DevSecOpsのApiiro、AIが脆弱なコードを生成する前に防ぐ「Guardian Agent」を発表

Apiiroは、AIが最初から脆弱なコードを生成しないようにすることを目的とした新しいAIエージェント「Guardian Agent」を発表しました。これは、近年急速に普及するAIコーディングツールがもたらす生産性向上と同時に、セキュリティリスクや技術的負債が増大するという課題に正面から対応する取り組みです。Apiiroの共同創業者兼CEOであるIdan Plotnik氏によると、Guardian Agentはソフトウェア開発ライフサイクル（SDLC）のどの段階にも組み込めるよう設計されており、開発者に大量のアラートを投げつける従来型の手法とは異なります。Guardian Agentは、AIモデルへのプロンプトをリアルタイムで書き換え、そもそも脆弱性を含むコードが生成されないようにします。これにより、コード生成後に問題を検知・修正する「事後対応型」ではなく、「予防型」のアプリケーションセキュリティを実現します。

Guardian Agentは、Apiiroがこれまで提供してきたDeep Code Analysis（DCA）技術を基盤としています。この技術は、Software GraphやRisk Graphを活用し、組織ごとに異なるソフトウェアアーキテクチャ、ランタイム、セキュリティポリシーを文脈として理解します。これを発展させたGuardian Agentは、AIがセキュリティポリシーに違反する設計やコード断片を生成すること自体を防止します。AIコーディングツールの普及以降、DevOpsチームは「生産性は上がるが、脆弱性も増える」というジレンマに直面してきました。さらに、AIが生成するコードは冗長になりがちで、攻撃対象領域を拡大させる要因にもなっています。Guardian Agentは、この問題を根本から解消することを狙っています。

Apiiroは、Guardian Agentの導入は主にアプリケーションセキュリティチームが主導すると見ています。CISOの間でも、AIコーディングツールが生み出す脆弱性がセキュリティチームの負荷を急増させているという認識が高まっており、開発フローに摩擦を与えずにリスクを抑えられる点が大きな価値になるとしています。AIが生成するコード品質は今後改善していくと期待される一方で、当面は問題の「発生源」で対策を講じることが重要です。Guardian Agentは、DevSecOpsにおける新しい標準として、AI時代の安全なソフトウェア開発を支える存在になりそうです。

Apiiroについて
Apiiroは、AIとグラフ技術を活用したアプリケーションセキュリティプラットフォームを提供するスタートアップです。ソフトウェア開発プロセス全体を可視化し、設計段階からセキュリティリスクを特定・低減することを目的としています。AIコーディングが一般化する中で、予防型のセキュリティを実現するDevSecOpsツールの開発に注力しています。