[{"data":1,"prerenderedAt":840},["ShallowReactive",2],{"/ja-jp/blog/developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities":3,"navigation-ja-jp":45,"banner-ja-jp":466,"footer-ja-jp":476,"blog-post-authors-ja-jp-Michael Friedrich|Alana Bellucci":712,"blog-related-posts-ja-jp-developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities":739,"blog-promotions-ja-jp":780,"next-steps-ja-jp":831},{"id":4,"title":5,"authorSlugs":6,"authors":9,"body":12,"category":13,"categorySlug":13,"config":14,"content":18,"date":28,"description":19,"extension":30,"externalUrl":31,"featured":17,"heroImage":21,"isFeatured":17,"meta":32,"navigation":17,"path":33,"publishedDate":28,"rawbody":34,"seo":35,"slug":16,"stem":40,"tagSlugs":41,"tags":43,"template":15,"updatedDate":29,"__hash__":44},"blogPosts/ja-jp/blog/developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities.md","GitLab Duo開発の現場から：AIを活用したセキュリティ脆弱性の修正",[7,8],"michael-friedrich","alana-bellucci",[10,11],"Michael Friedrich","Alana Bellucci","新しい仕事を始めたばかりの初日、大規模な本番環境でのインシデントが発生し、全員での対応が求められる状況に直面したとします。いくつもの重大な脆弱性が新たに発覚し、即時の対応、分析、軽減、そして修正が必要です。こうした場合、どこから調査を始めるべきでしょうか？\n\nこの記事では、GitLab Duoの脆弱性の説明や脆弱性の修正、その他のAI機能を活用し、たった数分以内に脆弱性への対応を開始する方法を解説していきます。実践的な例を通じて、AI搭載のアシスト機能を活用して効果的に脆弱性を分析し、説明するアプローチを習得しましょう。追加の修正として、AIが生成したコード修正がMR（マージリクエスト）に示され、脆弱性の修正を迅速化します。\n\n> [GitLab Duoの無料トライアル](https://about.gitlab.com/ja-jp/gitlab-duo-agent-platform/#free-trial)を始めて、脆弱性の修正機能を組織に取り入れてみませんか。\n\n## はじめ方：分析\n\n最初のステップは、脆弱性の影響と重大度を分析することです。GitLabのUIを開き、`セキュリティ > 脆弱性レポート` の順に進み、メニューから[Vulnerability Report（脆弱性レポート）](https://docs.gitlab.com/ja-jp/user/application_security/vulnerability_report/)にアクセスします。脆弱性リストを `SAST` でフィルタリングし、対応を必要とする最も致命的な脆弱性を特定します。\n\n![脆弱性レポートの概要](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/vulnerability_reports_overview_aHR0cHM6_1750098116056.png)\n\nSASTのスキャン結果は詳細ビューで要約され、ソースコードへのリンクが表示されます。また、公開されているセキュリティアドバイザリからの詳細情報も提示されます。攻撃の範囲や技術的な詳細、脆弱な環境を十分に把握していない限り、デベロッパーがセキュリティレポートから分析を始めるのは難しい場合が多いでしょう。\n\n## 脆弱性の説明に基づく理解と軽減策\n\n脆弱性を理解し、最良かつ最も効率的な修正方法を知ることは不可欠です。また、修正により既存の機能に影響を与えないようにする必要があります。もし影響する場合は、保守担当者（メンテナー）やプロダクトオーナーとの議論が必要となり、その際には全体像を要約し、代替の軽減策を用意しなければなりません。また、離職した社員が作成したコードやテストを実施していないコードの場合、修正計画を立てるのがさらに難しくなることもあります。\n\nAI搭載の脆弱性の説明機能は、攻撃者がどのように脆弱性を悪用（エクスプロイト）できるかについて要約し、その影響や修正方法についての詳細な説明も行います。\n\n以下の例は、OSコマンドインジェクションの脆弱性を示しており、次のコードスニペットを使用しています。\n\n```php\n\u003C?php\n\n// Read variable name from GET request\n$name = $_GET['name'];\n\n// Use the variable name to call eval and print its value\neval('echo $' . $name . ';');\n```\n\n脆弱性レポートには詳細な説明がないため、全体の内容や影響について理解する必要があります。画面右上の `Explain Vulnerability`（脆弱性の説明）オプションを選択すると、事前に定義されたプロンプトアクションでGitLab Duo Chatが開きます。Chat内に脆弱性の追加の概要が表示され、脆弱性がどのように悪用されるかの説明や、推奨される修正方法が提示されます。\n\n![OSコマンドで使用される特殊文字の適切な無害化が行われていない（'OSコマンドインジェクション'）](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image9_aHR0cHM6_1750098116057.png)\n\n### 脆弱性の説明を文脈に沿った会話にする\n\n脆弱性の説明に関するUXの改善もされています。以前は、脆弱性の説明がオーバーレイとして右側に表示されていましたが、説明内容をGitLab Duo Chatのワークフローに統合しました。脆弱性が複雑である場合は、それに対して複数の軽減ステップに分かれたり、ソースコードの経路が不明瞭になることもあります。\n\nソースコードツリーを参照しながら、同じChatの文脈でコードの説明、修正、リファクタリング、そしてテストを続けられます。\n\nC言語の例で全体的なワークフローに取り組んでみましょう。この例では、セキュリティスキャンによってバッファオーバーフローが検出されています。\n\n1. セキュリティの脆弱性の詳細ビューを開き、右上にある「Explain Vulnerability」（脆弱性の説明）ボタンを選択します。Chatプロンプトが開き、問題の概要、潜在的な攻撃ベクター、および提案された修正が表示されます。\n\n![脆弱性のためのAI - 画像4](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image11_aHR0cHM6_1750098116059.png)\n\n2. 提案された修正を確認し、続けて `Can you show an alternative fix using a different function` （日本語：別の関数を使った代替修正方法を見せてくれますか？）というプロンプトで、Chatに尋ねます。この目的は、`strcpy()` に代わるより安全な関数がないか調べることです。\n\n![脆弱性のためのAI - 画像3](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image4_aHR0cHM6_1750098116060.png)\n\n3. `strlcpy()` を使用した代替修正がChat内で提案されます（下図参照）。この関数は、ターゲット文字列に許容される文字数のみをコピーし、常に文字列をnullで終端します。また、ソース文字列の長さを返し、文字列が切り詰められたかどうかを判断します。\n\n![脆弱性のためのAI - 画像5](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image10_aHR0cHM6_1750098116062.png)\n\n4. 次に、`Location file` URLをクリックし、ソースコードビューに移動します。再度Chatを開き、前の脆弱性の説明の文脈が保持されていることを確認します。次のステップでは、修正を続ける前にテストを追加していきます。これにより、機能の破損やリグレッションの発生を防ぐことができます。たとえば、`Based on the vulnerability context and opened source code, how would you add tests for it?` （日本語：脆弱性のコンテキストと表示されたソースコードに基づいて、テストを追加するにはどうしますか？）などのプロンプトを使用します。\n\n![脆弱性のためのAI - 画像7](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image8_aHR0cHM6_1750098116063.png)\n\n5. テストが生成され（仮に追加されたとして）、同じセッションで `Can you refactor the source code too?` （日本語：ソースコードもリファクタリングできますか？）というプロンプトを使用して、Chatにソースコードのリファクタリングも依頼できます。\n\n![脆弱性のためのAI - 画像6](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image2_aHR0cHM6_1750098116063.png)\n\nこのワークフローでは、脆弱性の分析、理解、軽減、代替アプローチの発見、テストの追加、さらには脆弱性の修正に対するリファクタリングを行う手順が示されています。\n\nChatを使ってこのプロセスを続けた後、Web IDEに切り替えて、学んだことを基にソースコードを修正できます。さらに、変更をコミットし、CI/CDやセキュリティスキャンをトリガーして、DevSecOpsライフサイクル全体のループを完結させる継続的なワークフローも含まれています。\n\n## AIアシストによる脆弱性の修正\n\nセキュリティ脆弱性を理解し、軽減するには、問題の修正を作成し、新しいマージリクエストでパイプラインを実行し、再度セキュリティスキャンを実施するなどのエンジニアリング作業が必要になります。また、修正をステージング（staging）環境にデプロイし、一定期間テストすることも必要な場合があります。\n\nAIを活用し、脆弱性とソースコードに基づいた提案修正を生成することで、脆弱性修正プロセスを迅速化します。\n\nヒント：これまでの経験の中で最も厄介だった脆弱性を思い出し、そのユースケースを再現してGitLab Duoの導入に活用してみましょう。ちなみに、[MITREのCWE Top 25（最も危険なソフトウェアの脆弱性）](https://cwe.mitre.org/top25/archive/2023/2023_top25_list.html)も、ユースケースとしてはよい例です。\n\n次の例は、[CWE-328：弱いハッシュ関数の使用](https://cwe.mitre.org/data/definitions/328.html)を実装したもので、`md5` を使用しています。これは[SASTスキャン](https://docs.gitlab.com/ja-jp/user/application_security/sast/)によって正しく識別されます。\n\n```python\nimport hashlib\n\nclass User:\n    def __init__(self, username, password):\n        self.username = username\n        self.password = password\n\n    def set_password(self, password):\n        self.password = hashlib.md5(password.encode()).hexdigest()\n\n```\n\n![脆弱性のためのAI -画像8](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image7_aHR0cHM6_1750098116064.png)\n\n右上の `Resolve with merge request`（マージリクエストで解決）ボタンをクリックすると、AIを活用して修正を提案するMRが開きます。この脆弱性に対する修正として、別のハッシュ関数を使用することが考えられます。\n\n![脆弱性のためのAI - 画像9](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image1_aHR0cHM6_1750098116065.png)\n\nもうひとつの一般的な脆弱性の例として、関数のエラーコードや潜在的な例外をチェックしないケースがあります。以下のCコードスニペットは、`fopen()` や `chmod()` の呼び出しに対する[CWE-362](https://cwe.mitre.org/data/definitions/362.html)に関連するファイル操作におけるタイミング攻撃の例を実装しています。\n\n```c\n#include \u003Cstdio.h>\n#include \u003Cstring.h>\n#include \u003Csys/mman.h>\n#include \u003Csys/stat.h>\n#include \u003Cunistd.h>\n\nint main(int argc, char **argv) {##$_0A$####$_0A$##    // File operations##$_0A$##    char *fname = \"gitlab.keksi\";##$_0A$####$_0A$## FILE *fp;##$_0A$##    fp = fopen(fname, \"r\");##$_0A$##    fprintf(fp, \"Hello from GitLab Duo Vulnerability Resolution Challenge\");##$_0A$## fclose(fp);##$_0A$####$_0A$##    // Potential chmod() timing attacks ##$_0A$####$_0A$##    // Make the file world readable##$_0A$## chmod(fname, S_IRWXU|S_IRWXG|S_IRWXO);##$_0A$####$_0A$##    return 0;##$_0A$##}\n```\n\n`chmod()` に関するSASTレポートは、次のように表示される場合があります。\n\n![脆弱性のためのAI - 画像10](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image6_aHR0cHM6_1750098116065.png)\n\n提案された `chmod()` のマージリクエストにはエラーハンドリングが含まれており、ファイルが世界中で書き込み可能になる潜在的な問題も修正されて、権限が `777` から `600` に変更されています。\n\n![脆弱性のためのAI - 画像11](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image3_aHR0cHM6_1750098116066.png)\n\n> 次に`fopen()` 関数の脆弱性も特定し、分析した上で修正してみてください。\n\n ## GitLab DuoによるさらなるAI支援\n\nセキュリティ問題は、簡単な修正や回避策で解決できることがよくあり、それによって開発チームが長期的な解決策を議論し、計画する時間を確保できます。他のケースでは、問題がより複雑になり、適切な修正が本番環境に反映されるまで、機能[API](https://about.gitlab.com/ja-jp/blog/what-is-an-api/)を無効にしたり、ファイアウォールでの軽減策が必要になることもあります。\n\nGitLab Duoは、こうした問題の解決に役立つAIを活用した追加機能を提供しています。\n\n**コードの説明**：デベロッパーやセキュリティエンジニアとして、行った変更に自信を持つことが重要です。IDE内で[コードの説明機能](https://docs.gitlab.com/ja-jp/user/gitlab_duo_chat/examples/#explain-code-in-the-ide)を使用することで、AIが提案した脆弱性修正をより深く理解できます。この機能により、どのような調整が行われたか、そしてその理由を正確に把握できます。