ある企業が、コード補完 AI ツールを開発者向けに社内導入した。セキュリティチームから「モデルが古いライブラリの脆弱なコードパターンを提案することがある」と指摘された。最小限の追加作業でこのリスクを低減するための、最も適切なアプローチはどれか。
- A. モデルを毎月再トレーニングして最新のセキュリティパッチを学習させる
- B. 脆弱なパターンや非推奨 API の使用を禁止するシステムプロンプトを追加し、出力をコードスキャナーで自動フィルタリングする
- C. 開発者全員に OWASP トップ 10 のトレーニングを実施して人間側の判断力を高める
- D. コード補完機能を完全に無効化し、開発者が手動でコードを記述する運用に戻す
解答と解説を見る
正解: B
システムプロンプトで脆弱なパターンの禁止を明示しつつ、SAST(静的解析)ツールで出力コードをスキャンするガードレールを組み合わせることで、追加インフラを最小限にリスクを低減できる。Dは誤り:ツール全廃は生産性損失が大きく、リスク低減の比例原則に反する。Aは誤り:モデルの月次再トレーニングは極めてコストが高く、オープンソースの基盤モデルでない限り現実的でない。Cは誤り:教育は重要だが根本的な技術的ガードレールなしでは出力リスクを直接制御できない。