2025年11月28日、「⁠GitLab Epic Tour Japan 2025」が開催されました。本稿では、そのうちGitLab社のセッション内容を取り上げて紹介します。

「AIネイティブ」への変革と⁠、日本企業が直面する3つの壁

最初の登壇者であるGitLab合同会社 Japan Country managerの小澤正治氏は、AIの登場によって社会が大きな変化の渦中にあるとし、GitLabとしてもこの変化を成長の機会と捉えていると言います。約1年半前の前回のイベントでは「シフトレフトという概念の重要性」「⁠サイロからの脱却⁠」⁠、そして当時はまだ初期段階であった「AIアシストを使った生産性向上」をテーマとしていました。一方で、現在のGitLabはAIをプラットフォームの中核に据えた「AIネイティブ」へと大きく進化しています。それにともなってGitLabのコアメッセージも、以前は「DevSecOpsプラットフォーム」でしたが、現在は「AIネイティブDevSecOpsプラットフォーム」に変化しました。

企業を対象にした調査によると、AIに対する投資意欲と期待が高い水準にあります。また、ソフトウェア開発現場にAIを導入することで、1人あたり年間で削減できるコストを換算すると約120万円にのぼるという試算が示されています[1]。こうした状況のなか、小澤氏は、ソフトウェア開発現場のAIネイティブ化を支える基盤として「シングルデータストア」の重要性を挙げました。開発プロセス全体のデータが統合されることで、AIが開発の「フルコンテキスト（すべての文脈⁠）⁠」を保持できるようになるためです。

GitLabにおけるナレッジグラフは、イベント時点ではソースコードのみのインデックス化に留まっていますが、内部開発版ではすでにIssueやマージリクエスト、デプロイ履歴なども取り込める段階まで進んできているそうです。プロジェクト全体の文脈をより深く理解できる仕組みが、今後提供される見通しだと述べました。また、統合プラットフォーム上で「トークンの最適化」を図ることにより、AIを利用する際に発生するトークン費用を削減できるため、企業にとってのコストメリットにもなると指摘しました。

小澤氏は、AI時代のソフトウェア開発において企業が直面する主要な壁として、次の3点を挙げました。

• 技術的負債：レガシーなコードやシステムの存在が、AI駆動開発への移行時に大きな障壁となる。
• セキュリティリスク：AI生成コードの未知の脆弱性や高度化する攻撃に備える必要がある。
• 人材：コーディングや文書作成の作業がAIに任せられるようになるにつれ、人間には創造力や戦略的思考がより強く求められる。そのためにリスキリングの機会提供も重要になる。

なお、セキュリティリスクについては特に緊急性が増している点に触れ、小澤氏は、既知の脅威対策でインシデント発生確率を約85%抑制できるものの、残る15%が経営に与える甚大なインパクトを考慮し、単なる「防災」だけでなく被害を最小限に抑える「減災」の考え方も不可欠であると述べています。

技術的負債やセキュリティの壁を突破するAI駆動開発

続いて、GitLab合同会社 Staff Regional Marketing Managerの川口修平氏が登壇し、先に挙げられた3つの課題をAI駆動開発の観点で掘り下げたうえで、解決に向けたGitLabの機能概要を紹介しました。

技術的負債については、技術的な問題の解決を先送りした結果、将来的な負荷が利息のように膨らむ状態を指すと説明しました。経済産業省のDXレポートを引き合いに、多くの企業が技術的負債を抱えていることを指摘しました。AI活用の観点では、古いプログラミング言語の継続利用やドキュメント不足が、AIの精度に不可欠なコンテキストの生成を妨げます。また、テストの自動化が不十分な環境ではAIが生成する大量のコードを検証しきれず、複雑化したアーキテクチャもAIツール統合の障壁になります。

セキュリティリスクについては、IPAの「情報セキュリティ10大脅威 2025」で重大脅威10項目のうち5つがソフトウェア関連である点を挙げました。また、商用ソフトウェアの平均70%以上でOSSが含まれていますが、そのOSSを狙った攻撃も増えており、その脆弱性管理も避けて通れない論点になると述べました。あわせて、AIが生成したコードの45%程度に脆弱性が含まれるというデータが紹介される一方で、それを検出できる自信がある開発者は29%に留まるというデータも紹介しました。これらを踏まえ、開発ライフサイクル全体にセキュリティを組み込むDevSecOpsの重要性を強調しました。

人材については、生成AIの登場によってエンジニアの役割が「コードを作成する役割」から、AIの出力を「評価・判断する役割」へ変化していくことを挙げました。反復作業はAIに委ね、人間はより高度な問題解決に集中することが求められるとしています。また、評価指標もコミット数やコーディング速度といったものから、ビジネス貢献という本質へと移行していく必要があるとしました。スキルセットは単純な実装能力から問題解決能力へ再定義され、学習サイクルの加速に対応する姿勢が重要になると述べています。