\n\n**根本原因分析：** 修正によりCI/CDパイプラインがエラーを起こしてしまった場合、[根本原因分析機能](https://about.gitlab.com/ja-jp/blog/developing-gitlab-duo-blending-ai-and-root-cause-analysis-to-fix-ci-cd/)を利用できます。このツールは、根本的な問題を特定し、説明するのに役立ち、効果的に問題に対処できます。必要な修正を加えた後、テストを再実行して問題が解決したか確認できます。\n\n**リファクタリング**：脆弱性の修正が済んでも、より安全なコードにできないか検討する価値があります。IDE内でGitLab Duo Chatを開き、[リファクタリング機能](https://docs.gitlab.com/ja-jp/user/gitlab_duo_chat/examples/#refactor-code-in-the-ide)を使用して、コードをより安全に書くための代替方法を探ることができます。この事前対策的なアプローチにより、堅牢でセキュアなコードベースを維持できます。\n\nこれらのGitLab Duoの機能を活用することで、脆弱性に自信を持って対処し、コードのセキュリティと効率を確保できます。\n\n## 今後の取り組み\n\n脆弱性の説明と修正の機能をMRのプロセスに直接組み込むことで、シフトレフト（より早い段階に移行）させることを計画しています。この統合により、開発サイクルの初期段階で脆弱性に対処し、解決できるようになり、ワークフローが効率化され、シフトレフトによりコードのセキュリティが強化された状態になります。\n\n## GitLab Duoを始める\n\nGitLab Ultimateで利用可能な機能を有効化する方法を説明する[ドキュメント](https://docs.gitlab.com/ja-jp/user/gitlab_duo/turn_on_off/)をご参照ください。また、GitLab Duoの[脆弱性の説明](https://docs.gitlab.com/ja-jp/user/application_security/vulnerabilities/#explaining-a-vulnerability)および[脆弱性の修正](https://docs.gitlab.com/ja-jp/user/application_security/vulnerabilities/#vulnerability-resolution)は、GitLabのSelf-Managed環境やGitLab Dedicatedでも利用可能です。\n\n[「GitLab Duo開発の現場から」ブログシリーズ](https://about.gitlab.com/ja-jp/blog/developing-gitlab-duo-series/)をチェックすることで、GitLab Duoの最新情報についてご確認いただけます。\n\n*監修：伊藤 俊廷 [@toshitakaito](https://gitlab.com/toshitakaito) \u003Cbr>\n（GitLab合同会社 ソリューションアーキテクト本部 スタッフソリューションアーキテクト）*\n\n> [GitLab Duoの無料トライアル](https://about.gitlab.com/ja-jp/gitlab-duo-agent-platform/#free-trial)を始めて、脆弱性の修正機能を組織に取り入れてみませんか。","ai-ml",{"template":15,"slug":16,"featured":17},"BlogPost","developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities",true,{"title":5,"description":19,"authors":20,"heroImage":21,"tags":22,"category":13,"date":28,"updatedDate":29,"body":12},"このチュートリアルでは、GitLab Duoの脆弱性の説明と脆弱性の修正、その他のAI搭載機能が、脆弱性に迅速に対処するのにどのように役立つのかをご説明します。",[10,11],"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098106/Blog/Hero%20Images/Blog/Hero%20Images/blog-hero-banner-1-0178-820x470-fy25_7JlF3WlEkswGQbcTe8DOTB_1750098106040.png",[23,24,25,26,27],"AI/ML","security","product","features","tutorial","2024-07-15","2025-01-21","md",null,{},"/ja-jp/blog/developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities","---\nseo:\n  title: GitLab Duo開発の現場から：AIを活用したセキュリティ脆弱性の修正\n  description: >-\n    このチュートリアルでは、GitLab\n    Duoの脆弱性の説明と脆弱性の修正、その他のAI搭載機能が、脆弱性に迅速に対処するのにどのように役立つのかをご説明します。\n  ogTitle: GitLab Duo開発の現場から：AIを活用したセキュリティ脆弱性の修正\n  ogDescription: >-\n    このチュートリアルでは、GitLab\n    Duoの脆弱性の説明と脆弱性の修正、その他のAI搭載機能が、脆弱性に迅速に対処するのにどのように役立つのかをご説明します。\n  noIndex: false\n  ogImage: >-\n    https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098106/Blog/Hero%20Images/Blog/Hero%20Images/blog-hero-banner-1-0178-820x470-fy25_7JlF3WlEkswGQbcTe8DOTB_1750098106040.png\n  ogUrl: >-\n    https://about.gitlab.com/blog/developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities\n  ogSiteName: https://about.gitlab.com\n  ogType: article\n  canonicalUrls: >-\n    https://about.gitlab.com/blog/developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities\ntitle: GitLab Duo開発の現場から：AIを活用したセキュリティ脆弱性の修正\ndescription: このチュートリアルでは、GitLab Duoの脆弱性の説明と脆弱性の修正、その他のAI搭載機能が、脆弱性に迅速に対処するのにどのように役立つのかをご説明します。\nauthors:\n  - Michael Friedrich\n  - Alana Bellucci\nheroImage: https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098106/Blog/Hero%20Images/Blog/Hero%20Images/blog-hero-banner-1-0178-820x470-fy25_7JlF3WlEkswGQbcTe8DOTB_1750098106040.png\ntags:\n  - AI/ML\n  - security\n  - product\n  - features\n  - tutorial\ncategory: ai-ml\ndate: '2024-07-15'\nupdatedDate: '2025-01-21'\nslug: developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities\nfeatured: true\ntemplate: BlogPost\n---\n\n新しい仕事を始めたばかりの初日、大規模な本番環境でのインシデントが発生し、全員での対応が求められる状況に直面したとします。いくつもの重大な脆弱性が新たに発覚し、即時の対応、分析、軽減、そして修正が必要です。こうした場合、どこから調査を始めるべきでしょうか？\n\nこの記事では、GitLab Duoの脆弱性の説明や脆弱性の修正、その他のAI機能を活用し、たった数分以内に脆弱性への対応を開始する方法を解説していきます。実践的な例を通じて、AI搭載のアシスト機能を活用して効果的に脆弱性を分析し、説明するアプローチを習得しましょう。追加の修正として、AIが生成したコード修正がMR（マージリクエスト）に示され、脆弱性の修正を迅速化します。\n\n> [GitLab Duoの無料トライアル](https://about.gitlab.com/ja-jp/gitlab-duo-agent-platform/#free-trial)を始めて、脆弱性の修正機能を組織に取り入れてみませんか。\n\n## はじめ方：分析\n\n最初のステップは、脆弱性の影響と重大度を分析することです。GitLabのUIを開き、`セキュリティ > 脆弱性レポート` の順に進み、メニューから[Vulnerability Report（脆弱性レポート）](https://docs.gitlab.com/ja-jp/user/application_security/vulnerability_report/)にアクセスします。脆弱性リストを `SAST` でフィルタリングし、対応を必要とする最も致命的な脆弱性を特定します。\n\n![脆弱性レポートの概要](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/vulnerability_reports_overview_aHR0cHM6_1750098116056.png)\n\nSASTのスキャン結果は詳細ビューで要約され、ソースコードへのリンクが表示されます。また、公開されているセキュリティアドバイザリからの詳細情報も提示されます。攻撃の範囲や技術的な詳細、脆弱な環境を十分に把握していない限り、デベロッパーがセキュリティレポートから分析を始めるのは難しい場合が多いでしょう。\n\n## 脆弱性の説明に基づく理解と軽減策\n\n脆弱性を理解し、最良かつ最も効率的な修正方法を知ることは不可欠です。また、修正により既存の機能に影響を与えないようにする必要があります。もし影響する場合は、保守担当者（メンテナー）やプロダクトオーナーとの議論が必要となり、その際には全体像を要約し、代替の軽減策を用意しなければなりません。また、離職した社員が作成したコードやテストを実施していないコードの場合、修正計画を立てるのがさらに難しくなることもあります。\n\nAI搭載の脆弱性の説明機能は、攻撃者がどのように脆弱性を悪用（エクスプロイト）できるかについて要約し、その影響や修正方法についての詳細な説明も行います。\n\n以下の例は、OSコマンドインジェクションの脆弱性を示しており、次のコードスニペットを使用しています。\n\n```php\n\u003C?php\n\n// Read variable name from GET request\n$name = $_GET['name'];\n\n// Use the variable name to call eval and print its value\neval('echo $' . $name . ';');\n```\n\n脆弱性レポートには詳細な説明がないため、全体の内容や影響について理解する必要があります。画面右上の `Explain Vulnerability`（脆弱性の説明）オプションを選択すると、事前に定義されたプロンプトアクションでGitLab Duo Chatが開きます。Chat内に脆弱性の追加の概要が表示され、脆弱性がどのように悪用されるかの説明や、推奨される修正方法が提示されます。\n\n![OSコマンドで使用される特殊文字の適切な無害化が行われていない（'OSコマンドインジェクション'）](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image9_aHR0cHM6_1750098116057.png)\n\n### 脆弱性の説明を文脈に沿った会話にする\n\n脆弱性の説明に関するUXの改善もされています。以前は、脆弱性の説明がオーバーレイとして右側に表示されていましたが、説明内容をGitLab Duo Chatのワークフローに統合しました。脆弱性が複雑である場合は、それに対して複数の軽減ステップに分かれたり、ソースコードの経路が不明瞭になることもあります。\n\nソースコードツリーを参照しながら、同じChatの文脈でコードの説明、修正、リファクタリング、そしてテストを続けられます。\n\nC言語の例で全体的なワークフローに取り組んでみましょう。この例では、セキュリティスキャンによってバッファオーバーフローが検出されています。\n\n1. セキュリティの脆弱性の詳細ビューを開き、右上にある「Explain Vulnerability」（脆弱性の説明）ボタンを選択します。Chatプロンプトが開き、問題の概要、潜在的な攻撃ベクター、および提案された修正が表示されます。\n\n![脆弱性のためのAI - 画像4](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image11_aHR0cHM6_1750098116059.png)\n\n2. 提案された修正を確認し、続けて `Can you show an alternative fix using a different function` （日本語：別の関数を使った代替修正方法を見せてくれますか？）というプロンプトで、Chatに尋ねます。この目的は、`strcpy()` に代わるより安全な関数がないか調べることです。\n\n![脆弱性のためのAI - 画像3](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image4_aHR0cHM6_1750098116060.png)\n\n3. `strlcpy()` を使用した代替修正がChat内で提案されます（下図参照）。この関数は、ターゲット文字列に許容される文字数のみをコピーし、常に文字列をnullで終端します。また、ソース文字列の長さを返し、文字列が切り詰められたかどうかを判断します。\n\n![脆弱性のためのAI - 画像5](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image10_aHR0cHM6_1750098116062.png)\n\n4. 次に、`Location file` URLをクリックし、ソースコードビューに移動します。再度Chatを開き、前の脆弱性の説明の文脈が保持されていることを確認します。次のステップでは、修正を続ける前にテストを追加していきます。これにより、機能の破損やリグレッションの発生を防ぐことができます。たとえば、`Based on the vulnerability context and opened source code, how would you add tests for it?` （日本語：脆弱性のコンテキストと表示されたソースコードに基づいて、テストを追加するにはどうしますか？）などのプロンプトを使用します。\n\n![脆弱性のためのAI - 画像7](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image8_aHR0cHM6_1750098116063.png)\n\n5. テストが生成され（仮に追加されたとして）、同じセッションで `Can you refactor the source code too?` （日本語：ソースコードもリファクタリングできますか？）というプロンプトを使用して、Chatにソースコードのリファクタリングも依頼できます。\n\n![脆弱性のためのAI - 画像6](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image2_aHR0cHM6_1750098116063.png)\n\nこのワークフローでは、脆弱性の分析、理解、軽減、代替アプローチの発見、テストの追加、さらには脆弱性の修正に対するリファクタリングを行う手順が示されています。\n\nChatを使ってこのプロセスを続けた後、Web IDEに切り替えて、学んだことを基にソースコードを修正できます。さらに、変更をコミットし、CI/CDやセキュリティスキャンをトリガーして、DevSecOpsライフサイクル全体のループを完結させる継続的なワークフローも含まれています。\n\n## AIアシストによる脆弱性の修正\n\nセキュリティ脆弱性を理解し、軽減するには、問題の修正を作成し、新しいマージリクエストでパイプラインを実行し、再度セキュリティスキャンを実施するなどのエンジニアリング作業が必要になります。また、修正をステージング（staging）環境にデプロイし、一定期間テストすることも必要な場合があります。\n\nAIを活用し、脆弱性とソースコードに基づいた提案修正を生成することで、脆弱性修正プロセスを迅速化します。