AI(人工知能)

IBM Bob:セキュリティーを第一に考えたレジリエントなAIへシフトレフト

「シフト・レフト」哲学を採用することで、IBMはセキュリティーを開発ワークフローに統合し、モダナイゼーションを加速させ、コストを削減し、開発者と企業の摩擦を排除します。

公開日 2025年12月4日
デスクとコンピューターで作業している人々でいっぱいのオフィス
By Neelakantan Sundaresan

現代のソフトウェア開発において、セキュリティは極めて重要でありながら、依然として後回しにされがちです。そこで登場するのが、10月に初めてご紹介した当社のエージェント型IDE「IBM Bob」です。Bobはセキュリティ・ファーストの原則に基づいて構築され、組織の意図、レポ、セキュリティ標準を理解し、より速く、よりスマートなソフトウェア開発のための開発パートナーとなることを目的に作られています。エージェント型ワークフロー、ビルトインのセキュリティ、エンタープライズ・グレードの柔軟なデプロイメントを備えたBobは、タスクを自動化するだけでなく、ソフトウェア開発ライフサイクル全体を変革します。

Bob の構築を開始して以来、私たちは「シフトレフト」の哲学を受け入れてきました。Bob はセキュリティを開発ワークフローに統合し、モダナイゼーションを加速し、コストを削減し、開発者と企業の摩擦を排除するのに役立ちます。

AI が開発ワークフローに組み込まれるようになるにつれて、コーディングが加速されるだけでなく、セキュリティ環境も変革します。AIは、プロンプト・インジェクション、ジェイルブレイク、データ・ポイズニングなどの新たなリスクをもたらすと同時に、より広範な企業への脅威を増大させます。AI搭載のIDEやエージェント型ワークフローがビルド、認証情報、デプロイを処理する場合、攻撃者は新たな侵入経路を獲得します。プロンプト・インジェクションはアウトプットを操作したり、安全でないコマンドをトリガーしたりする可能性があります。モデルのジェイルブレイクはガードレールを回避し、隠された機能を公開します。

データ・ポイズニングはトレーニング・セットを気付かないうちに破損させ、デプロイメント後も長い間モデルの動作に影響を与える可能性があります。従来のファイアウォールやスキャナーでは、これらの言語ベースの脅威を検知できません。企業は、脅威が本番環境に到達する前に検知して軽減するために、開発者ツールやCI/CDパイプラインに統合されたAI対応セキュリティを必要としています。

ソフトウェア開発ライフサイクルのシフトレフト

これらの新たなリスクに対処するために、IBMはセキュリティー・ファーストのアプローチを採用しており、まず、AIを保護するために専用のPalo Alto Networks Prisma AIRSと統合されたBobを提供します。このアプローチでは、適切なツールを適切なタイミングで適用し、ライフサイクルの早い段階で保護機能を組み込み、IDE内、プル要求中、CI/CDパイプラインのエージェント型ワークフロー全体など、開発が行われる場所に適応します。

Bobは、IDEの開発パートナーとして、またコラボレーション環境のエージェントとして機能し、セキュリティー・チェックが継続的かつ状況に応じて実行されるようにします。このアプローチにより、検知が自動化され、ほぼリアルタイムでポリシーが適用され、AIの動作が検証されるため、開発者はスピードやガバナンスを犠牲にすることなく自信を持って構築できるようになります。

主な機能は次のとおりです。

  • プロンプトの正規化: インジェクションの試みを遮断し、サニタイズします。
  • 機密データのスキャン: モデル出力内の PII、ソースコード、およびその他の機密データを検知します。
  • ほぼリアルタイムでのポリシー適用: モデルの呼び出しとAPI全体にガバナンスを適用します。
  • シフトレフト セキュリティ: CI/CD パイプラインにチェックを埋め込むことで、コードの記述時に脆弱性を検出します。

Bobはデプロイメントの前にAIレッドチームも組み込んでいます。これらのテストは測定可能なリスクスコアと改善指針を生成し、開発者のバックログに直接反映されるため、セキュリティ対策が実行可能かつ継続的に実施されます。

Bobを使い始める

AIセキュリティを早期に統合することで、Bobは企業を事後対応型のパッチ適用から事前予防型予防に移行させ、開発者が次のメリットを得られるよう支援します。

  • 脆弱性と設定ミスの早期検知
  • 自動提案とコード修正による迅速な修復
  • モデルとデータの進化に合わせた継続的な検証

BobがGA段階に達し、さらにその先へ進むにつれ、私たちは設計段階からセキュリティを考慮したアプローチでBobの開発を継続し、追加のセキュリティ統合機能をBobに順次追加していきます。Bobは、セキュア・バイ・デザインに対するIBMの取り組みを反映し、組織がAIワークフローを新たな脅威から保護しながら、自信を持ってモダナイズできるようにします。

Bobの詳細とPalo Alto Networks Prisma AIRSとの統合については、IBM Technology Summitの録画を視聴し、Bobを体験してください

Neel Sundaresan

General Manager, Automation and AI

IBM