開発者のためのセキュリティテスト:2026年に知っておくべきこと

Yunhao Jiao
開発者のためのセキュリティテスト:2026年に知っておくべきこと カバー

セキュリティテストはこれまで、専門のセキュリティエンジニアやペネトレーションテスト会社、コンプライアンスチームが担当する独立した分野として扱われてきました。日々の開発ワークフローとはほぼ切り離された存在でした。

このモデルはもはや十分ではありません。セキュリティ脆弱性は開発者(そして今やAIコーディングエージェント)によって持ち込まれるものであり、それを発見する最適なタイミングは四半期ごとのセキュリティ監査ではなく、開発中です。本ガイドでは、開発者が通常のワークフローの一部として担うことができる、また担うべきセキュリティテストの実践を解説します。

セキュリティテストが開発ワークフローに組み込まれるべき理由

シフトレフトの原則はセキュリティにも機能面と同様に当てはまります。セキュリティ上の問題は早期に発見されるほど、修正コストが低くなります。

コードレビューや自動テストで発見されたSQLインジェクション脆弱性は、修正に数分しかかかりません。ペネトレーションテストで同じ脆弱性が発見された場合は数日かかります。ペンテスターのレポートをトリアージし、優先順位を付け、再現し、修正する必要があり、通常はコードが書かれてから数週間後になります。データ侵害後に本番環境で発見された場合は、壊滅的な結果をもたらす可能性のある規制上のインシデントとなります。

AIコーディングツールを使用するチームにとって、開発者主導のセキュリティテストは特に重要です。AIコーディングエージェントはコードを素早く生成し、機能的な観点からは正確であることが多いですが、もっともらしく見えるセキュリティ上の問題を持ち込む可能性があります。認証チェックの誤った配置、入力バリデーションの欠如、過度に許容的なCORS設定、パラメータ化なしでユーザー入力からSQLを構築するケースなどです。これらは特殊な脆弱性ではなく、AIが生成した実装に適用されたOWASP Top 10です。

すべての開発者が実施すべき主要なセキュリティテスト

認証と認可のテスト

Webアプリケーションで最も一般的かつ深刻なセキュリティ脆弱性は、認証と認可の失敗です。これらを明示的にテストしてください:

認証テスト:

  • 保護されたエンドポイントへの未認証リクエストは、データ漏洩につながる200やリダイレクトではなく、401を返すこと
  • 認証トークンが正しく期限切れになり、期限切れのトークンが拒否されること
  • ログアウトによってセッションが無効化され、ログアウト後にトークンが再利用できないこと
  • ログインエンドポイントにブルートフォース対策が存在すること(レートリミット、アカウントロックアウト)

認可テスト(より難易度の高いカテゴリ):

  • ユーザーは自分自身のリソースにのみアクセスでき、他のユーザーのデータにはアクセスできないこと(IDOR — 安全でない直接オブジェクト参照)
  • 権限昇格が不可能であること:一般ユーザーが管理者エンドポイントにアクセスできないこと
  • 水平権限昇格が不可能であること:ユーザーAが、ユーザーBのIDを推測してユーザーBのデータにアクセスできないこと

IDORの脆弱性は、AIが生成したコードで最も一般的なセキュリティバグの一つです。AIコーディングエージェントは、ユーザーIDをパラメータとして受け取り、そのIDのデータを返すエンドポイントを実装することが多いですが、認証済みユーザーが要求されたユーザーIDと同一であるかどうかを検証しない場合があります。

TestSpriteのエージェント型テストエンジンは、標準のテスト生成プロセスの一環として認可テストを組み込んでいます。要件を読み込んでユーザー固有のリソースを検出した際には、各リソースに適切なアクセス制御が施されていることを検証するテストを自動生成します。

入力バリデーションテスト

悪意のある入力や不正な形式の入力に対して、アプリケーションが正しく処理することをテストします:

  • SQLインジェクション:アプリケーションはデータベースクエリで使用する前にユーザー入力をサニタイズしているか?
  • XSS:アプリケーションはHTMLにレンダリングする前にユーザー提供のコンテンツをエスケープしているか?
  • パストラバーサル:アプリケーションはファイルシステムにアクセスする前にファイルパスを検証しているか?
  • 過大な入力:アプリケーションはクラッシュすることなく、予期しない大きさの入力を処理できるか?
  • 特殊文字:アプリケーションはUnicode、ヌルバイト、その他の特殊文字を適切に処理できるか?