\n\nヒント：これまでの経験の中で最も厄介だった脆弱性を思い出し、そのユースケースを再現してGitLab Duoの導入に活用してみましょう。ちなみに、[MITREのCWE Top 25（最も危険なソフトウェアの脆弱性）](https://cwe.mitre.org/top25/archive/2023/2023_top25_list.html)も、ユースケースとしてはよい例です。\n\n次の例は、[CWE-328：弱いハッシュ関数の使用](https://cwe.mitre.org/data/definitions/328.html)を実装したもので、`md5` を使用しています。これは[SASTスキャン](https://docs.gitlab.com/ja-jp/user/application_security/sast/)によって正しく識別されます。\n\n```python\nimport hashlib\n\nclass User:\n    def __init__(self, username, password):\n        self.username = username\n        self.password = password\n\n    def set_password(self, password):\n        self.password = hashlib.md5(password.encode()).hexdigest()\n\n```\n\n![脆弱性のためのAI -画像8](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image7_aHR0cHM6_1750098116064.png)\n\n右上の `Resolve with merge request`（マージリクエストで解決）ボタンをクリックすると、AIを活用して修正を提案するMRが開きます。この脆弱性に対する修正として、別のハッシュ関数を使用することが考えられます。\n\n![脆弱性のためのAI - 画像9](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image1_aHR0cHM6_1750098116065.png)\n\nもうひとつの一般的な脆弱性の例として、関数のエラーコードや潜在的な例外をチェックしないケースがあります。以下のCコードスニペットは、`fopen()` や `chmod()` の呼び出しに対する[CWE-362](https://cwe.mitre.org/data/definitions/362.html)に関連するファイル操作におけるタイミング攻撃の例を実装しています。\n\n```c\n#include \u003Cstdio.h>\n#include \u003Cstring.h>\n#include \u003Csys/mman.h>\n#include \u003Csys/stat.h>\n#include \u003Cunistd.h>\n\nint main(int argc, char **argv) {##$_0A$####$_0A$##    // File operations##$_0A$##    char *fname = \"gitlab.keksi\";##$_0A$####$_0A$## FILE *fp;##$_0A$##    fp = fopen(fname, \"r\");##$_0A$##    fprintf(fp, \"Hello from GitLab Duo Vulnerability Resolution Challenge\");##$_0A$## fclose(fp);##$_0A$####$_0A$##    // Potential chmod() timing attacks ##$_0A$####$_0A$##    // Make the file world readable##$_0A$## chmod(fname, S_IRWXU|S_IRWXG|S_IRWXO);##$_0A$####$_0A$##    return 0;##$_0A$##}\n```\n\n`chmod()` に関するSASTレポートは、次のように表示される場合があります。\n\n![脆弱性のためのAI - 画像10](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image6_aHR0cHM6_1750098116065.png)\n\n提案された `chmod()` のマージリクエストにはエラーハンドリングが含まれており、ファイルが世界中で書き込み可能になる潜在的な問題も修正されて、権限が `777` から `600` に変更されています。\n\n![脆弱性のためのAI - 画像11](https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098116/Blog/Content%20Images/Blog/Content%20Images/image3_aHR0cHM6_1750098116066.png)\n\n> 次に`fopen()` 関数の脆弱性も特定し、分析した上で修正してみてください。\n\n ## GitLab DuoによるさらなるAI支援\n\nセキュリティ問題は、簡単な修正や回避策で解決できることがよくあり、それによって開発チームが長期的な解決策を議論し、計画する時間を確保できます。他のケースでは、問題がより複雑になり、適切な修正が本番環境に反映されるまで、機能[API](https://about.gitlab.com/ja-jp/blog/what-is-an-api/)を無効にしたり、ファイアウォールでの軽減策が必要になることもあります。\n\nGitLab Duoは、こうした問題の解決に役立つAIを活用した追加機能を提供しています。\n\n**コードの説明**：デベロッパーやセキュリティエンジニアとして、行った変更に自信を持つことが重要です。IDE内で[コードの説明機能](https://docs.gitlab.com/ja-jp/user/gitlab_duo_chat/examples/#explain-code-in-the-ide)を使用することで、AIが提案した脆弱性修正をより深く理解できます。この機能により、どのような調整が行われたか、そしてその理由を正確に把握できます。\n\n**根本原因分析：** 修正によりCI/CDパイプラインがエラーを起こしてしまった場合、[根本原因分析機能](https://about.gitlab.com/ja-jp/blog/developing-gitlab-duo-blending-ai-and-root-cause-analysis-to-fix-ci-cd/)を利用できます。このツールは、根本的な問題を特定し、説明するのに役立ち、効果的に問題に対処できます。必要な修正を加えた後、テストを再実行して問題が解決したか確認できます。\n\n**リファクタリング**：脆弱性の修正が済んでも、より安全なコードにできないか検討する価値があります。IDE内でGitLab Duo Chatを開き、[リファクタリング機能](https://docs.gitlab.com/ja-jp/user/gitlab_duo_chat/examples/#refactor-code-in-the-ide)を使用して、コードをより安全に書くための代替方法を探ることができます。この事前対策的なアプローチにより、堅牢でセキュアなコードベースを維持できます。\n\nこれらのGitLab Duoの機能を活用することで、脆弱性に自信を持って対処し、コードのセキュリティと効率を確保できます。\n\n## 今後の取り組み\n\n脆弱性の説明と修正の機能をMRのプロセスに直接組み込むことで、シフトレフト（より早い段階に移行）させることを計画しています。この統合により、開発サイクルの初期段階で脆弱性に対処し、解決できるようになり、ワークフローが効率化され、シフトレフトによりコードのセキュリティが強化された状態になります。\n\n## GitLab Duoを始める\n\nGitLab Ultimateで利用可能な機能を有効化する方法を説明する[ドキュメント](https://docs.gitlab.com/ja-jp/user/gitlab_duo/turn_on_off/)をご参照ください。また、GitLab Duoの[脆弱性の説明](https://docs.gitlab.com/ja-jp/user/application_security/vulnerabilities/#explaining-a-vulnerability)および[脆弱性の修正](https://docs.gitlab.com/ja-jp/user/application_security/vulnerabilities/#vulnerability-resolution)は、GitLabのSelf-Managed環境やGitLab Dedicatedでも利用可能です。\n\n[「GitLab Duo開発の現場から」ブログシリーズ](https://about.gitlab.com/ja-jp/blog/developing-gitlab-duo-series/)をチェックすることで、GitLab Duoの最新情報についてご確認いただけます。\n\n*監修：伊藤 俊廷 [@toshitakaito](https://gitlab.com/toshitakaito) \u003Cbr>\n（GitLab合同会社 ソリューションアーキテクト本部 スタッフソリューションアーキテクト）*\n\n> [GitLab Duoの無料トライアル](https://about.gitlab.com/ja-jp/gitlab-duo-agent-platform/#free-trial)を始めて、脆弱性の修正機能を組織に取り入れてみませんか。\n",{"title":5,"description":19,"ogTitle":5,"ogDescription":19,"noIndex":36,"ogImage":21,"ogUrl":37,"ogSiteName":38,"ogType":39,"canonicalUrls":37},false,"https://about.gitlab.com/blog/developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities","https://about.gitlab.com","article","ja-jp/blog/developing-gitlab-duo-use-ai-to-remediate-security-vulnerabilities",[42,24,25,26,27],"aiml",[23,24,25,26,27],"u5-cWBLDQy_QBJqxEhWehN4GybTkPTN5SB-oUYOftVw",{"logo":46,"freeTrial":51,"sales":56,"login":61,"items":66,"search":386,"minimal":419,"duo":436,"switchNav":445,"pricingDeployment":456},{"config":47},{"href":48,"dataGaName":49,"dataGaLocation":50},"/ja-jp/","gitlab logo","header",{"text":52,"config":53},"無料トライアルを開始",{"href":54,"dataGaName":55,"dataGaLocation":50},"https://gitlab.com/-/trial_registrations/new?glm_source=about.gitlab.com/ja-jp&glm_content=default-saas-trial/","free trial",{"text":57,"config":58},"お問い合わせ",{"href":59,"dataGaName":60,"dataGaLocation":50},"/ja-jp/sales/","sales",{"text":62,"config":63},"サインイン",{"href":64,"dataGaName":65,"dataGaLocation":50},"https://gitlab.com/users/sign_in/","sign in",[67,96,198,203,306,367],{"text":68,"config":69,"menu":71},"プラットフォーム",{"dataNavLevelOne":70},"platform",{"type":72,"columns":73},"cards",[74,80,88],{"title":68,"description":75,"link":76},"DevSecOpsに特化したインテリジェントオーケストレーションプラットフォーム",{"text":77,"config":78},"プラットフォームを探索",{"href":79,"dataGaName":70,"dataGaLocation":50},"/ja-jp/platform/",{"title":81,"description":82,"link":83},"GitLab Duo Agent Platform","ソフトウェアライフサイクル全体を支えるエージェント型AI",{"text":84,"config":85},"GitLab Duoのご紹介",{"href":86,"dataGaName":87,"dataGaLocation":50},"/ja-jp/gitlab-duo-agent-platform/","gitlab duo agent platform",{"title":89,"description":90,"link":91},"GitLabが選ばれる理由","エンタープライズがGitLabを選ぶ主な理由をご覧ください",{"text":92,"config":93},"詳細はこちら",{"href":94,"dataGaName":95,"dataGaLocation":50},"/ja-jp/why-gitlab/","why gitlab",{"text":97,"left":17,"config":98,"menu":100},"製品",{"dataNavLevelOne":99},"solutions",{"type":101,"link":102,"columns":106,"feature":177},"lists",{"text":103,"config":104},"すべてのソリューションを表示",{"href":105,"dataGaName":99,"dataGaLocation":50},"/ja-jp/solutions/",[107,132,155],{"title":108,"description":109,"link":110,"items":115},"自動化","CI/CDと自動化でデプロイを加速",{"config":111},{"icon":112,"href":113,"dataGaName":114,"dataGaLocation":50},"AutomatedCodeAlt","/ja-jp/solutions/delivery-automation/","automated software delivery",[116,120,123,128],{"text":117,"config":118},"CI/CD",{"href":119,"dataGaLocation":50,"dataGaName":117},"/ja-jp/solutions/continuous-integration/",{"text":81,"config":121},{"href":86,"dataGaLocation":50,"dataGaName":122},"gitlab duo agent platform - product menu",{"text":124,"config":125},"ソースコード管理",{"href":126,"dataGaLocation":50,"dataGaName":127},"/ja-jp/solutions/source-code-management/","Source Code Management",{"text":129,"config":130},"自動化されたソフトウェアデリバリー",{"href":113,"dataGaLocation":50,"dataGaName":131},"Automated software delivery",{"title":133,"description":134,"link":135,"items":140},"セキュリティ","セキュリティを犠牲にすることなくコード作成を高速化",{"config":136},{"href":137,"dataGaName":138,"dataGaLocation":50,"icon":139},"/ja-jp/solutions/application-security-testing/","security and compliance","ShieldCheckLight",[141,145,150],{"text":142,"config":143},"アプリケーションセキュリティテスト",{"href":137,"dataGaName":144,"dataGaLocation":50},"Application security testing",{"text":146,"config":147},"ソフトウェアサプライチェーンの安全性",{"href":148,"dataGaLocation":50,"dataGaName":149},"/ja-jp/solutions/supply-chain/","Software supply chain