者が足りないことの方がはるかに心配されているのは、少し皮肉なことだ」。

イーゴリ・アンドリューシチェンコ

愛すべきCISO

AppSecとCloudSecのツールを別々に使用しているチームは、インシデントに直面する可能性が50%高い。

「AppSecとクラウドセキュリティのプログラムを1つの製品セキュリティチームに統合する必要があることは明らかです。インフラがコードとして定義されている企業にとって、クラウドセキュリティは基本的にコードセキュリティであり、より良い結果をもたらします。

ジェームズ・ベルトティ

ラティオ・テック創設者

AIの未来

96%はAIが安全で信頼できるコードを書くと信じている。

1～2年以内

20%

3～5年

44%

24%

6～10年

+プラス10年

8%

4%

決して

しかし、人間の監視なしになると考えているのは21％にすぎない

10社中9社が、AIが侵入テストを引き継ぐと予想しており、その平均期間は5.5年である。

9/10団体

もしあなたがソフトウェア・セキュリティに携わっているなら、これを読む必要がある。