2026年6月9日、Black Duckは調査レポート『The State of AI-Powered Software Development』を公開しました。調査は独立系調査会社UserEvidenceと提携し、従業員500名以上の組織に所属するソフトウェアエンジニアおよびDevOps専門家831名を対象に、2026年3月に実施されました。
AIコーディングアシスタントの導入率は97%に達し、開発チームの92%が生産性とリリース速度の向上を報告、開発者は週平均8時間を取り戻しています。一方、完全なガバナンスを整備するチームは30%にとどまり、整備済みのチームは効率の大幅改善を報告する可能性が55%高いという結果が出ました。約90%のチームがAI生成コードの問題に直面し、64%がセキュリティ上の懸念を表明。86%がAIによるコード評価を支持する一方、84%は人間の関与の維持を望みました。CEOのジェイソン・シュミットは、ガバナンスを欠いたスピードは負債だと述べています。
From: 
AI Coding Hits 97% Enterprise Adoption; New Black Duck Study Shows Governance Is the ROI Multiplier
【編集部解説】
なぜ今、私たちがこのニュースを取り上げるのか。それは、少なくとも大企業の開発現場においては、「AIにコードを書かせるかどうか」を論じる段階を越え、論点が「どう導入するか」から「どう統治するか」へと移りつつある、その転換点を映す調査だからです。従業員500名以上の組織に属する回答者ベースで導入率97%という数字は、この現場でAI活用が前提になりつつあることを物語っています。
まず押さえておきたいのが「ガバナンス」という言葉の中身です。ここでのガバナンスとは、社内ルールという意味にとどまりません。誰が、どのAIで、どこに生成コードを投入したかを自動で追跡し、その品質・セキュリティ・責任の所在を可視化する仕組み全体を指します。68%の開発者がこの追跡を「極めて重要」と答えながら、完全に整備できているチームは30%。この落差こそが、レポートの核心です。
注目すべきは、ガバナンスを「コスト」ではなく「収益の増幅装置」と位置づけた点でしょう。Infosecurity Magazineの報道によれば、完全に統治されたチームの90%が大幅な効率改善を報告したのに対し、全体平均は58%、未整備のチームは44%にとどまりました。秩序を整えたチームほど速く走れる——直感に反するこの逆説が、データで裏づけられたわけです。
一方で、生産性の数字の裏側も見ておく必要があります。AIは作業を減らすのではなく、下流へ押し流している。コード生成は速くなっても、その分だけ手動レビュー(52%)、セキュリティテスト(51%)、手直し(48%)に負荷が移る。約90%のチームが何らかの問題に直面しているという事実は、「速く書ける」と「安全に出荷できる」が別物であることを示しています。
ここで一点、編集部として補足したい視点があります。この調査の主体であるBlack Duckは、まさにそのセキュリティ・ガバナンスの自動化製品を販売する企業です。「ガバナンスがROIを生む」という結論が、自社製品の追い風になる構図は意識しておくべきでしょう。とはいえ、数字自体は独立調査会社UserEvidenceが従業員500名以上の組織の831名から集めたもので、第三者の専門家からも同趣旨の警鐘が上がっています。Infosecurity Magazineに対し、Noma SecurityのCISOであるダイアナ・ケリー(Diana Kelley)は「速いコードは、安全なコードと同じではない」と端的に指摘しています。
技術的な土壌も無視できません。Black Duck自身の別レポート「OSSRA 2026」では、コードベースあたりの脆弱性が前年比107%増、ファイル数が74%増と報告されています。生成されるコード量の増加に加え、その検証不足や依存関係の管理の甘さ、セキュリティプロセスの遅れが重なって攻撃対象領域を押し広げており、手動のセキュリティ確認では物理的に追いつかなくなりつつあるのです。
規制の観点でも、この問題は無関係ではいられません。本調査の関連解説では、EU Cyber Resilience Act(サイバーレジリエンス法)への対応として、脆弱性の報告・通知プロセスの整備や、SBOM(ソフトウェア部品表)を通じた構成要素の把握の必要性が挙げられています。生成コードの出所を追えない状態は、いずれ法令順守上のリスクへ直結していきます。
では、この先に何が見えるのか。レポートが描くのは「エージェント型SDLC」、すなわちAIが脅威に機械の速度で適応しながら、自律的にセキュリティテストを回す世界です。興味深いのは、回答者の86%がAIによるコード評価を支持しつつ、84%が依然として人間の関与を残したいと答えた点。完全自動化へ針が振れる過程でも、最後の番人として人間を置く——その綱引きが当面の現実解になりそうです。
開発者にとって、これは脅威でしょうか。むしろ役割の再定義と捉えるのが妥当です。回答者は、今後の開発者がコードのレビュー・検証(29%)、複雑なアーキテクチャ設計(29%)、セキュリティ検証とリスク管理(23%)により多くの時間を割くと予想しています。「書く人」から「設計し、見極める人」へ。未来に触れたい読者にとって、いま磨くべきスキルの方角は、この数字がはっきりと示しています。