security",{"text":151,"config":152},"ソフトウェアコンプライアンス",{"href":153,"dataGaName":154,"dataGaLocation":50},"/ja-jp/solutions/software-compliance/","software compliance",{"title":156,"link":157,"items":162},"測定",{"config":158},{"icon":159,"href":160,"dataGaName":161,"dataGaLocation":50},"DigitalTransformation","/ja-jp/solutions/visibility-measurement/","visibility and measurement",[163,167,172],{"text":164,"config":165},"可視性と測定",{"href":160,"dataGaLocation":50,"dataGaName":166},"Visibility and Measurement",{"text":168,"config":169},"バリューストリーム管理",{"href":170,"dataGaLocation":50,"dataGaName":171},"/ja-jp/solutions/value-stream-management/","Value Stream Management",{"text":173,"config":174},"分析とインサイト",{"href":175,"dataGaLocation":50,"dataGaName":176},"/ja-jp/solutions/analytics-and-insights/","Analytics and insights",{"title":178,"type":101,"items":179},"GitLabが活躍する場所",[180,186,192],{"text":181,"config":182},"エンタープライズ",{"icon":183,"href":184,"dataGaLocation":50,"dataGaName":185},"Building","/ja-jp/enterprise/","enterprise",{"text":187,"config":188},"スモールビジネス",{"icon":189,"href":190,"dataGaLocation":50,"dataGaName":191},"Work","/ja-jp/small-business/","small business",{"text":193,"config":194},"公共部門",{"icon":195,"href":196,"dataGaLocation":50,"dataGaName":197},"Organization","/ja-jp/solutions/public-sector/","public sector",{"text":199,"config":200},"価格",{"href":201,"dataGaName":202,"dataGaLocation":50,"dataNavLevelOne":202},"/ja-jp/pricing/","pricing",{"text":204,"config":205,"menu":207},"リソース",{"dataNavLevelOne":206},"resources",{"type":101,"link":208,"columns":212,"feature":292},{"text":209,"config":210},"すべてのリソースを表示",{"href":211,"dataGaName":206,"dataGaLocation":50},"/ja-jp/resources/",[213,246,264],{"title":214,"items":215},"はじめに",[216,221,226,231,236,241],{"text":217,"config":218},"インストール",{"href":219,"dataGaName":220,"dataGaLocation":50},"/ja-jp/install/","install",{"text":222,"config":223},"クイックスタートガイド",{"href":224,"dataGaName":225,"dataGaLocation":50},"/ja-jp/get-started/","quick setup checklists",{"text":227,"config":228},"学ぶ",{"href":229,"dataGaLocation":50,"dataGaName":230},"https://university.gitlab.com/","learn",{"text":232,"config":233},"製品ドキュメント",{"href":234,"dataGaName":235,"dataGaLocation":50},"https://docs.gitlab.com/ja-jp/","product documentation",{"text":237,"config":238},"ベストプラクティスビデオ",{"href":239,"dataGaName":240,"dataGaLocation":50},"/ja-jp/getting-started-videos/","best practice videos",{"text":242,"config":243},"インテグレーション",{"href":244,"dataGaName":245,"dataGaLocation":50},"/ja-jp/integrations/","integrations",{"title":247,"items":248},"検索する",[249,254,259],{"text":250,"config":251},"お客様成功事例",{"href":252,"dataGaName":253,"dataGaLocation":50},"/ja-jp/customers/","customer success stories",{"text":255,"config":256},"ブログ",{"href":257,"dataGaName":258,"dataGaLocation":50},"/ja-jp/blog/","blog",{"text":260,"config":261},"リモート",{"href":262,"dataGaName":263,"dataGaLocation":50},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"title":265,"items":266},"つなげる",[267,272,277,282,287],{"text":268,"config":269},"GitLabサービス",{"href":270,"dataGaName":271,"dataGaLocation":50},"/ja-jp/services/","services",{"text":273,"config":274},"コミュニティ",{"href":275,"dataGaName":276,"dataGaLocation":50},"/community/","community",{"text":278,"config":279},"フォーラム",{"href":280,"dataGaName":281,"dataGaLocation":50},"https://forum.gitlab.com/","forum",{"text":283,"config":284},"イベント",{"href":285,"dataGaName":286,"dataGaLocation":50},"/events/","events",{"text":288,"config":289},"パートナー",{"href":290,"dataGaName":291,"dataGaLocation":50},"/ja-jp/partners/","partners",{"config":293,"text":296,"image":297,"link":301},{"background":294,"textColor":295},"#2f2a6b","#fff","ソフトウェア開発の未来への洞察",{"altText":298,"config":299},"ソースプロモカード",{"src":300},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758208064/dzl0dbift9xdizyelkk4.svg",{"text":302,"config":303},"最新情報を読む",{"href":304,"dataGaName":305,"dataGaLocation":50},"/ja-jp/the-source/","the source",{"text":307,"config":308,"menu":310},"会社情報",{"dataNavLevelOne":309},"company",{"type":101,"columns":311},[312],{"items":313},[314,319,325,327,332,337,342,347,352,357,362],{"text":315,"config":316},"GitLabについて",{"href":317,"dataGaName":318,"dataGaLocation":50},"/ja-jp/company/","about",{"text":320,"config":321,"footerGa":324},"採用情報",{"href":322,"dataGaName":323,"dataGaLocation":50},"/jobs/","jobs",{"dataGaName":323},{"text":283,"config":326},{"href":285,"dataGaName":286,"dataGaLocation":50},{"text":328,"config":329},"経営陣",{"href":330,"dataGaName":331,"dataGaLocation":50},"/company/team/e-group/","leadership",{"text":333,"config":334},"チーム",{"href":335,"dataGaName":336,"dataGaLocation":50},"/company/team/","team",{"text":338,"config":339},"ハンドブック",{"href":340,"dataGaName":341,"dataGaLocation":50},"https://handbook.gitlab.com/","handbook",{"text":343,"config":344},"投資家向け情報",{"href":345,"dataGaName":346,"dataGaLocation":50},"https://ir.gitlab.com/","investor relations",{"text":348,"config":349},"トラストセンター",{"href":350,"dataGaName":351,"dataGaLocation":50},"/ja-jp/security/","trust center",{"text":353,"config":354},"AI Transparency Center",{"href":355,"dataGaName":356,"dataGaLocation":50},"/ja-jp/ai-transparency-center/","ai transparency center",{"text":358,"config":359},"ニュースレター",{"href":360,"dataGaName":361,"dataGaLocation":50},"/company/contact/#contact-forms","newsletter",{"text":363,"config":364},"プレス",{"href":365,"dataGaName":366,"dataGaLocation":50},"/press/","press",{"text":57,"config":368,"menu":369},{"dataNavLevelOne":309},{"type":101,"columns":370},[371],{"items":372},[373,376,381],{"text":57,"config":374},{"href":59,"dataGaName":375,"dataGaLocation":50},"talk to sales",{"text":377,"config":378},"サポートを受ける",{"href":379,"dataGaName":380,"dataGaLocation":50},"https://support.gitlab.com","support portal",{"text":382,"config":383},"カスタマーポータル",{"href":384,"dataGaName":385,"dataGaLocation":50},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"close":387,"login":388,"suggestions":395},"閉じる",{"text":389,"link":390},"リポジトリとプロジェクトを検索するには、次にログインします",{"text":391,"config":392},"GitLab.com",{"href":64,"dataGaName":393,"dataGaLocation":394},"search login","search",{"text":396,"default":397},"提案",[398,400,405,407,411,415],{"text":81,"config":399},{"href":86,"dataGaName":81,"dataGaLocation":394},{"text":401,"config":402},"コード提案（AI）",{"href":403,"dataGaName":404,"dataGaLocation":394},"/ja-jp/solutions/code-suggestions/","Code Suggestions (AI)",{"text":117,"config":406},{"href":119,"dataGaName":117,"dataGaLocation":394},{"text":408,"config":409},"GitLab on AWS",{"href":410,"dataGaName":408,"dataGaLocation":394},"/ja-jp/partners/technology-partners/aws/",{"text":412,"config":413},"GitLab on Google Cloud",{"href":414,"dataGaName":412,"dataGaLocation":394},"/ja-jp/partners/technology-partners/google-cloud-platform/",{"text":416,"config":417},"GitLabを選ぶ理由",{"href":94,"dataGaName":418,"dataGaLocation":394},"Why GitLab?",{"freeTrial":420,"mobileIcon":424,"desktopIcon":429,"secondaryButton":432},{"text":52,"config":421},{"href":422,"dataGaName":55,"dataGaLocation":423},"https://gitlab.com/-/trials/new/","nav",{"altText":425,"config":426},"GitLabアイコン",{"src":427,"dataGaName":428,"dataGaLocation":423},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758203874/jypbw1jx72aexsoohd7x.svg","gitlab icon",{"altText":425,"config":430},{"src":431,"dataGaName":428,"dataGaLocation":423},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758203875/gs4c8p8opsgvflgkswz9.svg",{"text":214,"config":433},{"href":434,"dataGaName":435,"dataGaLocation":423},"https://gitlab.com/-/trial_registrations/new?glm_source=about.gitlab.com/ja-jp/get-started/","get started",{"freeTrial":437,"mobileIcon":441,"desktopIcon":443},{"text":438,"config":439},"GitLab Duoの詳細について",{"href":86,"dataGaName":440,"dataGaLocation":423},"gitlab