■問題提起：開発スピードが上がるほど、事故のスケールも上がる

近年、システム開発に起因する欠陥が、ビジネス停止や顧客企業に大きく波及するセキュリティ被害事案が増えています。脆弱性悪用による情報漏えい・改ざん・乗っ取りに加え、クラウド設定不備など、「作る」だけでなく「動かす」段階の不備も被害を増幅させています。

生成AIの普及で、開発は“それっぽく”加速しやすくなりました。ところが、スピードが上がっても、セキュリティが自動的に上がるわけではありません。むしろ、指示の出し方や判断基準が曖昧なままAIを使うと、不安全な実装や運用設計が“量産”されるリスクが高まります。





■原因への洞察：セキュア開発が回らないのは「仕組み」と「見える化」が足りないからセキュア開発が難しいのは、スキル不足だけでは説明できません。問題は、仕組みと可視化が不足したまま、個人に負担を押し付けてしまう構造にあります。- よくある問題構造1.「診断して高リスクだけ対応」で止まってしまう：指摘は"点"で終わり、次の開発に活かす"線"にならない。再発防止が仕組み化されない。- よくある問題構造2. OSSや委託先を含む開発体制がブラックボックス化する：自社システムの構成や依存関係を正確に把握できず、説明責任を果たしにくくなる。その結果、SBOMの整備や運用に着手しづらい状況に陥いる。- よくある問題構造3. "リリース中心の文化"が、リスク指摘を遅らせる：不注意に起因する問題ほど言いづらく、例外処理や運用設計の甘さが放置される。「OWASP Top 10:2025」は、アクセス制御だけでなく、ソフトウェアサプライチェーンや例外条件の扱いなど、より広い範囲で"現実の事故要因"を突いています。この視点を持たずにAI活用を進めると、便利さと引き換えに、見えないリスクを増やしてしまいかねません。■次の一手：「OWASP Top 10:2025」を実践できる力とプロセスに変換する本講演では、「OWASP Top 10:2025」を単なる知識として"読んで終わり"にせず、開発と運用の現場で実装できる戦略に落とし込むことを考えます。特に、次の3点を"現実解"として提示します。（1）共通機能要件をつくれるチーム力向上：セキュリティを「できれば」ではなく「仕様」にする（2）検証できるプロセスを組み込む：スプリント（開発サイクル）ごとに改善の示唆が得られる状態をつくる（3）被害影響の最小化と回復を設計する：レジリエントな開発・運用力を高めるさらに、年度末予算100～500万円規模でも着手できる施策例を示し、「どこから始めるか」「何を成果物にするか」「どう測るか」など検討できる経営判断の起点を提供します。