こうした課題を解決する基盤として、GitLabがAIを後付けの機能として追加するのではなく、設計の中核に据えた「AIネイティブDevSecOpsプラットフォーム」に変貌を遂げていること、それによって要件定義からデプロイまでのライフサイクル全工程を単一のシステムとしてカバーできるようになることを説明しました。シングルデータストアであるため、AI導入前後の生産性変化やAI生成コードの脆弱性含有率などを可視化してROIを測定できる点、またソースコードに加えてCI/CD結果やセキュリティスキャン情報を踏まえた一貫したコンテキストをAIに提供できる点をメリットとして挙げました。

GitLabはこのAIネイティブDevOpsプラットフォームを、「⁠GitLab Duo Agent Platform（DAP⁠）⁠」[2]として提供しています。Issueに記載された内容から実装計画を策定し、コード生成からマージリクエスト（MR）作成までを自律的に実行する「Issue to MR」フローや、脆弱性の解説と修正提案に特化した「セキュリティアナリスト」などの専門エージェントを活用できます[3]。さらに外部ツールや独自のデータソースをMCPを通じて連携するエージェントツールをDAPに統合し、組織の業務実態に最適化された自律型ワークフローを構築することも視野に入れることができます[4]。

なおGitLabの提供形態は「共有SaaS型」「⁠インストール型」「⁠専有SaaS型」の3種類があり、AWS（リージョンは国内も可）上に環境を構築する専有SaaS型は、金融・政府機関など厳しいセキュリティ要件を持つ業界で需要が大きいとしています。

組織の生産性を最大化するAIネイティブプラットフォーム戦略

GitLab CTO Asia Pacific & JapanのAndrew Haschka氏は、GitLabが現在世界中で5,000万人以上の登録ユーザーを抱え、フォーチュン100企業の50%以上に採用されている実績に触れ、コミュニティと協力しながらAIネイティブな進化を続けていることをまずは紹介しました。

経営層が注力する4つの領域として「イノベーション」「⁠リスク管理」「⁠持続可能性」「⁠チームの強化」を挙げました。

特にイノベーションの評価については、サービスを顧客に提供する際に「速度」「⁠安定性」「⁠可用性」の定量的指標によって、具体的に測定・定義されるべきものであると指摘しました。また持続可能性については、アプリケーションやサービスを顧客に届ける「サプライチェーン全体の効率性」そのものを指すものであると強調しました。

AI導入はコーディング支援に留まりがちですが、実際の開発では管理、プランニング、セキュリティ、テストなど、コーディング以外にもいくつもの工程があります。Andrew氏は、プランニングからリリースまでの各工程において、手戻りや待機時間といった非付加価値時間が依然として多くを占めている現状を指摘しました。

そのうえで、SDLC（Software Development Life Cycle）の全フェーズでAIによる拡張や自動化を適用する必要があると話しました。なお、会場で行った挙手アンケートでは、参加者の約3分の1が既にAIをSDLCで活用しているといった回答だったようで、同氏は他国の状況にも触れ、プラットフォーム統合によるさらなる伸びしろがあると伝えました。

AIネイティブへの移行を進めるための枠組みとして、次の要素を提示しました。GitLab Duo Agent Platformは、これらの要素を備えたAIネイティブDevSecOpsプラットフォームとして位置付けられていることを改めて紹介しました。

データの統合と可視化の基盤

SDLC全体のデータを統合した記録システムによるSingle Source of Truth（SSOT）と、SDLC全体の依存関係を可視化・アクセス可能にする基盤となるナレッジグラフが、プラットフォームの土台となります。

エージェントによるワークフローへの進化

実務担当者が複数のエージェントを利用して成果を生み出す「エージェント型のオーケストレーション」により、単一のプロンプトから一つの回答を得る段階を超えた「フロー」への進化を実現します。また、エージェントを集中管理するAIカタログにより、誰もがエージェントの知見を再利用・共有できるようになり、ガバナンスを保ちながらシームレスなオーケストレーションを可能にします。

外部システムとの連携

外部のエージェントを利用できます。さらにMCPを使うと、GitLabの外部にあるシステムとコンテキストの共有ができるようになります。

Andrew氏は、GitLabがこの1年間にわたって「コアなDevOpsワークフロー」「⁠包括的なセキュリティとコンプライアンス」「⁠SDLC全体にわたるAI」の3つの主要テーマに注力し、多くの機能をリリースしてきたと言います。現在、GitLab Duo Agent Platformはパブリックベータの段階にあり、これまでのロードマップを示して紹介しました。そして現時点での見通しでは2026年1月あたりまでにGitLab Duo Agent Platformの一般提供を予定しているそうです[5]。

現在、多くの企業では100を超える個別ツールが並行稼働する「ツールのスプロール（乱立）とサイロ化」が深刻な課題となっています。個別のAIツールを場当たり的に追加するだけでは、プロンプトからデプロイに至るまでのガバナンスやセキュリティを維持するのは困難であると指摘しました。そして、バリューストリーム全体を可視化できる統合プラットフォームへ集約することで、以下のようなビジネス成果が期待できると述べました。