duo",{"altText":425,"config":442},{"src":427,"dataGaName":428,"dataGaLocation":423},{"altText":425,"config":444},{"src":431,"dataGaName":428,"dataGaLocation":423},{"button":446,"mobileIcon":451,"desktopIcon":453},{"text":447,"config":448},"/switch",{"href":449,"dataGaName":450,"dataGaLocation":423},"#contact","switch",{"altText":425,"config":452},{"src":427,"dataGaName":428,"dataGaLocation":423},{"altText":425,"config":454},{"src":455,"dataGaName":428,"dataGaLocation":423},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1773335277/ohhpiuoxoldryzrnhfrh.png",{"freeTrial":457,"mobileIcon":462,"desktopIcon":464},{"text":458,"config":459},"価格ページに戻る",{"href":201,"dataGaName":460,"dataGaLocation":423,"icon":461},"back to pricing","GoBack",{"altText":425,"config":463},{"src":427,"dataGaName":428,"dataGaLocation":423},{"altText":425,"config":465},{"src":431,"dataGaName":428,"dataGaLocation":423},{"title":467,"button":468,"config":473},"エージェント型AIがソフトウェア配信をどのように変革するかをご覧ください",{"text":469,"config":470},"6月10日のGitLab Transcendに申し込む",{"href":471,"dataGaName":472,"dataGaLocation":50},"/ja-jp/releases/whats-new/#sign-up","transcend event",{"layout":474,"icon":475,"disabled":36},"release","AiStar",{"data":477},{"text":478,"source":479,"edit":485,"contribute":490,"config":495,"items":500,"minimal":703},"GitはSoftware Freedom Conservancyの商標です。当社は「GitLab」をライセンスに基づいて使用しています",{"text":480,"config":481},"ページのソースを表示",{"href":482,"dataGaName":483,"dataGaLocation":484},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":486,"config":487},"このページを編集",{"href":488,"dataGaName":489,"dataGaLocation":484},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":491,"config":492},"ご協力をお願いします",{"href":493,"dataGaName":494,"dataGaLocation":484},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":496,"facebook":497,"youtube":498,"linkedin":499},"https://twitter.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[501,546,599,642,669],{"title":199,"links":502,"subMenu":517},[503,507,512],{"text":504,"config":505},"プランの表示",{"href":201,"dataGaName":506,"dataGaLocation":484},"view plans",{"text":508,"config":509},"Premiumを選ぶ理由",{"href":510,"dataGaName":511,"dataGaLocation":484},"/ja-jp/pricing/premium/","why premium",{"text":513,"config":514},"Ultimateを選ぶ理由",{"href":515,"dataGaName":516,"dataGaLocation":484},"/ja-jp/pricing/ultimate/","why ultimate",[518],{"title":57,"links":519},[520,522,524,526,531,536,541],{"text":57,"config":521},{"href":59,"dataGaName":60,"dataGaLocation":484},{"text":377,"config":523},{"href":379,"dataGaName":380,"dataGaLocation":484},{"text":382,"config":525},{"href":384,"dataGaName":385,"dataGaLocation":484},{"text":527,"config":528},"ステータス",{"href":529,"dataGaName":530,"dataGaLocation":484},"https://status.gitlab.com/","status",{"text":532,"config":533},"利用規約",{"href":534,"dataGaName":535,"dataGaLocation":484},"/terms/","terms of use",{"text":537,"config":538},"プライバシーに関する声明",{"href":539,"dataGaName":540,"dataGaLocation":484},"/ja-jp/privacy/","privacy statement",{"text":542,"config":543},"Cookie 優先設定",{"dataGaName":544,"dataGaLocation":484,"id":545,"isOneTrustButton":17},"cookie preferences","ot-sdk-btn",{"title":97,"links":547,"subMenu":556},[548,552],{"text":549,"config":550},"DevSecOpsプラットフォーム",{"href":79,"dataGaName":551,"dataGaLocation":484},"devsecops platform",{"text":553,"config":554},"AI支援開発",{"href":86,"dataGaName":555,"dataGaLocation":484},"ai-assisted development",[557],{"title":558,"links":559},"トピック",[560,564,569,574,579,584,589,594],{"text":117,"config":561},{"href":562,"dataGaName":563,"dataGaLocation":484},"/ja-jp/topics/ci-cd/","cicd",{"text":565,"config":566},"GitOps",{"href":567,"dataGaName":568,"dataGaLocation":484},"/ja-jp/topics/gitops/","gitops",{"text":570,"config":571},"DevOps",{"href":572,"dataGaName":573,"dataGaLocation":484},"/ja-jp/topics/devops/","devops",{"text":575,"config":576},"バージョン管理",{"href":577,"dataGaName":578,"dataGaLocation":484},"/ja-jp/topics/version-control/","version control",{"text":580,"config":581},"DevSecOps",{"href":582,"dataGaName":583,"dataGaLocation":484},"/ja-jp/topics/devsecops/","devsecops",{"text":585,"config":586},"クラウドネイティブ",{"href":587,"dataGaName":588,"dataGaLocation":484},"/ja-jp/topics/cloud-native/","cloud native",{"text":590,"config":591},"コーディングのためのAI",{"href":592,"dataGaName":593,"dataGaLocation":484},"/ja-jp/topics/devops/ai-for-coding/","ai for coding",{"text":595,"config":596},"エージェント型AI",{"href":597,"dataGaName":598,"dataGaLocation":484},"/ja-jp/topics/agentic-ai/","agentic ai",{"title":600,"links":601},"ソリューション",[602,605,607,612,616,619,622,625,627,629,632,637],{"text":142,"config":603},{"href":137,"dataGaName":604,"dataGaLocation":484},"Application Security Testing",{"text":129,"config":606},{"href":113,"dataGaName":114,"dataGaLocation":484},{"text":608,"config":609},"アジャイル開発",{"href":610,"dataGaName":611,"dataGaLocation":484},"/ja-jp/solutions/agile-delivery/","agile delivery",{"text":613,"config":614},"SCM",{"href":126,"dataGaName":615,"dataGaLocation":484},"source code management",{"text":117,"config":617},{"href":119,"dataGaName":618,"dataGaLocation":484},"continuous integration & delivery",{"text":168,"config":620},{"href":170,"dataGaName":621,"dataGaLocation":484},"value stream management",{"text":565,"config":623},{"href":624,"dataGaName":568,"dataGaLocation":484},"/ja-jp/solutions/gitops/",{"text":181,"config":626},{"href":184,"dataGaName":185,"dataGaLocation":484},{"text":187,"config":628},{"href":190,"dataGaName":191,"dataGaLocation":484},{"text":630,"config":631},"公共機関",{"href":196,"dataGaName":197,"dataGaLocation":484},{"text":633,"config":634},"教育",{"href":635,"dataGaName":636,"dataGaLocation":484},"/ja-jp/solutions/education/","education",{"text":638,"config":639},"金融サービス",{"href":640,"dataGaName":641,"dataGaLocation":484},"/ja-jp/solutions/finance/","financial services",{"title":204,"links":643},[644,646,648,650,653,655,657,659,661,663,665,667],{"text":217,"config":645},{"href":219,"dataGaName":220,"dataGaLocation":484},{"text":222,"config":647},{"href":224,"dataGaName":225,"dataGaLocation":484},{"text":227,"config":649},{"href":229,"dataGaName":230,"dataGaLocation":484},{"text":232,"config":651},{"href":234,"dataGaName":652,"dataGaLocation":484},"docs",{"text":255,"config":654},{"href":257,"dataGaName":258,"dataGaLocation":484},{"text":250,"config":656},{"href":252,"dataGaName":253,"dataGaLocation":484},{"text":260,"config":658},{"href":262,"dataGaName":263,"dataGaLocation":484},{"text":268,"config":660},{"href":270,"dataGaName":271,"dataGaLocation":484},{"text":273,"config":662},{"href":275,"dataGaName":276,"dataGaLocation":484},{"text":278,"config":664},{"href":280,"dataGaName":281,"dataGaLocation":484},{"text":283,"config":666},{"href":285,"dataGaName":286,"dataGaLocation":484},{"text":288,"config":668},{"href":290,"dataGaName":291,"dataGaLocation":484},{"title":307,"links":670},[671,673,675,677,679,681,683,687,692,694,696,698],{"text":315,"config":672},{"href":317,"dataGaName":309,"dataGaLocation":484},{"text":320,"config":674},{"href":322,"dataGaName":323,"dataGaLocation":484},{"text":328,"config":676},{"href":330,"dataGaName":331,"dataGaLocation":484},{"text":333,"config":678},{"href":335,"dataGaName":336,"dataGaLocation":484},{"text":338,"config":680},{"href":340,"dataGaName":341,"dataGaLocation":484},{"text":343,"config":682},{"href":345,"dataGaName":346,"dataGaLocation":484},{"text":684,"config":685},"Sustainability",{"href":686,"dataGaName":684,"dataGaLocation":484},"/sustainability/",{"text":688,"config":689},"ダイバーシティ、インクルージョン、ビロンギング（DIB）",{"href":690,"dataGaName":691,"dataGaLocation":484},"/ja-jp/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":348,"config":693},{"href":350,"dataGaName":351,"dataGaLocation":484},{"text":358,"config":695},{"href":360,"dataGaName":361,"dataGaLocation":484},{"text":363,"config":697},{"href":365,"dataGaName":366