MCP × AIで進化するセキュアコーディングの新時代
開発現場にAIを導入していますか?
ここ数年、「AI」という言葉を耳にしない日はありません。皆さんの開発現場では、既にAIを活用していますか?
総務省が発表した令和7年度版情報通信白書の企業における業務での生成AI利用率によると、日本において「プログラミングコードの生成やバグ修正」で活用している割合は38.8%でした。
一方で、「期待を上回る効果になっている」または「期待通りの効果になっている」と回答した割合はわずか22.8%で、多くの開発現場では、AIを十分に使いこなせていない現状が浮き彫りになっています。その背景には、AIの出力品質のばらつきやセキュリティリスクへの不安があるのかもしれません。
AIに「任せる」のではなく「活用する」時代へ
「セキュアコーディングをAIに任せてみませんか?」と聞かれて、即答で「はい!」と言える方は少ないでしょう。AIはハルシネーション(事実に基づかない回答の生成)のリスクがあり、コードの安全性を担保するには注意が必要です。
とはいえ、AIがここまで普及した今、「使わない」という選択肢は現実的ではありません。脆弱性対策ツールとAIが連携すれば、生成されたコードの安全性を自動でチェックし、必要に応じて修正まで行うことが可能です。
今回は、そんな新時代の開発支援機能である、Checkmarx Oneの「Checkmarx One Developer Assist」についてご紹介します。
Checkmarx One Developer Assistとは?
Checkmarx One Developer Assistは、MCP(Model Context Protocol)を活用してAIエージェントと連携し、VSCode、Cursor、WindsurfなどのIDE上でコード解析や修正提案を行う機能です。開発中のコードをリアルタイムにチェックし、その場で修正案やガイダンスを提示します。これにより、脆弱性の発見から修正までを、普段の開発フローの中で完結させることができます。
それでは、Checkmarx One Developer Assistを実際に使った、脆弱性修正の流れを見てみましょう。
まず、修正したい脆弱性をIDE上で表示します。
このコードには、オープンリダイレクトの脆弱性を含んでいます。
※goto=<悪意のあるサイトのURL>としてパラメータに渡された場合、悪意のあるサイト(フィッシングサイトなど)にリダイレクトされてしまうリスクがあります。
では、この脆弱性を自動修正していきます。
脆弱性を指摘している部分をマウスオーバーし、この画面から、“Fix with CxOne Assist”を選択することで、AIによるコード修正を簡単に実行できます。
今回は、以下のようなToDoで進行する旨がIDE上で表示されました。
単に一行だけコードを修正するのではなく、ファイル全体の整合性を確認しながら修正を行い、ビルドや検証まで自動で実施されます。Checkmarx OneのAI機能は自律的に動くエージェント型AI(エージェンティックAI)を採用しているため、「修正してもちゃんと動くコード」が提供されます。
必要な修正が行われ、修正内容がIDE上で以下のように表示されました。
- 赤色: 既存のコード
- 緑色: 修正後のコード
修正は自動適用ではなく、ユーザーがOKしないと適用されないため、安心して利用できます。
コード修正後、ビルドも自動で行います。ビルドも無事に通りました!
終了後、以下のように、レポートが表示されます。
どのような修正をしたか詳細に表示し、Checkmarx One Developer Assistの機能は終了します。
開発速度も品質も妥協しない、MCPとAIを活用した脆弱性対策
冒頭で紹介した情報通信白書にもあるように、開発現場へのAI導入はまだ発展途上ですが、今後は飛躍的に普及していくと考えられます。
開発現場では、スピードと品質の両立が求められています。Checkmarx One Developer Assistを活用し、速さと品質を追求したセキュアコーディングを実現しましょう。
※この機能は、Checkmarx OneのDeveloper Assist機能のライセンスが必要です。
東陽テクニカでは、販売から導入後のサポートまで一貫して行っております。セキュアコーディングに関するお悩みがあれば、お気軽にご相談ください。