AIコーディングツール利用率97%・ガバナンス整備はわずか30%|Black Duck最新調査が示すセキュリティリスクと久留米・福岡の企業が今すぐ取るべき3つの対策
セキュリティ企業Black Duckは2026年6月9日、「AIを活用したソフトウェア開発の現状(State of AI-Powered Software Development)」調査レポートを公開しました(出典:Black Duck)。独立調査機関UserEvidenceと共同で2026年3月に実施した本調査は、従業員500人以上の企業のソフトウェアエンジニア・DevOpsプロフェッショナル831人を対象としており、AIコーディングツールの急速な普及とガバナンス体制の深刻な遅れが浮き彫りになりました(出典:Black Duck)。GitHub CopilotとClaude Codeが市場を二分し、開発生産性を劇的に引き上げる一方で、セキュリティリスクの増大と管理不全という新たな課題が企業に突きつけられています(出典:Black Duck)。
何が起きたか
利用率97%——AIコーディングツールは「使って当然」の標準装備へ
調査対象のエンタープライズ開発者のうち97%が何らかのAIコーディングツールを業務で使用しており、もはや「使わない」という選択は少数派となっています(出典:Black Duck)。採用率トップはGitHub Copilot(83%)で、次いでClaude Code(63%)が続きます(出典:Black Duck)。多くのチームが複数のツールを並用しており、用途や言語・フレームワークによって使い分けるケースが増えています(出典:Black Duck)。生産性への効果も明確で、92%のチームがAIツール導入後にリリース速度・品質が向上したと回答し、1人あたり週平均8時間の作業時間削減を実現しています(出典:Black Duck)。
「ガバナンスの30%の壁」——普及に管理体制が追いつかない現実
97%がツールを利用している一方、利用ポリシー・コードレビュープロセス・セキュリティスキャンの統合など完全なガバナンス体制を整備している組織はわずか30%にとどまります(出典:Black Duck)。9割のチームがAI生成コードに品質・セキュリティ・ライセンスなどの問題をワークフローのどこかで経験しており、64%がAIツールによるセキュリティ欠陥の導入を「懸念している」または「非常に懸念している」と回答しています(出典:Black Duck)。調査では特に、AIツールの最重度ユーザーほどセキュリティ懸念が強いという逆説的な結果も示されており、ツールが問題を上流(実装)から下流(テスト・本番)に先送りするだけになっているケースがあると指摘されています(出典:Black Duck)。
ガバナンスが「ROIの乗数」になる——管理体制整備チームの優位性
レポートタイトルが示すとおり、ガバナンス体制を整備したチームはそうでないチームに比べて、AIツールから得られるROIが大幅に高いという結果が出ています(出典:Black Duck)。セキュリティスキャンの自動統合・AIコード専用のレビューチェックリスト・社内利用ポリシーの文書化といった仕組みを持つチームは、AI生成コードの問題を早期に検出でき、手戻りコストを抑えながら生産性向上のメリットを最大化できています(出典:Black Duck)。ツール導入だけでなく「どう管理するか」が企業の競争力を分ける時代に入ったと見られます(推測)。
日本への影響・ビジネス活用ヒント
- 日本のIT現場でもClaude Code・GitHub Copilot採用が急増中:海外調査と同様の傾向が日本のエンタープライズ開発現場でも進んでいると見られ(推測)、福岡・久留米のシステム開発会社やIT部門でも導入済み企業が増加しています(推測)。生産性向上のメリットを享受する一方で、AI生成コードに起因するセキュリティインシデントや品質問題のリスクが潜在的に高まっています(推測)。
- 「使っているだけ」は危険——ガバナンスなき導入はリスクを増大:ツールを社内で自由に使いはじめる「シャドーAI」状態のままでは、コードの品質基準やセキュリティポリシーを担保できません(推測)。顧客データを扱う業務システムやインターネット公開のWebサービスを開発・運用している企業では、AI生成コードのセキュリティ欠陥が情報漏洩リスクに直結します(推測)。
- 中小企業こそ「軽量ガバナンス」の整備が急務:専任セキュリティ部門を持たない中小企業でも、利用ポリシーの文書化・AIコードのチェックリスト・無料の静的解析ツールの導入といった「軽量ガバナンス」から始めることで、リスクを抑えながらAIの生産性メリットを享受できます(推測)。
久留米・福岡の企業様へ——AIコーディングツールを「安全に・最大限」活用するための3つの対策
福岡市内のWebシステム開発会社・ITスタートアップ・デジタルマーケティング会社では、すでにClaude CodeやGitHub Copilotを開発フローに組み込んでいるケースが増えています(推測)。しかし調査が示すとおり、ツールを使っているだけでは「問題を下流に先送りするだけ」になるリスクがあります(出典:Black Duck)。まず「AIコード利用ポリシー」を社内で文書化し、どのコードにAIを使ってよいか・使ってはいけないか(個人情報処理・認証ロジック等)を明確にすることが第一歩です(推測)。プルリクエスト時に「このコードはAI生成か」を確認するチェック項目を追加するだけでも、後工程の手戻りを大幅に減らせます(推測)。ヒカリでは、AIコーディングツールの選定・社内ポリシー策定・開発チームへの導入研修をトータルで支援しています。
久留米・筑後地方の製造業・設備業・物流業で社内システムの内製化・DXを進めている企業では、AI生成コードのセキュリティレビューが属人化しやすく、問題が発見されないまま本番システムに反映されるリスクがあります(推測)。GitHubの無料プランで使える「Dependabot」や、オープンソースの静的解析ツールをCI/CDパイプラインに組み込むことで、費用をかけずにAI生成コードの脆弱性を自動検出できます(推測)。1〜2名の開発担当者しかいない小規模チームでも実践できる「軽量ガバナンス」の仕組みづくりを、ヒカリのAI導入支援サービスとして承っています。
業種を問わず共通する最重要対策として、社員がAIコーディングツールに入力するプロンプトに機密情報・顧客データ・社内固有のシステム情報を含めないルールの徹底が欠かせません(推測)。Black Duckの調査では最重度ユーザーほどセキュリティリスクへの懸念が強いという結果が出ており(出典:Black Duck)、使えば使うほど情報漏洩の機会も増えることを示しています(推測)。「使い方ルール」を先に整備してからツール展開を広げることが、久留米・福岡の中小企業がAI生産性向上を安全に享受する最短ルートです(推測)。AI活用のルール設計・社員研修・ツール選定は、ぜひヒカリにご相談ください。