,"dataGaLocation":484},{"text":699,"config":700},"現代奴隷制の透明性に関する声明",{"href":701,"dataGaName":702,"dataGaLocation":484},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"items":704},[705,707,710],{"text":532,"config":706},{"href":534,"dataGaName":535,"dataGaLocation":484},{"text":708,"config":709},"Cookieの設定",{"dataGaName":544,"dataGaLocation":484,"id":545,"isOneTrustButton":17},{"text":537,"config":711},{"href":539,"dataGaName":540,"dataGaLocation":484},[713,727],{"id":714,"title":10,"body":31,"config":715,"content":717,"description":31,"extension":721,"meta":722,"navigation":17,"path":723,"seo":724,"stem":725,"__hash__":726},"blogAuthors/en-us/blog/authors/michael-friedrich.yml",{"template":716},"BlogAuthor",{"name":10,"config":718},{"headshot":719,"ctfId":720},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1749659879/Blog/Author%20Headshots/dnsmichi-headshot.jpg","dnsmichi","yml",{},"/en-us/blog/authors/michael-friedrich",{},"en-us/blog/authors/michael-friedrich","lJ-nfRIhdG49Arfrxdn1Vv4UppwD51BB13S3HwIswt4",{"id":728,"title":11,"body":31,"config":729,"content":730,"description":31,"extension":721,"meta":734,"navigation":17,"path":735,"seo":736,"stem":737,"__hash__":738},"blogAuthors/en-us/blog/authors/alana-bellucci.yml",{"template":716},{"name":11,"config":731},{"headshot":732,"ctfId":733},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1749664907/Blog/Author%20Headshots/abellucci-headshot.jpg","abellucci",{},"/en-us/blog/authors/alana-bellucci",{},"en-us/blog/authors/alana-bellucci","3yZkXKzugCivW5k4M4NhFUWGwSBpmKUIdSB4MT4yl4U",[740,752,767],{"content":741,"config":750},{"title":742,"description":743,"authors":744,"heroImage":746,"date":747,"body":748,"category":13,"tags":749},"GitLabとAnthropic：エンタープライズ開発のためのガバナンスAI","GitLabがAnthropicとのClaude統合を強化。ガバナンス・コンプライアンス・監査証跡を組み込んだプラットフォームで、最新Claudeモデルへのアクセス、そしてGoogle CloudやAWSを通じた柔軟なクラウド展開をエンタープライズに提供します。",[745],"Stuart Moncada","https://res.cloudinary.com/about-gitlab-com/image/upload/v1776457632/llddiylsgwuze0u1rjks.png","2026-04-28","エンタープライズや公共セクターのリーダーにとって、この緊張関係は見慣れたものです。ソフトウェアチームはAIを活用してスピードを上げる必要がある一方、セキュリティ、コンプライアンス、規制上の要求はますます厳しくなっています。GitLabはAnthropicとのClaude統合を強化し、新たにリリースされたClaudeモデルへのアクセスを、ガバナンス・コンプライアンス・監査証跡がすでに組み込まれたGitLabのインテリジェントオーケストレーションプラットフォーム上で提供します。\n\nClaudeはGitLab Duo Agent Platformにおけるデフォルトモデルとして、コード生成・レビューからエージェント型チャット、脆弱性の解消まで、幅広いユースケースで機能を支えています。GitLab Duoをご利用いただいている方は、Duoエージェントがソフトウェア開発ライフサイクル（SDLC）全体にわたってワークフローを自動化する様子をすでにご体験いただいています。\n\nこの統合強化により、ClaudeのコアAI機能をGitLabにより迅速に統合し、エンタープライズが展開できる幅を広げるとともに、GitLabがソフトウェア開発・エンジニアリングプラットフォームとして本質的に異なる点を改めて示します。それは、すべてのAIインタラクションに組み込まれたガバナンス・コンプライアンス・監査証跡です。\n\n> 「GitLab Duoにより、チームの計画・構築・リリースのスピードが格段に上がりました。AnthropicのClaudeとGitLabのプラットフォームを組み合わせることで、働き方やガバナンスの仕組みを変えることなく、より高度なAIを活用できています。」 \\\n> – Mans Booijink氏、オペレーションマネージャー、Cube社\n\n## 真の差別化要因：ガバナンスAI\n\nGitLabでは、ガバナンスコントロールと監査機能がSDLCに組み込まれています。GitLab Duo Agent PlatformでClaudeがコード変更を提案する場合、その提案は他のあらゆる変更と同様に、マージリクエストのプロセス、承認ルール、セキュリティスキャン、そして監査証跡を経由します。AIはコントロールを迂回することはできません。AIはコントロールの枠組みの中で動作します。\n\nGitLabがエージェント型ソフトウェア開発、すなわちAIが明確に定義されたタスクを自律的に処理する開発手法へと深く踏み込む中、ガバナンスレイヤーの重要性はさらに増しています。マージリクエストのオープン、脆弱性の解消支援、サービスのリファクタリングを担えるAIエージェントには、人間の開発者と同様に、監査可能性・帰属明確性・ポリシー適用が求められます。この要件はGitLabが当初から下したアーキテクチャ上の決断であり、AIエージェントが担う責務の範囲が広がるにつれて、その重要性はさらに高まっています。\n\n## エンタープライズ向けデプロイの柔軟性\n\nまた、この統合強化により、組織がGitLabを通じて最新のClaudeモデルにアクセスする方法も広がります。GitLab内でのClaudeはGoogle CloudのVertex AIおよびAWS Bedrockを通じて利用可能であり、企業はすでに導入済みのハイパースケーラーとの契約やクラウドガバナンスフレームワークを通じてAIワークロードをルーティングできます。別途ベンダー契約は不要です。データレジデンシーに関する新たな懸念もありません。既存のGCPまたはAWSの関係がそのままオンランプとなります。\n\nGitLabは[Claude Marketplace](https://claude.com/platform/marketplace)にも参加しました。これにより、お客様はGitLabクレジットを購入してAnthropicへの既存の支出コミットメントに充てることができ、AIコストを一元管理しながら、Anthropicへの投資と並行してGitLabを手軽に見つけ、調達できるようになります。\n\n## エージェント型の未来へ\n\n計画・コーディング・テスト・セキュリティ確保・デプロイにわたり、AIが定義されたタスクを自律的にこなすエージェント型ソフトウェア開発というGitLabのビジョンを実現するには、高度な推論能力・信頼性・安全性を備えたモデルが必要です。そして、それらの自律的アクションが完全にガバナンスされるプラットフォームも不可欠です。\n\nエージェント型ワークフローには、高度な推論能力・信頼性・安全性を備えたモデルが求められます。これらの基準は、GitLabがAIモデルパートナーを選定・統合する際の指針となっています。また、GitLabのガバナンスフレームワークにより、AIエージェントがより高度な開発作業を担うようになっても、エンタープライズはエージェントの行動・実行タイミング・変更の追跡方法について完全な可視性とコントロールを維持できます。\n\n## GitLabをご利用のお客様への意味\n\nすでにGitLab Duo Agent Platformをご利用の方は、ソフトウェア開発ライフサイクル全体にわたってClaudeモデルへのアクセスとより深いAIアシスタンスを、これまで通りのガバナンスフレームワークの中でご活用いただけます。\n\nAI活用型ソフトウェア開発プラットフォームを評価中の方は、高度なAI機能とエンタープライズコントロールのどちらかを選ぶ必要はありません。この戦略的連携は、その両方を実現するために構築されています。\n\n> GitLab Duo Agent Platformについてさらに詳しく知りたい方は、[デモのご依頼または無料トライアルのお申し込みはこちら](https://about.gitlab.com/ja-jp/gitlab-duo-agent-platform/)からどうぞ。",[23,25,291],{"featured":17,"template":15,"slug":751},"gitlab-and-anthropic-governed-ai-for-enterprise-development",{"content":753,"config":765},{"title":754,"description":755,"authors":756,"body":759,"heroImage":760,"date":761,"category":13,"tags":762},"GitLabとVertex AI on Google Cloud：エージェント型ソフトウェア開発の加速","Google CloudのVertex AIとGitLab Duo Agent Platformを組み合わせることで、ファウンデーションモデル、エンタープライズ制御、Model Gardenの豊富なモデルを活用したエージェント型開発が実現します。\n",[757,758],"Regnard Raquedan","Rajesh Agadi","GitLab Duo Agent Platformは、組織がソフトウェアをビルド、セキュア化、そして提供する方法を再定義しつつあります。2026年1月の一般提供開始以来、このプラットフォームはソフトウェア開発ライフサイクルのあらゆる段階にエージェント型AIをもたらしています。Duo Agent Platformは、ソフトウェアチームと専門エージェントが連携して計画、コーディング、レビュー、セキュリティ脆弱性の修正を行う、インテリジェントなオーケストレーションレイヤーです。\n\nこのパートナーシップを通じて、[GitLab Duo Agent Platform](https://about.gitlab.com/gitlab-duo-agent-platform/)はVertex AI on Google Cloudとの統合によりソフトウェア開発のオーケストレーションとライフサイクルコンテキストを自動化します。Vertex AIはエージェント呼び出しのモデル層を担い、ソフトウェアチームはすでに定義済みのGoogle Cloudポリシーに従って推論を実行しながら、イシュー、マージリクエスト、パイプライン、セキュリティワークフローの作業を継続できます。\n\nGoogle CloudのVertex AIモデルの進化により、Google CloudユーザーはGitLab Duo Agent Platformをさらに活用できるようになっています。GitLabではAIを活用したDevSecOpsコントロールプレーンを、Vertex AIの急速に進化するAIインフラ基盤と、Duo Agent Platformの柔軟なデプロイ・統合オプションが支えています。この組み合わせにより、エンタープライズスケールで動作する、より高度でガバナンスの効いたエージェント型ワークフローが実現します。\n\n![Google CloudのVertex AIと連携してエージェント型ソフトウェア開発とガバナンスを備えたAIワークフローを実現するGitLab Duo Agent Platformの概念図](https://res.cloudinary.com/about-gitlab-com/image/upload/v1776165990/b7jlux9kydafncwy8spc.png)\n\n## 開発ライフサイクル全体にわたるエージェント\n\n多くのAIツールは、コードをより速く生成するという単一のタスクに集中しています。GitLab Duo Agent Platformはそれをさらに超え、計画からセキュリティレビュー、リリースまで、ソフトウェア開発ライフサイクル（SDLC）全体にわたってAIエージェントをオーケストレーションします。これは、多数のプロジェクトとリリースを抱える多くのチームを対象としています。このスケールにおいて、AIコーディングアシスタントは継続的なイノベーションに必要ではありますが、それだけでは十分ではありません。\n\n単一目的のコーディングアシスタントがプロジェクトの全体像を把握することはほとんどありません。バックログの状況、オープン中のマージリクエスト、失敗したジョブ、セキュリティの検出結果はGitLabに蓄積されていますが、コーディングアシスタント内の別のチャットウィンドウはSDLCのその全体像を引き継ぐことができません。このギャップは、手動によるハンドオフ、コンテキストを持たないAIへの重複した説明、そして一つのシステムとして設計されたわけではないツール間のデータフローをマッピングしようとするガバナンスチームという形で表れます。\n\nGitLab Duo Agent Platformは、エンジニアが日々使用するオブジェクト上でエージェントとフローを動作させることで、このギャップを埋めます。Google Cloudを推論の基盤として選択している場合、Vertex AIはエージェントが呼び出すモデルとサービスを提供し、GitLabのAI Gatewayがアクセスを仲介することで管理者はどこに何が接続されているかを明確に把握できます。例えば、GitLab Duo Planner Agentはバックログを分析し、エピックを構造化タスクに分解し、優先順位付けフレームワークを適用することで、次に何を構築するかをチームが判断するのを支援します。Security Analyst Agentは脆弱性をトリアージし、平易な言葉でリスクを説明し、優先順位に従って修正を推奨します。ビルトインのフローはこれらのエージェントをエンドツーエンドのプロセスへと連結し、開発者がすべてのハンドオフを手動で管理する必要をなくします。\n\nGitLab Duo Agent PlatformのAgentic Chatは、開発者にとって統合された体験を提供します。自然言語でクエリを投げかけることで、プロジェクトのイシュー、マージリクエスト、パイプライン、セキュリティの検出結果、コードベースといった全体像を踏まえた多段階の推論に基づくコンテキスト対応の回答が得られます。GitLabがSDLCの統一データモデルを持つ記録システムとして機能しているため、GitLab Duoエージェントは、スタンドアロンのツール固有AIアシスタントでは到達できないライフサイクルコンテキストをもとに動作します。\n\n### Vertex AIによる能力の拡張\n\nGitLab Duo Agent Platformはモデルフレキシブルな設計となっており、タスクごとに最適なパフォーマンスを発揮するモデルへと異なる機能をルーティングします。このアーキテクチャの選択はGoogle Cloud上で効果を発揮します。Vertex AIはファウンデーションモデルと関連サービスのマネージド環境として機能し、幅広いモデルエコシステムとマネージドインフラを提供することでプラットフォームの能力をさらに引き出します。\n\nVertex AIを通じて利用できる最新世代のAIモデルは、以前のバージョンと比較して推論、ツール使用、長文コンテキスト理解において大幅な改善をもたらします。これらはまさに、GitLabのエージェントが大規模で複雑なコードベースを持つ多くのプロジェクトとチームにわたって依拠するプロパティです。基盤モデルにおけるより長いコンテキストウィンドウと豊富なツール連携により、エージェントが一度のパスで達成できることが広がり、深いバックログ分析やモノレポのセキュリティレビューといったワークロードに特に重要な意味を持ちます。