GitLab、AI生成コードの説明責任に関する調査レポートを発表

最も包括的かつインテリジェントなエンタープライズDevSecOpsプラットフォームでソフトウェアイノベーションを実現するGitLab（本社：米サンフランシスコ、読み方：ギットラボ、NASDAQ：GTLB）は、AI生成コードの運用に関するアカウンタビリティ（説明責任）についての調査レポート「AIアカウンタビリティレポート」を発表しました。本レポートでは、AIコーディングツールの導入が進み、コード生成のスピードが向上する一方で、AI生成コードの管理・追跡・責任の明確化において、多くの組織がガバナンス上の課題を抱えていることを明らかにしています。

本調査では、AIコーディングツールの導入が進み、投資対効果も確認されています。回答者の91%が2つ以上のAIコーディングツールを積極的に活用し、78%がAIツールの導入以降、デベロッパーによるコード作成やコミットのスピードが向上したと回答しました。一方で、開発スピードの向上に対し、管理・統制の仕組みが十分に追いついていない実態も明らかになりました。回答者の43%は、自社のコードベースにおいて、AI生成コードと人間が記述したコードを確実に区別できないとしています。また、73%がAI生成コードのメンテナビリティを懸念しており、82%が、AI生成コードによって自社コードベースに新たな技術的負債が生じるリスクがあると回答しました。

GitLabでは、AI生成コードに関するアカウンタビリティを「AI生成コードの任意の行について、どこから来たのか、何を意図して書かれたものか、本番環境に導入された後の責任を誰が負うのかを説明できる組織的・技術的能力」と定義しています。本調査では、多くの組織がこれらの問いに十分に答えられていない実態が明らかになりました。

その他の主な調査結果は次の通りです。

AIコーディングの普及により、スピードと管理・統制の両立が新たな課題に

• 91%が2つ以上のAIコーディングツールを積極的に活用しており、54%が3つ以上を利用していると回答しました。

• 60%が、AIコーディングの投資対効果は期待を上回ったと回答しました。

• AIコーディングを採用したことによって78%がコード出力の高速化、73%がコード全体の品質向上が実現したと回答しました。

• 79%が「AIによって個々のデベロッパーの生産性は向上したが、ソフトウェアの開発・提供プロセス全体は同じペースでは加速していない」と回答しました。GitLabはこの現象を「AIパラドックス」と呼んでいます。

• 82%が「AI生成コードは、組織がまだ対処できていない新たな技術的負債を生むリスクがある」と回答しました。

• 85%が「AIによってボトルネックはコード作成からレビュー・検証へと移行した」と回答しました。

• 84%が「AI生成コードにおける最大の課題は、作成後にそれをどう管理するかである」と回答しました。

トレーサビリティの不足が、組織のリスクを高める要因に

• 87%が「AIが生成したコードが本番環境のインシデントに関与したかどうかを24時間以内に特定できる自信がある」と回答しました。一方で、過去1年間にインシデントを経験した組織の34%は、実際には特定できなかったと回答しました。

• 管理・統制とトレーサビリティ（追跡可能性）における主な障壁として、AI生成コードと人間が記述したコードを区別することの難しさ（43%）、断片化したツールチェーン（40%）、コードの出所を追跡する機能を持たないシステム（39%）が挙げられました。

• ソフトウェア開発ライフサイクルのツールが共有データとワークフローによって完全に統合されていると回答したのは、28%にとどまりました。

AI生成コードの拡大に伴い、ガバナンスへの投資意欲が高まる

• 92%が、AI生成コードに関する何らかのガバナンス課題を抱えていると回答しました。

• 80%が、自社ではAIツールの導入に対し、それを管理するポリシーの整備が追いつかなかったと回答しました。

• 83%が、AI生成コードの蓄積を今すぐ管理すべきリスクと認識しており、44%はそれを最も重要なテクノロジーリスクと位置づけていると回答しました。

• 91%が、今後12カ月以内にAIコードガバナンスツールへの投資を検討していると回答しました。

• 98%が、AIコードガバナンスツールへの投資について、すでに予算を確保済み、または確保を見込んでいると回答しました。

• 85%が「AIがソフトウェアにもたらす次のフェーズは、コードの生成よりもガバナンスに重点を置くものになる」と回答しました。

GitLabで最高製品・マーケティング責任者（CPMO）を務めるマナブ・クラナ（Manav Khurana）は、次のように述べています。「AIコーディングツールは、開発の高速化に対する期待に応え、一定の成果を上げてきました。一方で、ここ数カ月の動きからは、サプライチェーン攻撃や信頼性の問題、AI生成コードの出所や変更履歴を追跡できる仕組みに対する規制当局の関心の高まりなどを背景に、管理・統制を伴わない開発速度の向上が、企業にとって強みではなくリスクになり得ることが明らかになっています。先進的なチームは、すでにより本質的な問いを投げかけています。それは、自分たちが生成しているコードを本当にすべて管理できているのか、という問いです。信頼性の高いソフトウェアをより速く提供するためには、コンテキスト、トレーサビリティ、ガバナンスを後付けするのではなく、プラットフォームに組み込み、アカウンタビリティの基盤として構築することが重要です。」

調査方法

本調査は、GitLabの委託により、The Harris Poll社が日本を含む世界6カ国のデベロッパーおよびテクノロジー購買担当者1,528人を対象に実施しました。調査にあたり、サンプルのバイアスを減らすためにパネルサンプリング方式を採用しています。