【用語解説】
SDLC(ソフトウェア開発ライフサイクル)
ソフトウェアを企画・設計・実装・テスト・リリース・運用・保守へと進める一連の工程を指す。AIは「実装(コードを書く)」を高速化したが、その下流にあるテストやレビューに負荷が移ったことが本調査の論点である。
ガバナンス(AIコーディングにおける)
単なる社内ルールではなく、「誰が・どのAIで・どのコードを生成し・どこに投入したか」を追跡し、品質・安全・責任の所在を可視化する統制の仕組み全体を指す。本調査では、これが生産性(ROI)を左右する鍵だと位置づけられた。
DevOps
開発(Development)と運用(Operations)を連携・自動化し、ソフトウェアを迅速かつ継続的にリリースするための手法・文化。調査対象には開発者に加え、このDevOps専門家が含まれている。
ROI(投資対効果)
投じたコストに対して得られる効果・利益の比率。本調査の核心は、ガバナンス整備がコストではなくROIを「増幅」させるという逆説的な主張にある。
攻撃対象領域(アタックサーフェス)
攻撃者が侵入・悪用を試みうる入口の総量を指す概念。生成されるコード量や依存関係が増え、検証が追いつかないほど、この領域は広がりやすくなる。
human in the loop(人間の関与)
自動化された処理の要所に人間の判断・承認を残す設計思想。回答者の84%が、AI支援開発でもこの仕組みを維持したいと答えた。
SBOM(ソフトウェア部品表)
ソフトウェアを構成する部品(オープンソース等)の一覧。EUの規制対応や脆弱性追跡の前提となる、サプライチェーン管理の基礎情報である。
EU Cyber Resilience Act(サイバーレジリエンス法)
デジタル製品にセキュリティ要件を課すEUの規制。生成コードの出所を追えない状態は、こうした法令順守上のリスクに直結していく。
エージェント型SDLC(agentic SDLC)
AIエージェントが脅威に機械の速度で適応しながら、セキュリティテストなどを自律的に実行する開発体制。本レポートが「次の段階」として描く到達点である。
OSSRA(2026 Open Source Security and Risk Analysis)
Black Duckが毎年公開するオープンソースのセキュリティ・リスク分析レポート。本記事の解説では、脆弱性の急増という「土壌」を示す参照データとして用いた。
【参考リンク】
Black Duck(公式サイト)(外部)
AIを活用したアプリケーションセキュリティを手がける米バーリントン拠点の企業。本調査レポートの発表元である。
The State of AI-Powered Software Development(外部)
本記事が扱う調査レポートの公式ダウンロードページ。全データと提言を確認できる一次情報源である。
UserEvidence(公式サイト)(外部)
本調査を実施した米ワイオミング拠点の独立系調査会社。第三者検証付きのB2Bリサーチを手がけている。
【参考動画】
【参考記事】
AI Coding Adoption Hits 97% but Governance Lags Behind(Infosecurity Magazine)(外部)
製品別データやガバナンス別の効率改善、ボトルネック内訳など、最も具体的な数値を伝える本解説の最重視記事。
AI coding adoption rate hits 97%, Black Duck study reveals(SD Times)(外部)
導入率97%とガバナンスの遅れ、セキュリティ懸念や人間の監督支持といった主要数値を簡潔に整理した記事。
Nine in Ten Dev Teams Hit by AI Code Bottlenecks as Governance Lags Behind(IT Security Guru)(外部)
約90%が直面するボトルネックと、SBOMやEU規制対応を含むレポートの3提言を解説。規制面で参照した。
Black Duck Research Shows Open Source Vulnerabilities Have Doubled as AI Accelerates Code Creation(PR Newswire)(外部)
脆弱性107%増・ファイル数74%増を報告したOSSRA 2026。攻撃対象領域拡大の「土壌」を裏づける。
Black Duck Report Reveals Software Supply Chains Vulnerable as AI Adoption Outpaces Security(PR Newswire)(外部)
95%が利用も評価実施は24%とした前段の調査。今回の調査がその延長線上にあることを示す。
【編集部後記】
AIにコードを書いてもらう——その手軽さは、もう多くの方が体感されているのではないでしょうか。今回の調査が静かに突きつけるのは、「速く書けること」と「安心して世に出せること」は別物だ、という問いです。
みなさんの現場では、生成されたコードを誰が、どう見届けていますか。あるいは個人開発で、その確認はどこまでされているでしょう。「書く人」から「設計し、見極める人」へと役割が移りゆく未来を、私たちも一緒に手探りしていけたら嬉しいです。