\n\n幅広いファウンデーションモデルへのアクセスを提供する[Vertex AI Model Garden](https://cloud.google.com/model-garden)により、ベンダーロックインではなく、パフォーマンス、コスト、規制要件に基づいてこれらの選択を行う自由がお客様に与えられます。\n\nさらに、GitLabのお客様はDuo Agent PlatformにBYOM（Bring Your Own Model）を利用することで、承認済みのプロバイダーとゲートウェイをセキュリティモデルが期待する場所に配置できます。[18.9リリースにおけるセルフホスト型Duo Agent PlatformとBYOMの解説](https://about.gitlab.com/blog/agentic-ai-enterprise-control-self-hosted-duo-agent-platform-and-byom/)では、その仕組みが詳しく説明されています。このデプロイオプションにより、お客様はソフトウェア開発プロセスに合わせてカスタマイズできるより広いモデルの選択肢へのアクセスを得られます。適切なワークフローに、適切なモデルを、適切なガードレールとともに。\n\nGitLabがVertex AIを基盤として選択したのは、エンタープライズグレードの信頼性と比類ないモデルの幅広さへのニーズによるものです。Vertex AIとModel Gardenは、LLMホスティングの重労働を完全に抽象化し、迅速なバージョン提供、堅牢なセキュリティ、厳格なガバナンスをシームレスに統合に組み込んでいます。Geminiモデルの提供にとどまらず、Vertex AIはサードパーティおよびオープンソースモデルの豊富なカタログへのグローバルかつ低レイテンシのアクセスを提供します。\n\nGoogleCloudの業界をリードするデータプライバシーとモデル保護へのアプローチと組み合わせることで、Vertex AIはGitLabの次世代デベロッパーエクスペリエンスを支える明確な選択肢として浮上しました。\n\nVertex AI Model GardenをバックエンドへIntegrateすることで、GitLabはDevSecOpsプラットフォームを強化しながら、その複雑さをユーザーに負わせることがありません。開発チームは基盤となるLLMの評価や管理に煩わされることなく、アプリケーション構築のための効率的なAI支援ワークフローを体験できます。\n\nGitLabはクラウドオーケストレーションを完全に抽象化し、開発者が優れたコードの記述に集中できる環境を提供する一方、Vertex AIはその支援となる機能を動かしています。\n\n## Google Cloudをご利用のお客様への意義\n\nGitLab Duo Agent Platformはすでに、一つのガバナンスの効いた記録システムの中でソフトウェアライフサイクル全体にわたって動作するAIエージェントを提供しています。Google Cloud上では、Vertex AIがモデルとインフラ層を継続的に進化させながら、迅速なイノベーションを可能にします。\n\nGoogle Cloudをご利用のお客様にとって、この統合は厳格なエンタープライズガバナンスを維持しながらソフトウェア提供を効率化することを意味します。プラットフォームエンジニアリンググループにとっては、クライアントサイドのツールを数十種類カタログ化するのではなく、GitLab内の提案、分析、修正を担うVertex AI連携モデルを標準化することを意味します。セキュリティプログラムは、エージェントが開発者がすでに検出結果をトリアージしている場所と同じ場所で修正を提案・検証することで、頭の切り替えを減らし、管理されていないチャネルへ流出していた作業を削減できます。\n\nクラウドの費用対効果とポリシーの観点から、GitLab内からVertexへのエージェント推論をまとめることで、Google Cloud上ですでに運用している契約や統制に近い形で使用量を管理でき、調達プロセスを迂回する重複支出やシャドーパスを回避するのに役立ちます。\n\nVertex AIはGitLab Duo Agent Platformの基盤インフラプロバイダーであるため、組織はAIツールチェーンの断片化を管理するオーバーヘッドとリスクなしに、デベロッパーの生産性を大幅に向上させることができます。チームは単一のセキュアな記録システムの中で足並みを揃え、アプリケーションをより速くビルドし、確信を持ってリリースできるようになります。\n\nGitLabとGoogle Cloudのコラボレーションは2018年から続いています。今日、これはAIの実験から、Google Cloud上での完全にガバナンスが効いたエージェント型ソフトウェア開発へと移行する組織にとって、最も包括的なパスの一つとなっています。GitLabがエージェントオーケストレーションとデベロッパーコンテキストを拡充し、Vertex AIがモデル能力とエージェントインフラの限界を押し広げていく中で、共同顧客にとっての価値は今後も成長し続けるでしょう。\n\n> [GitLab Duo Agent Platformの無料トライアルを開始](https://about.gitlab.com/free-trial/)して、Google Cloud上でのGitLabとVertex AIのパワーをぜひご体験ください。","https://res.cloudinary.com/about-gitlab-com/image/upload/v1749663121/Blog/Hero%20Images/LogoLockupPlusLight.png","2026-04-14",[23,291,763,764,25],"google","news",{"featured":17,"template":15,"slug":766},"gitlab-and-vertex-ai-on-google-cloud",{"content":768,"config":778},{"heroImage":769,"body":770,"authors":771,"updatedDate":773,"date":774,"title":775,"tags":776,"description":777,"category":13},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772643639/sapu29gmlgtwvhggmj6k.png","ソフトウェア開発の管理では、複数のツールを同時に扱うことが求められます。Jiraで課題を追跡し、IDEでコードを記述し、GitLabでコラボレーションするといった具合です。こうしたプラットフォーム間のコンテキストの切り替えは集中力を妨げ、デリバリーを遅らせます。\n\nGitLab Duo Agent Platformの[MCP](https://about.gitlab.com/topics/ai/model-context-protocol/)サポートにより、Jiraをはじめ、MCPに対応するあらゆるツールを、AIを活用した開発環境に直接接続できるようになりました。課題の照会、チケットの更新、ワークフローの同期など、すべてを自然言語で、IDEを離れることなく実行できます。\n\n## この記事で学べること\n\nこのチュートリアルでは、以下の内容を解説します。\n\n* **Jira/Atlassian OAuthアプリケーションのセットアップ** — セキュアな認証を設定します\n* **GitLab Duo Agent Platformの設定** — GitLab Duo Agent PlatformをMCPクライアントとして設定します\n* **3つの実践的なユースケース** — 実際のワークフローのデモをご覧ください\n\n## 前提条件\n\n開始する前に、以下の要件を満たしていることをご確認ください。\n\n| 要件 | 詳細 |\n| ---- | ----- |\n| **GitLabインスタンス** | Duo Agent Platformが有効なGitLab 18.8以降 |\n| **Jiraアカウント** | OAuthアプリケーションを作成できる管理者権限を持つJira Cloudインスタンス |\n| **IDE** | GitLab Workflow拡張機能がインストールされたVisual Studio Code |\n| **MCPサポート** | GitLabでMCPサポートが有効化済み |\n\n\n## アーキテクチャの概要\n\nGitLab Duo Agent Platformは**MCPクライアント**として機能し、Atlassian MCPサーバーに接続してJiraのプロジェクト管理データにアクセスします。Atlassian MCPサーバーは認証を処理し、自然言語のリクエストをAPI呼び出しに変換して、構造化されたデータをGitLab Duo Agent Platformに返します。このプロセス全体を通じて、セキュリティと監査管理が維持されます。\n\n## パート1：Jira OAuthアプリケーションの設定\n\nGitLab Duo Agent PlatformをJiraインスタンスに安全に接続するには、Atlassian Developer ConsoleでOAuth 2.0アプリケーションを作成する必要があります。これにより、GitLabのMCPサーバーにJiraデータへの認可されたアクセス権が付与されます。\n\n### セットアップ手順\n\n手動で設定する場合は、以下の手順に従ってください。\n\n1. **Atlassian Developer Consoleへのアクセス**\n\n   * [developer.atlassian.com/console/myapps](https://developer.atlassian.com/console/myapps)にアクセスします。\n\n   * Atlassianアカウントでサインインします。\n\n2. **新しいOAuth 2.0アプリの作成**\n\n   * 「**Create**」→「**OAuth 2.0 integration**」をクリックします。\n\n   * アプリ名を入力します（例：「gitlab-dap-mcp」）。\n\n   * 利用規約に同意し、「**Create**」をクリックします。\n\n3. **権限の設定**\n\n   * 左サイドバーの「**Permissions**」に移動します。\n\n   * 「**Jira API**」を追加し、以下のスコープを設定します。\n\n     * `read:jira-work` — 課題、プロジェクト、ボードの読み取り\n\n     * `write:jira-work` — 課題の作成と更新\n\n     * `read:jira-user` — ユーザー情報の読み取り\n\n4. **認可の設定**\n\n   * 左サイドバーの「**Authorization**」に移動します。\n\n   * お使いの環境のコールバックURLを追加します（`https://gitlab.com/oauth/callback`）。\n\n   * 変更を保存します。\n\n5. **認証情報の取得**\n\n   * 「**Settings**」に移動します。\n\n   * 「**Client ID**」と「**Client Secret**」をコピーします。\n\n   * これらの認証情報はMCP設定に必要なため、安全な場所に保管してください。\n\n\n### インタラクティブウォークスルー：Jira OAuthのセットアップ\n\n以下の画像をクリックして開始してください。\n\n\n[![Jira OAuthセットアップツアー](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772644850/wnzfoq43nkkfmgdqldmr.png)](https://gitlab.navattic.com/jira-oauth-setup)\n\n\n## パート2：GitLab Duo Agent PlatformのMCPクライアントの設定\n\nOAuth認証情報の準備ができたら、GitLab Duo Agent PlatformをAtlassian MCPサーバーに接続するための設定を行います。\n\n### MCP設定ファイルの作成\n\nGitLabプロジェクトの `.gitlab/duo/mcp.json` にMCP設定ファイルを作成します。\n\n\n```json\n{\n  \"mcpServers\": {\n    \"atlassian\": {\n      \"type\": \"http\",\n      \"url\": \"https://mcp.atlassian.com/v1/mcp\",\n      \"auth\": {\n        \"type\": \"oauth2\",\n        \"clientId\": \"YOUR_CLIENT_ID\",\n        \"clientSecret\": \"YOUR_CLIENT_SECRET\",\n        \"authorizationUrl\": \"https://auth.atlassian.com/oauth/authorize\",\n        \"tokenUrl\": \"https://auth.atlassian.com/oauth/token\"\n      },\n      \"approvedTools\": true\n    }\n  }\n}\n```\n\n`YOUR_CLIENT_ID` と `YOUR_CLIENT_SECRET` は、パート1で生成した認証情報に置き換えてください。\n\n### GitLabでMCPを有効化\n\n1. 「**グループ設定**」→「**GitLab Duo**」→「**Configuration**」に移動します。\n2. 「Allow external MCP tools」にチェックが入っていることを確認します。\n\n### 接続の確認\n\nVS Codeでプロジェクトを開いてGitLab Duo Agent Platformのチャットで次のように入力してください。\n\n```text\nWhat MCP tools do you have access to?\n```\n\n次に、以下のように入力します。\n\n```text\nTest the MCP JIRA configuration in this project\n```\n\nこの時点で、IDEからAtlassian MCPウェブサイトにリダイレクトされ、アクセスの承認を求められます。\n\n![Atlassian MCPウェブサイトへのリダイレクト](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772643461/z5acqjgguh0damnnde9g.png \"MCPのAtlassianウェブサイトへのリダイレクト\")\n\n\u003Cbr>\u003C/br>\n\n![アクセスの承認](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772643461/rwowamm8nsubhpixtn3i.png \"アクセスの承認\")\n\n\u003Cbr>\u003C/br>\n\n![JIRAインスタンスを選択して承認](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772643461/chuzqd0jeptfwvoj7wjr.png \"JIRAインスタンスを選択して承認\")\n\n\u003Cbr>\u003C/br>\n\n![成功！](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772643462/bsgti5iste2bzck19o5y.png \"成功！\")\n\n\u003Cbr>\u003C/br>\n\n### MCPダッシュボードでの確認\n\nGitLabには、IDEに組み込みの**MCPダッシュボード**も用意されています。\n\nVS CodeまたはVSCodiumで、コマンドパレット（macOSでは `Cmd+Shift+P`、Windows/Linuxでは `Ctrl+Shift+P`）を開いて「**GitLab: Show MCP Dashboard**」を検索してください。ダッシュボードは新しいエディタータブで表示され、以下の情報を確認できます。\n\n* 設定済みの各MCPサーバーの**接続ステータス**\n* サーバーが公開している**利用可能なツール**（例：`jira_get_issue`、`jira_create_issue`）\n* **サーバーログ** — リアルタイムで呼び出されているツールを確認可能\n\n![MCPサーバーのダッシュボードとステータス](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772643462/mmvdfchucacsydivowvn.png \"MCPサーバーのダッシュボードとステータス\")\n\n\u003Cbr>\u003C/br>\n\n![サーバーの詳細と権限](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772643462/tcocgdvovp2dl42pvfn8.png \"サーバーの詳細と権限\")\n\n\u003Cbr>\u003C/br>\n\n\n![MCPサーバーログ](https://res.cloudinary.com/about-gitlab-com/image/upload/v1772643466/mougvqqk1bozchaufsci.png \"MCPサーバーログ\")\n\n\u003Cbr>\u003C/br>\n\n### インタラクティブウォークスルー：MCPのテスト\n\n\u003Ciframe src=\"https://player.vimeo.com/video/1170005495?badge=0&amp;autopause=0&amp; player_id=0&amp;app_id=58479\" frameborder=\"0\" allow=\"autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" style=\"position:absolute;top:0;left:0;width:100%;height:100%;\" title=\"Testing MCP\">\u003C/iframe>\u003Cscript src=\"https://player.vimeo.com/api/player.js\">\u003C/script>\n\n## パート3：実践的なユースケース\n\n統合の設定が完了したら、JiraをGitLab Duo Agent Platformへの接続を実現できる3つの実践的なワークフローを見ていきましょう。