AIが生成したコードでは、ユーザー入力を受け取り、それをデータベースクエリ、ファイル操作、またはHTMLレンダリングのコンテキストで使用するエンドポイントに特に注意してください。

APIセキュリティテスト

現代のアプリケーションは主にAPI駆動であり、APIには固有のセキュリティ上の懸念点があります:

  • 認証の欠如:すべてのAPIエンドポイントは、明示的にパブリックエンドポイントとして設計されている場合を除き、認証を必要とすべきです。認証済みエンドポイントが未認証リクエストを拒否することをテストしてください。
  • 過剰なデータ公開:APIはクライアントが必要とする以上のデータを返していないか?APIレスポンスは必要最小限のフィールドのみを返すべきです。
  • マスアサインメント:APIはリクエストボディの任意のプロパティを受け入れて適用していないか?ホワイトリストに登録されたプロパティのみが適用されるべきです。
  • レートリミット:ログイン、パスワードリセット、メール認証などの機密性の高い操作に、悪用を防ぐためのレートリミットが適用されているか?

依存関係の脆弱性スキャン

現代のアプリケーションにおけるセキュリティ脆弱性の大部分は、アプリケーションコードではなく、既知の脆弱性を持つ依存関係に由来しています。自動スキャンは不可欠です:

依存関係のスキャンをCI/CDパイプラインに統合してください。重大度が高い(High)または致命的(Critical)な依存関係の脆弱性を導入するPRはマージしないでください。

CI/CDにおけるセキュリティテスト

開発者主導のセキュリティのための実践的なセキュリティテスト構成:

すべてのPRで:

  • 静的解析(ESLintセキュリティプラグイン、PythonにはBanditなど)
  • 依存関係の脆弱性スキャン
  • TestSpriteの認可テスト(標準E2Eスイートの一部として実行)

週次:

  • 完全なSAST(静的アプリケーションセキュリティテスト)スキャン
  • 全重大度レポートを含む依存関係の監査

主要リリース前:

  • ステージング環境に対するダイナミックセキュリティスキャン(自動モードでのOWASP ZAP)
  • 新機能における認証・認可ロジックの手動レビュー

AIコーディングツールがセキュリティで犯しがちな間違い

AIが生成したコードで注意すべき具体的なパターン:

ユーザー入力の無条件信頼。AIコーディングエージェントは、データベースクエリやファイルパスにユーザー提供のIDをバリデーションなしで直接受け入れるコードを生成することがよくあります。認証済みユーザーが要求したリソースへのアクセス権を持っているか、必ず確認してください。

過剰なデータの返却。AIが生成するAPIレスポンスは、一部のフィールドのみが適切な場合でも、データベースレコード全体を返すことがよくあります。各APIエンドポイントが公開する情報を見直してください。

生成ファイル内にハードコードされたシークレット。AIコーディングエージェントは、実際の値のように見えるプレースホルダーのシークレットを含むサンプルコードを生成することがあります。生成された設定ファイルを監査し、実際の認証情報がサンプルとして生成されていないことを確認してください。

過度に許可されたCORS。AIが生成するサーバー設定では、開発環境には適しているものの本番環境には不適切な、許可的なCORS設定(*)が使用されることがあります。

レートリミットの欠如。AIコーディングエージェントは機能的な認証エンドポイントを生成しますが、レートリミットが設定されていないことがよくあります。認証、パスワードリセット、メール確認のすべてのエンドポイントに対して、明示的にレートリミットを追加してください。

TestSpriteのセキュリティテストカバレッジは、標準的なエージェント型テストスイートの一環として、認可ロジック・認証の強制・入力処理を検証します。これにより、AIが生成した最も一般的なセキュリティ問題を本番環境に到達する前に検出します。

TestSpriteでセキュリティを意識したテストを始める →