👀 シャドーAIが企業を蝕む。38万個の野良アプリが露呈した現実
先日、イスラエルのセキュリティ企業RedAccessが衝撃の調査結果を発表しました。その内容がね...正直ぞっとしました。Lovable、Base44、Replit、Netlifyといったノーコード・ローコードのAIツールで作られた公開アプリが38万個も存在するってこと。そのうち約5,000個が何らかのセキュリティ脆弱性を抱えているというんです。
つまり、こういう流れが起きてるわけです。営業チームのマネージャーが週末にちょっと時間があるから「Lovableで簡単なアプリ作れるらしいぞ」と試してみる。1時間でプロトタイプが完成する。「いけるじゃん」って感じでそのまま本番環境にデプロイしちゃう。企業の情報セキュリティ部門はそれを把握していない。こういった「シャドーAI」が今、企業の重大なリスク要因になってるんです。
⚡ ノーコード・ローコードAIツールが生み出す罠
作った後の「誰が管理するのか問題」
僕自身、Loveableを試してみたことがあります。正直なところ、触ってビックリしました。チャットで「ユーザー管理画面を作ってくれ」と指示すれば、マジで動作するアプリが3分で出てくる。スピード感は本当にすごい。ただね、ここなんですよ。作ったのはいいけど、そのアプリのセキュリティアップデート、バージョン管理、アクセス権限の監視...こういう重要な部分の責任が曖昧になるんです。
RedAccessの調査によると、発見された脆弱性の主な内容は以下の通り。
- 🔹 S3バケットの設定ミスによる秘密鍵や認証情報の露出
- 🔹 APIエンドポイントへの不正アクセス
- 🔹 パスワードやトークンがハードコードされたコード
- 🔹 CORS(Cross-Origin Resource Sharing)設定の甘さ
- 🔹 デフォルトのまま変更されていない管理者認証情報
見てください。これらはぶっちゃけ、AIツールの問題というより「人間の運用ミス」ですよ。でも、AIツールがあまりに簡単に作れるから、運用の重要性を忘れちゃうんです。
日本企業はどう対策すべき?
ここからが大事な部分なんですけど、日本企業でノーコードAIツールを導入する場合、組織的な「ガバナンスフレームワーク」を先に作るべきです。RedAccessも指摘していますが、これは技術的な問題じゃなくて、マネジメントの問題なんです。
具体的には、以下みたいなチェックリストを作る。「このアプリは誰が承認したのか」「個人情報を扱っているのか」「APIキーは安全に保管されているか」。こういったことをアプリ公開前に確認するプロセスですね。地味だけど、これが本当に重要です。
📊 主要なノーコードAIツールの機能比較
実際のところ、どのツールが何ができるのか、よくわかんないという人も多いと思う。自分で何個か触ってみて、比較してみました。
| ツール名 | 得意なこと | 学習コスト | 日本語対応 | 料金 |
|---|---|---|---|---|
| Lovable | Web UIアプリ全般。フロントエンド中心 | とても低い | あり(UI日本語対応) | 無料〜月額$20 |
| Replit | バックエンド、フルスタック開発。データベース連携 | 中程度 | なし(コマンド日本語非対応) | 無料〜月額$7 |
| Base44 | データベースアプリ。内部管理ツール | 低い | あり | 月額$15〜 |
| Netlify | 静的サイト、Webアプリのデプロイ | 低〜中程度 | なし | TH ツールハンター編集部 ProductHunt・TechCrunch・VentureBeatなど海外メディアを日々チェックし、日本人に役立つSaaS・AIツール情報を発信しています。英語圏の最新ツールをいち早く日本語でお届けすることをミッションにしています。 |