\n\n### プランニングアシスタント\n\n**シナリオ：** スプリントプランニングの準備として、バックログをすばやく評価し、優先事項を把握し、ブロッカーを特定する必要があります。\n\nこのデモでは以下の操作を紹介します。\n\n* バックログの照会\n* 未割り当ての高優先度課題の特定\n* AIによるスプリント推奨の取得\n\n#### プロンプト例\n\nGitLab Duo Agent Platformのチャットで以下のプロンプトをお試しください。\n\n```text\nList all the unassigned issues in JIRA for project GITLAB\n```\n\n```text\nSuggest the two top issues to prioritize and summarize them. Assign them to me.\n```\n\n### インタラクティブウォークスルー：プロジェクトプランニング\n\n\u003Ciframe src=\"https://player.vimeo.com/video/1170005462?badge=0&amp;autopause=0&amp;player_id=0&amp;app_id=58479\" frameborder=\"0\" allow=\"autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" style=\"position:absolute;top:0;left:0;width:100%;height:100%;\" title=\"Project Planning\">\u003C/iframe>\u003Cscript src=\"https://player.vimeo.com/api/player. js\">\u003C/script>\n\n### コードからの課題トリアージと作成\n\n**シナリオ：** コードレビュー中にバグを発見し、IDEを離れることなく、関連するコンテキストに沿ってJiraの課題を作成したい場合です。\n\nこのデモでは以下の手順を紹介します。\n\n* コーディング中のバグの特定\n* 自然言語を使ったJira課題の詳細な作成\n* コードのコンテキストに沿った課題フィールドの自動入力\n* 現在のブランチへの課題のリンク\n\n#### プロンプト例\n\n```text\nSearch in JIRA for a bug related to: Null pointer exception in PaymentService.processRefund().\nIf it does not exist create it with all the context needed from the code. Find possible blockers that this bug may cause.\n```\n\n```text\nCreate a new branch called issue-gitlab-18, checkout, and link it to the issue we just created. Assign the JIRA issue to me and mark it as in-progress.\n```\n\n### インタラクティブウォークスルー：バグレビューとタスク自動化\n\n\u003Ciframe src=\"https://player.vimeo.com/video/1170005368?badge=0&amp;autopause=0&amp; player_id=0&amp;app_id=58479\" frameborder=\"0\" allow=\"autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" style=\"position:absolute;top:0;left:0;width:100%;height:100%;\" title=\"Bug Review\">\u003C/iframe>\u003Cscript src=\"https://player.vimeo.com/api/player.js\">\u003C/script>\n\n### クロスシステムのインシデント調査\n\n**シナリオ：** 本番環境でインシデントが発生し、Jira（インシデントチケット）、GitLabプロジェクト管理、コードベース、マージリクエストからの情報を照合して根本原因を特定する必要があります。\n\nこのデモでは以下を実演します。\n\n* Jiraからのインシデント詳細の取得\n* GitLabの最近のマージリクエストとの照合\n* 関連する可能性のあるコード変更の特定\n* インシデントタイムラインの生成\n* 修正計画の設計とGitLabのワークアイテムとしての作成\n\n#### プロンプト例\n\n```text\n\"We have a production incident INC-1 about checkout failures. Can you help me investigate with all available context?\"\n```\n\n```text\nCreate a timeline of events for incident INC-1 including related Jira issues and recent deployments\n```\n\n```text\nPropose a remediation plan\n```\n\n### インタラクティブウォークスルー：クロスシステムのトラブルシューティングと修正\n\n\u003Ciframe src=\"https://player.vimeo.com/video/1170005413?badge=0&amp;autopause=0&amp; player_id=0&amp;app_id=58479\" frameborder=\"0\" allow=\"autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" style=\"position:absolute;top:0;left:0;width:100%;height:100%;\" title=\"Cross System Investigation\">\u003C/iframe>\u003Cscript src=\"https://player.vimeo.com/api/player.js\">\u003C/script>\n\n## トラブルシューティング\n\nよくあるセットアップの問題と解決策を以下にまとめます。\n\n| 問題 | 解決策 |\n| ----- | ----- |\n| 「MCP server not found」 | `mcp.json` ファイルが正しい場所にあり、適切にフォーマットされていることを確認してください。 |\n| 「Authentication failed」 | OAuth認証情報を再確認し、Atlassianでスコープが正しく設定されていることを確認してください。 |\n| 「No Jira tools available」 | `mcp.json` を更新後にVS Codeを再起動し、GitLabでMCPが有効になっていることを確認してください。 |\n| 「Connection timeout」 | `mcp.atlassian.com` へのネットワーク接続を確認してください。 |\n\n\u003Cbr/> 詳細なトラブルシューティングについては、[GitLab MCPクライアントのドキュメント](https://docs.gitlab.com/ja-jp/user/gitlab_duo/model_context_protocol/mcp_clients/)をご参照ください。\n\n\n## セキュリティに関する考慮事項\n\nJiraをGitLab Duo Agent Platformと統合する際は、以下の点にご注意ください。\n\n* **OAuthトークン** — 認証情報を安全に管理してください。\n* **最小権限の原則** — Jiraスコープは必要最小限のみ付与してください。\n* **トークンのローテーション** — セキュリティ管理の一環として、OAuth認証情報を定期的にローテーションしてください。\n\n\n## まとめ\n\nMCPを通じてGitLab Duo Agent Platformをさまざまなツールに接続することで、開発ライフサイクルとのインタラクションが大きく変わります。この記事では、以下の方法を学びました。\n\n* **自然言語による課題の照会** — バックログ、スプリント、インシデントについて自然言語で質問できます。\n* **DevSecOps環境全体での課題の作成と更新** — IDEを離れることなくバグを報告し、チケットを更新できます。\n* **システム間の情報照合** — JiraのデータをGitLabのプロジェクト管理、マージリクエスト、パイプラインと組み合わせることで、全体的な可視性が得られます。\n* **コンテキスト切り替えの削減** — プロジェクト管理とのつながりを維持しながら、コードに集中できます。\n\nこの統合は、MCPの可能性を体現するものです。AIを通じてツールへの標準化されたセキュアなアクセスを提供し、ガバナンスやセキュリティを損なうことなく、デベロッパーがより効率的に作業できる環境を実現します。\n\n\n## 関連リソース\n\n* [Model Context Protocol統合](https://about.gitlab.com/ja-jp/blog/duo-agent-platform-with-mcp/)\n\n* [Model Context Protocolとは](https://about.gitlab.com/topics/ai/model-context-protocol/)\n\n* [エージェント型AIに関するガイドとリソース](https://about.gitlab.com/ja-jp/blog/agentic-ai-guides-and-resources/)\n\n* [GitLab MCPクライアントのドキュメント](https://docs.gitlab.com/ja-jp/user/gitlab_duo/model_context_protocol/mcp_clients/)\n\n* [GitLab Duo Agent Platformを始める：完全ガイド](https://about.gitlab.com/ja-jp/blog/gitlab-duo-agent-platform-complete-getting-started-guide/)",[772],"Albert Rabassa","2026-03-30","2026-03-05","MCPであらゆるツールを接続してGitLab Duo Agent Platformを拡張",[25,27],"MCPを使用して外部ツールをGitLab Duo Agent Platformに接続する方法を解説します。3つの実践的なワークフローデモを含むステップバイステップのセットアップガイドです。",{"featured":36,"template":15,"slug":779},"extend-gitlab-duo-agent-platform-connect-any-tool-with-mcp",{"promotions":781},[782,795,806,817],{"id":783,"categories":784,"header":785,"text":786,"button":787,"image":792},"ai-modernization",[13],"Is AI achieving its promise at scale?","Quiz will take 5 minutes or less",{"text":788,"config":789},"Get your AI maturity score",{"href":790,"dataGaName":791,"dataGaLocation":258},"/assessments/ai-modernization-assessment/","modernization assessment",{"config":793},{"src":794},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138786/qix0m7kwnd8x2fh1zq49.png",{"id":796,"categories":797,"header":798,"text":786,"button":799,"image":803},"devops-modernization",[25,583],"Are you just managing tools or shipping innovation?",{"text":800,"config":801},"Get your DevOps maturity score",{"href":802,"dataGaName":791,"dataGaLocation":258},"/assessments/devops-modernization-assessment/",{"config":804},{"src":805},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138785/eg818fmakweyuznttgid.png",{"id":807,"categories":808,"header":809,"text":786,"button":810,"image":814},"security-modernization",[24],"Are you trading speed for security?",{"text":811,"config":812},"Get your security maturity score",{"href":813,"dataGaName":791,"dataGaLocation":258},"/assessments/security-modernization-assessment/",{"config":815},{"src":816},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138786/p4pbqd9nnjejg5ds6mdk.png",{"id":818,"paths":819,"header":822,"text":823,"button":824,"image":829},"github-azure-migration",[820,821],"migration-from-azure-devops-to-gitlab","integrating-azure-devops-scm-and-gitlab","Is your team ready for GitHub's Azure move?","GitHub is already rebuilding around Azure. Find out what it means for you.",{"text":825,"config":826},"See how GitLab compares to GitHub",{"href":827,"dataGaName":828,"dataGaLocation":258},"/compare/gitlab-vs-github/github-azure-migration/","github azure migration",{"config":830},{"src":805},{"header":832,"blurb":833,"button":834,"secondaryButton":838},"今すぐ開発をスピードアップ","DevSecOpsに特化したインテリジェントオーケストレーションプラットフォームで実現できることをご確認ください。\n",{"text":52,"config":835},{"href":836,"dataGaName":55,"dataGaLocation":837},"https://gitlab.com/-/trial_registrations/new?glm_content=default-saas-trial&glm_source=about.gitlab.com/ja-jp/","feature",{"text":57,"config":839},{"href":59,"dataGaName":60,"dataGaLocation":837},1777934852748]