AI生成コードを本番品質に仕上げる — Vibe Codingの"あとしまつ"とは
AIが書いたコードはそのまま本番には出せない。セキュリティ、認証、運用設計——AI生成コードの課題と、本番化に必要なプロセスを整理する。
AIが書いたコードは「動く」。だが「使える」とは限らない。
2026年現在、Cursor、Claude Code、GitHub Copilot Workspaceなどを使えば、Webアプリのプロトタイプを数時間で作れる。いわゆるVibe Codingだ。自然言語で指示を出すだけで、それなりの画面とロジックが生成される。
問題は、そのコードをそのまま本番環境に出す人が増えていることだ。
「動いているから大丈夫」——この判断が、セキュリティ事故やデータ消失につながるケースが実際に起きている。AI生成コードの「動く」と本番で「使える」の間には、明確なギャップがある。この記事では、そのギャップの正体と、埋めるために必要なことを整理する。
経営者や事業責任者に向けて書いている。技術的な詳細は最小限にとどめ、判断に必要な情報を並べる。具体的な手順や技術ガイドはAtoshimatsuにまとめてある。
AI生成コードの現在地 — 何ができて、何ができないか
まず、AIコーディングツールが「できること」を正確に把握する。
できること:
- UIの生成。ボタン、フォーム、一覧画面などを自然言語で指示するだけで作れる
- 基本的なCRUD操作。データの作成・読取・更新・削除のロジック生成
- APIの接続。外部サービスとの連携コードの雛形を出力
- 一般的なパターンの実装。認証画面、ダッシュボード、チャットUIなど
これらは、AIが大量の公開コードから学習したパターンの再現だ。よくあるパターンほど精度が高い。
問題は「できないこと」の方にある。AI生成コードには、3つの構造的な限界がある。
限界1: セキュリティが考慮されない
AIは「動くコード」を生成する。「安全なコード」を生成するわけではない。
具体的にどういうことか。AIが生成するコードには、こうした問題が頻繁に含まれる。
- APIキーのハードコーディング。 環境変数ではなくコード内に直接記述される。GitHubに公開した瞬間に漏洩する
- 入力値の未検証。 ユーザーの入力をそのままデータベースに渡す。SQLインジェクションやXSSの温床になる
- 認証の不備。 ログイン機能はあるが、権限チェックがない。管理者画面にURLを直接叩けばアクセスできる
- 依存パッケージの脆弱性。 AIは最新の安全なバージョンを選ぶとは限らない。既知の脆弱性を含むライブラリを指定することがある
セブン&アイの7payが不正アクセスで約3,800万円の被害を出した事例は、認証設計の不備が原因だった。AIが生成するコードは、こうした不備を含む確率が高い。詳しくは7payの失敗から学ぶセキュリティの教訓で分析している。
AI生成コードに潜むセキュリティリスクの全体像は、AI生成コードのセキュリティリスク10選でまとめてある。
限界2: スケーラビリティが設計されない
プロトタイプは1人で使う。本番は100人、1,000人、時には10万人が同時に使う。
AIが生成するコードは「1人が使う前提」で書かれている。データベースへのクエリは最適化されていない。画像のリサイズ処理をサーバーサイドで同期的に実行する。セッション管理をメモリ上で行う。
ユーザー数が増えた時に何が起きるか。
- レスポンスが10秒以上かかるようになる
- サーバーのメモリが溢れてクラッシュする
- データベースの接続数上限に達して新規ユーザーがログインできなくなる
これらは、アーキテクチャレベルの設計がないことが原因だ。AIに「スケーラブルに」と指示しても、コードの一部が改善される程度で、全体のアーキテクチャが変わるわけではない。
限界3: 運用が想定されない
本番サービスは「リリースして終わり」ではない。むしろリリース後の方が長い。
AIが生成するコードには、運用に必要な以下の要素がほぼ含まれない。
- ログ設計。 エラーが起きた時に原因を特定できるログが出力されない
- 監視。 サーバーのCPU使用率やレスポンス時間を監視する仕組みがない
- バックアップ。 データベースの定期バックアップが設定されていない
- 障害復旧。 サーバーが落ちた時の自動復旧手順がない
- アップデート戦略。 依存ライブラリの更新やセキュリティパッチの適用方針がない
「動いているから大丈夫」は、障害が起きるまでの話だ。障害は必ず起きる。そのとき復旧できるかどうかは、運用設計にかかっている。
「最後の30%」の内訳
AI生成コードは、本番品質の70%をカバーする。残りの30%が本番化を阻む。
この「最後の30%」は、以下の領域に分かれる。
| 領域 | 内容 | リスク |
|---|---|---|
| 認証・権限 | ログイン、ロール管理、APIキー管理 | 不正アクセス、情報漏洩 |
| エラーハンドリング | 異常系の処理、ユーザーへの通知 | データ不整合、ユーザー離脱 |
| バックアップ・復旧 | データの定期保存、障害時の復元手順 | データ消失、事業停止 |
| 監視・アラート | 死活監視、パフォーマンス監視 | 障害の長期化、SLA違反 |
| パフォーマンス | クエリ最適化、キャッシュ、CDN | ユーザー体験の劣化、離脱率の上昇 |
| テスト | 自動テスト、ステージング環境 | 本番環境でのバグ発覚 |