• 経営層：ROI（投資対効果）の明確な測定が可能になる。
• セキュリティ担当者：ポリシーをデフォルトで強制でき、リスク管理が容易になる。
• 開発者：管理業務などの反復作業を50%以上削減し、創造的な作業に集中できる。

Andrew氏は、イノベーションを企業の変革へとつなげるため、来期に向けたIT戦略として次の3つの提言を行いました。

• ワークフローの自動化：組織内の手動タスクを評価し、AIによる自動化を実際のワークフローへ積極的に統合する。
• 統合的なアプローチ：個別ツールの追加ではなく、セキュリティとガバナンスが担保された「AIネイティブな統合プラットフォーム」へ投資する。
• 成果の可視化：技術的な変化がビジネス成果に与えた影響を、データを通じて経営層へ示せる体制を整える。

最後にAndrew氏は、「⁠ソフトウェアエンジニアリングに対する我々のビジョンは、人間とAIのコラボレーションにある」というGitLab共同創設者であるSid Sijbrandij氏のビジョンを引用し、これからもGitLabがSDLC全体を支援していくと締めくくりました。

レガシー刷新とセキュリティ⁠・バイ⁠・デザインの実践

GitLab合同会社 ソリューションアーキテクト本部長 藤田周氏が登壇し、「⁠技術的負債」「⁠セキュリティリスク」「⁠人材」という課題に対して、GitLabのプラットフォームとAIをどう適用していくか、より実務寄りの観点から整理が行われました。

ブラックボックス化したレガシーシステムは、変更自体がリスクとなり、設計書やテストコードの欠如によって影響範囲調査が難しくなります。単にAIでコード生成を進めるだけでは品質のばらつきやレビュー負荷増大につながるため、開発ライフサイクル全体での対応が必要だと言います。

アプローチとしては、全面刷新がコストや時間面で現実的ではない場合には「リアーキテクト（リアーキ⁠）⁠」を推奨したいと述べました。ガートナーが提示する複数のモダナイゼーション手法のうち、インフラのみを入れ替える「リホスト」や機械的な言語変換である「リライト」では、保守性・アジリティの向上が限定的になりやすいそうです。

具体的には、ブラックボックス化したレガシーコードに対して、最初にAIに適切なプロンプト（指示）を与えて、人間とAIが理解できるMarkdown形式の仕様書を生成させる方法を紹介しました。この形式を中間成果物として介在させることがモダナイゼーション成功の鍵となるとし、そこに新アーキテクチャの情報を投入することで、人間とAIが協力してモダンな環境に適したコードとテストケースを高速に再生成する流れを示しました。

OSSの脆弱性やアクセスキーの混入など、インシデント要因は多岐にわたります。脆弱性公開から攻撃開始までが極めて速い状況では確認中心の運用では間に合わないと藤田氏は指摘します。たとえば、脆弱性が公開されてからわずか「15分」で攻撃者はそれを検知し、実際に攻撃が開始されるまでには数時間しか猶予がないという調査結果を引き合いに出し、対応の迅速化が不可欠であると述べました。

また、開発の最終段階で脆弱性が発覚した場合、設計段階での対応に比べて修正コストが大幅に増大します。デジタル庁の資料でも言及されているとおり、設計段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」を実践することで、後工程での深刻な手戻りを防げると述べました。

このセキュリティ・バイ・デザインを具体化する仕組みとして、GitLabが提供するセキュリティテスト機能を紹介しました。静的解析（SAST）や動的解析（DAST）に加え、APIセキュリティ、シークレット検出、そしてソフトウェア構成分析（SCA）といったソフトウェアサプライチェーンを保護するためのセキュリティテストを、すべてのプロジェクトに標準適用できると言及しました。

さらに、膨大なテスト結果から重大な脆弱性が見つかった際のマージブロックや、担当者の承認フローを強制適用するガードレールを敷くことで、例外的なリリースやルールの形骸化を防げると述べました。

プラットフォームの自動化をさらに加速させるのが最新のAI機能です。11月にリリースされたGitLab 18.6では、セキュリティアナリストエージェントが実装されました。

脆弱性対応のデモ動画も取り上げました。あえて脆弱性が混入するように作成されたSQLステートメントに対して、エージェントがその危険性を検知する様子を示しました。さらにエージェントが安全な実装へと自律的に修正し、脆弱性を排除しました。

技術が進化する一方で、組織の適応が追いつかない現実もあると藤田氏は言います。AI時代のエンジニアには、AIの出力を評価・レビューする力や、適切な指示を与える設計力が求められます。そのため、プロフェッショナルサービスによる概念実証の支援、AI導入後の定着化支援、ベストプラクティス共有、さらにパートナー企業との連携による移行・運用支援など、組織変革に寄り添う体制の重要性を挙げていました。

最後に藤田氏は、AIとDevSecOpsの力を活用することで「日本の開発環境を一緒に変えていきたい」と述べ、参加者に呼びかけて講演を締めくくりました。