年間0円だったソフトに、ある日セキュリティホールが見つかる

WordPress、MySQL、Linux、Python——。
中小企業のITインフラは、驚くほどオープンソースソフトウェア（OSS）に依存している。自社サイト、顧客管理、社内ツール。意識していないだけで、「無料で使えるソフト」が土台を支えている企業は多い。

その土台が、いま静かに腐食し始めている。
原因はAI生成コードだ。

GitHub上のプルリクエストにAI生成コードが急増している。Copilotをはじめとするコード生成AIの普及で、OSSプロジェクトに投稿されるコードの質が変わり始めた。問題は「AIが書いたコードかどうか」ではない。レビューされないまま混入するコードが増えていることだ。

これは技術の話に見えて、実はコストの話だ。中小企業の経営者が知るべきは、「OSSの品質低下が、自社のIT費用をいくら押し上げるか」という一点に尽きる。

AI生成コードの40%にセキュリティ上の欠陥——何が起きているのか

スタンフォード大学の研究チームが2023年に発表した調査では、AIコーディングアシスタントを使った開発者が書いたコードの約40%に、セキュリティ上の脆弱性が含まれていた。しかも厄介なのは、AIを使った開発者の方が「自分のコードは安全だ」と過信する傾向があったことだ。

OSSの強みは「多くの目がコードを見る」ことだった。いわゆるリーナスの法則——「目玉の数さえ十分あれば、どんなバグも深刻ではない」。だが現実はどうか。

主要OSSプロジェクトのメンテナーは慢性的に不足している。Log4jの脆弱性（Log4Shell）が2021年に世界中を震撼させたが、あのプロジェクトを実質的にメンテナンスしていたのはわずか数人のボランティアだった。そこにAI生成の大量のプルリクエストが流れ込んだらどうなるか。

レビューのコストが爆発する。

実際、複数のOSSメンテナーが「AI生成と思われる低品質なプルリクエストが増えて、選別だけで疲弊している」と声を上げ始めている。2024年にはLinuxカーネルのメンテナーがAI生成コードの投稿に対して警告を発した事例もある。

つまり構造はこうだ。

1. AI生成コードの投稿が増える
2. メンテナーのレビュー負荷が上がる
3. レビューの質が下がる、またはメンテナーが離脱する
4. 脆弱性が混入したまま本番リリースされる
5. そのOSSを使っている中小企業のシステムにセキュリティホールが生まれる

「無料だから使っていた」ソフトが、ある日突然リスクの塊になる。これが今起きていることだ。

もうひとつのリスク——AIが「幻のライブラリ」を参照する問題

見落とされがちだが、もうひとつ深刻な問題がある。AIが存在しないパッケージ名をコード内で参照する「パッケージ幻覚（package hallucination）」だ。

2024年の調査では、商用LLMが生成したコードの約5.2%が実在しないパッケージをインポートしていた。攻撃者はこれを悪用できる。AIが頻繁に「幻覚」するパッケージ名を先回りして登録し、マルウェアを仕込んでおく。開発者がAIの出力をそのまま使えば、悪意あるコードが自動的にインストールされる。

サプライチェーン攻撃の新しい入口が、AIによって量産されているということだ。

中小企業の現場で考えてほしい。外注先の開発会社がCopilotを使ってコードを書いている。そのコードの中に、存在しないはずのライブラリが紛れ込んでいないか。誰がチェックしているのか。

中小企業のIT費用はいくら増えるのか——現実的な3つのシナリオ

「で、結局うちの会社にいくらかかるの？」

この問いに答えなければ意味がない。従業員30人規模、OSSベースのWebシステムを2〜3本運用している中小企業を想定して、3つのシナリオを試算する。

シナリオ1：最低限の防御（年間+50〜80万円）

• SCA（ソフトウェア構成分析）ツールの導入：Snyk、Dependabotなどの有料プランで月額3〜5万円。年間36〜60万円。使っているOSSの脆弱性を自動検知する最低ラインの対策。
• 脆弱性対応の工数増：月に数時間の対応工数が増える。外注なら月1〜2万円程度の追加。年間12〜24万円。

これは「今のOSSを使い続けるが、監視の目を増やす」パターン。最もコスパが良いが、根本的な解決にはならない。

シナリオ2：一部を有料ソフトに切り替え（年間+100〜180万円）

• CMS（WordPressなど）を有料のマネージドサービスに移行：月額2〜5万円。年間24〜60万円。
• データベースをマネージドサービスに移行：AWS RDS、Cloud SQLなど。月額3〜8万円。年間36〜96万円。
• SCAツール：年間36〜60万円（シナリオ1と同様）。

「無料で使えていたもの」に金を払い始めるフェーズ。ただし、セキュリティパッチの適用やアップデートをベンダーに任せられるため、運用負荷は下がる。

シナリオ3：インシデント発生後の事後対応（年間+300〜500万円超）

• フォレンジック調査：1件あたり100〜300万円。
• 顧客への通知・対応：個人情報漏洩の場合、1件あたりの対応コストは平均で数百万円規模。
• システム改修・再構築：100〜200万円。
• 信用毀損：金額換算不能。だが中小企業にとっては致命的。

これは最悪のシナリオだが、「何もしなかった場合」に起こりうる現実だ。

結論：何もしなければ最も高くつく。最低限の対策で年間50〜80万円。これを「保険」と見るかどうかが分かれ目になる。

「無料」のコストを直視する時が来た

オープンソースは死なない。だが「無料で、安全で、誰かがメンテナンスしてくれるもの」という前提は崩れ始めている。

AI生成コードの流入は、OSSコミュニティの「善意のエコシステム」に構造的な負荷をかけている。メンテナーは疲弊し、レビューの網目は粗くなり、脆弱性の混入リスクは上がる。これは誰かが悪いという話ではなく、技術の進化がもたらした構造変化だ。

中小企業の経営者がいま考えるべきことは3つある。

1. 自社がどのOSSに依存しているか、棚卸しをする

意外とこれができていない企業が多い。外注先に「うちのシステムで使っているOSSの一覧をください」と聞くだけでいい。まずはここから。

2. SCAツールを1つ入れる

無料プランでもいい。Snyk、Trivy、Dependabot。使っているOSSに既知の脆弱性がないか、自動でチェックする仕組みを入れる。月1万円以下で始められる。

3. 「無料だから使う」ではなく「運用コスト込みで判断する」に切り替える

OSSの導入コストは0円でも、運用・監視・アップデート対応のコストは0円ではない。マネージドサービスに月数万円払う方が、トータルで安くなるケースは今後増える。

AIがコードを書く時代になった。それ自体は止められない。だが「AIが書いたコードが、自社のシステムの土台にどう影響するか」を考えることはできる。

無料のソフトウェアが静かに壊れ始めている。その修理代を払うのは、最終的にはそれを使っている企業だ。気づいたときには手遅れ——にならないために、今日できることから始めてほしい。

—