各領域の詳細は本番化に必要な「最後の30%」ガイドで解説している。Vibe Codingの基本から確認したい場合は、Vibe Codingガイドを参照してほしい。
ポイントは、この30%がプロトタイプの段階では見えないことだ。デモでは問題なく動く。社内テストでも動く。だが本番に出した瞬間に問題が表面化する。
なぜか。プロトタイプとは、すべてが正常に動く前提のコードだからだ。本番環境では、ネットワークが切れる、ユーザーが想定外の操作をする、同時アクセスが集中する、外部APIが落ちる。こうした「異常系」への対応が、プロトタイプにはない。
セキュリティの基本から押さえたい場合は、Vibe Codingのセキュリティ基礎も参考になる。
費用と期間の目安
「本番化にいくらかかるのか」——最もよく聞かれる質問だ。
結論から言うと、プロトタイプの規模と複雑さによる。ただし、目安はある。
小規模なWebアプリ(MVP)
- 対象: 社内ツール、シンプルなSaaS、LP + フォーム + 管理画面
- 本番化にかかる工数: 2〜3週間
- 費用目安: 50万〜80万円
- 主な作業: セキュリティ修正、認証の実装、基本的な監視設定、デプロイパイプライン構築
中規模なWebアプリ
- 対象: ユーザー向けSaaS、EC、マッチングサービス
- 本番化にかかる工数: 3〜4週間
- 費用目安: 80万〜120万円
- 主な作業: 上記に加え、パフォーマンス最適化、バックアップ設計、エラーハンドリング全般、テスト整備
大規模・高リスク
- 対象: 決済機能あり、個人情報を大量に扱う、医療・金融領域
- 本番化にかかる工数: 1ヶ月以上
- 費用目安: 120万円〜(規模により変動)
- 主な作業: セキュリティ監査、負荷テスト、コンプライアンス対応、障害復旧手順の策定
注意すべき点がある。「プロトタイプを安く作ったから、全体の開発費が安くなる」とは限らない。AI生成コードの品質が低い場合、本番化よりゼロから書き直した方が早いケースもある。
費用の詳細な比較は、AIプロトタイプから本番化のコスト比較でシナリオ別に整理してある。本番化前のセルフチェックには、本番化チェックリストを使ってほしい。
自分でやるか、任せるか
本番化の作業を自社で行うか、外部に委託するか。判断基準は3つある。
基準1: 技術力
本番化に必要な技術は、プロトタイプを作る技術とは別物だ。
Vibe Codingでプロトタイプを作れることと、本番環境のインフラを設計できることは、まったく別のスキルセットになる。具体的には以下の知識が必要になる。
- クラウドインフラの構築・管理(AWS、GCP、Vercelなど)
- セキュリティの実装(OAuth、RBAC、暗号化)
- データベースの設計と最適化
- CI/CDパイプラインの構築
- 監視・ログ・アラートの設定
社内にこれらのスキルを持つエンジニアがいるか。いない場合、学習コストと期間を含めて判断する必要がある。
基準2: 時間
本番化には2〜4週間かかる。その間、他のプロジェクトが止まる。
スタートアップで「来月リリースしないと競合に先を越される」という状況なら、自社で全部やる余裕はない。一方、社内ツールで急ぎでないなら、学習を兼ねて自社で取り組む価値はある。
基準3: リスク許容度
セキュリティ事故が起きた時のダメージはどの程度か。
社内の5人が使う業務ツールなら、多少の不備があっても影響は限定的だ。一方、顧客の個人情報を扱うサービスで情報漏洩が起きれば、事業の存続に関わる。
リスクが高いほど、経験のある専門家に任せるべきだ。
判断のフレームワーク
| 状況 | 推奨 |
|---|---|
| 技術力あり + 時間あり + 低リスク | 自社で対応 |
| 技術力あり + 時間なし | 外部委託で時間を買う |
| 技術力なし + 低リスク | 自社で学習しながら対応。失敗しても影響が小さい |
| 技術力なし + 高リスク | 外部委託が必須。セキュリティ事故のコストの方が高い |
外部に委託する場合の選び方は、AI受託開発パートナーの選び方で評価基準をまとめてある。
AI生成コードを事業に活かすために
AIコーディングツールは、開発の民主化を実現した。非エンジニアでもプロトタイプを作れるようになった。これは間違いなく革命的だ。
ただし、プロトタイプと本番サービスは別物だ。この区別を曖昧にすると、セキュリティ事故、データ消失、サービス停止といった形でコストを払うことになる。
整理すると、こうなる。
- AIの生成能力を活かす。 プロトタイプの作成、アイデア検証、UIの試作にはAIを最大限使う。速度は圧倒的に上がる
- 「最後の30%」を軽視しない。 セキュリティ、認証、運用設計、監視——本番化に必要な作業を省略しない
- 自社の状況に合った方法を選ぶ。 技術力、時間、リスクの3軸で、自社対応か外部委託かを判断する
AI新規事業の立ち上げ方全般については、AI新規事業ガイドも合わせて読んでほしい。
AIのスピードを活かしつつ、本番品質を担保する。プロトタイプを本番サービスに仕上げる。
それが「あとしまつ」だ。
関連ガイド
この記事を書いているFloat Engineeringは、新規事業の検証から開発まで手がける会社です。 6週間の仮説検証プログラム「LITMUS」と、AIで作ったコードを本番化する「あとしまつ」サービスを提供しています。
事業アイデアの壁打ちからでも構いません。