「バイブコーディングが脆弱なコード量産」 99％の組織が直面 レビューや修正リリースを上回るペースで：修正間に合う現場はわずか18％ パロアルトネットワークス調査

パロアルトネットワークスは、世界10カ国の開発・情報セキュリティ部門を対象にした調査「クラウドセキュリティの現状2025」の結果を発表した。AIツールの進展により1日当たりのサイバー攻撃件数は1年間で230万件から約900万件へ急増したという。

[＠IT]

　パロアルトネットワークスは2026年1月14日、日本を含む世界10カ国の開発部門、情報セキュリティ部門に所属する2800人以上を対象に実施した調査「クラウドセキュリティの現状2025」の結果を発表した。調査は2025年9月29日から2025年10月17日にかけて実施された。

　同調査によると、AI（人工知能）の進化と活用により脅威の性質が変化しており、脅威の速度は人間の対応能力を大きく上回っているという。

　パロアルトネットワークスは「AIによるサイバー攻撃に対し、防御側もAIを利用したリアルタイムな自律型セキュリティを導入し注力することが重要になる」と指摘している。

バイブコーディングによる脆弱性のリスク増大　「レビューが間に合わない」

　生成AIによるコード生成、いわゆるバイブコーディング（Vibe Coding）により、セキュリティチームがレビューできる速度を上回るペースで脆弱（ぜいじゃく）なコードが生成されていると、99％の組織が回答した。

　主な調査結果は以下の通り。

• 99％が「バイブコーディング」を利用していると回答し、ソフトウェア開発における生成AIの使用が主流となっている
• バイブコーディングはスピードと生産性を向上させる半面、セキュリティレビューの速度を超えるペースで脆弱なコードを生成している
• コードを週次でリリースする52％のチームのうち、同じペースで脆弱性を修正できるのは18％にとどまる

APIが主要な標的に

　AIは現実的なリスクとなっており、99％の組織が過去1年間にAIシステムへの攻撃を経験している。攻撃者のAI悪用により、1日当たりのサイバー攻撃件数は230万件から約900万件へと約3.9倍に急増した。

　AIエージェントの普及と管理下におかれていないインタフェースの無秩序な拡大に伴い、APIを起点とした攻撃は41％増加しており、主要な侵入経路の一つとなっていることも明らかになった。

　今後企業が直面するセキュリティリスクとして28％が「クラウド環境間の水平移動」（ラテラルムーブメント）を挙げている他、「アイデンティティー・アクセス管理」（IAM）についても課題が浮き彫りとなった。

　75％が「AIシステムを本番環境で運用している」と回答するなど導入が進む一方、53％は認証情報の窃取やデータ流出を引き起こす「緩いIAMの慣行の見直し」を最重要課題として挙げており、急速な利用拡大に対してアクセス制御などの対策が追い付いていない実態がうかがえる。

クラウドセキュリティとSOCの統合が急務

　組織はクラウドセキュリティの分野だけで平均して5社のベンダーから17種類のセキュリティツールを導入している。ツールの乱立に伴うデータの断片化がコンテキストの欠落を招き、インシデント対応の遅れにつながっている。

　クラウドチームとSOC（セキュリティ運用センター）の分断により、30％がインシデント解決に丸1日以上を要しているという。

　こうした現状を踏まえ、組織の97％が「クラウドセキュリティとSOCの統合」を優先課題としており、89％は「クラウドセキュリティとSOCを統合しなければ、十分な効果が得られない」と認識している。