ESAA-Security: An Event-Sourced, Verifiable Architecture for Agent-Assisted Security Audits of AI-Generated Code

本論文は、AI 生成コードのセキュリティ監査において、LLM との自由な対話ではなく、イベントソーシングと検証可能なアーキテクチャを用いて、再現性のある証拠に基づく監査プロセスを実現する「ESAA-Security」フレームワークを提案しています。

要約

この論文は、**「AI が書いたコードのセキュリティチェックを、ただの『会話』ではなく、厳格な『裁判記録』のような仕組みで行う」**という新しい方法を提案しています。

タイトルは**「ESAA-Security」**（エスアア・セキュリティ）と呼ばれています。

以下に、専門用語を使わず、日常の例え話を交えてわかりやすく解説します。

---

1. 問題：AI の「おしゃべり」は信用できない？

今、AI（大規模言語モデル）に「このコードを直して」「セキュリティチェックして」と頼むと、すごく速く作業してくれます。でも、ここに大きな落とし穴があります。

• 例え話：
  AI にセキュリティチェックを頼むのは、「天才的な料理人に『この料理に毒がないか見て』と頼む」ようなものです。
  料理人は「大丈夫そうですよ、見た目も綺麗だし！」と自信満々に答えます。でも、もしその料理人が「どこで毒を入れたか、いつ毒を入れたか、なぜ毒が入ったか」を記録していないとしたら、あなたは本当に安心できますか？
  従来の AI によるチェックは、この「おしゃべり（会話）」だけで終わってしまい、「なぜそう判断したのか」「どこをチェックしたのか」の証拠が残らないという問題がありました。

2. 解決策：ESAA-Security の「事件記録簿」方式

この論文が提案する「ESAA-Security」は、AI との会話をやめて、**「厳格な手続きを踏んだ事件調査」**に変えることを提案しています。

• 核心のアイデア：
  AI は「自由な発言」をせず、**「決められたフォーマットで証拠を提出する」必要があります。そして、その証拠は「書き換え不可能な記録簿（イベントログ）」**に次々と追加されていきます。

• 例え話：
  これは**「裁判所の記録」や「銀行の通帳」**に似ています。

  • AI（調査員）： 「犯人（バグ）が見つかりました！」と叫ぶのではなく、「証拠 A を発見しました。場所はここ、重さはこれです」と書式が決まった報告書を提出します。
  • オーケストレーター（裁判長）： AI の報告がルールに合っているかチェックし、合っていれば**「記録簿」にハンコを押して確定**させます。
  • 記録簿（イベントログ）： 一度書かれた記録は二度と消せません。後から「実はここは間違ってた」と書き換えたり、都合のいいように消したりすることはできません。

3. 仕組み：4 つのステップで完璧なチェック

このシステムは、チェックを 4 つの段階（フェーズ）に分けて、まるで**「探偵が事件を解決する」**ように進めます。

1. 偵察（Reconnaissance）：
   • 「この建物（コード）の構造はどうなっている？入り口（攻撃経路）はどこ？」と地図を描きます。
2. 現場調査（Domain Audit）：
   • 「鍵（認証）はしっかりかかっているか？窓（入力値）は壊れていないか？」と、16 の分野（鍵、窓、配管など）を順番にチェックします。
3. リスク分類（Risk Classification）：
   • 見つかった問題を整理します。「これは致命傷（クリティカル）」「これは軽傷（ロー）」とランク付けし、優先順位をつけます。
4. 最終報告（Final Reporting）：
   • 全ての証拠をまとめて、誰にでもわかる「事件報告書」と、技術者向けの「修理マニュアル」を作成します。

4. なぜこれがすごいのか？（3 つのメリット）

この方法は、単に「バグを見つける」こと以上に、**「その結果を信じていいか」**を証明することに重点を置いています。

1. 再現性（リプレイ可能）：

   • 「なぜその結論になったのか？」が、記録簿を最初から読み返す（リプレイする）ことで、誰でも同じ結果が得られることを証明できます。
   • 例え： 「裁判の記録を最初から読み直せば、同じ判決が下されるはずだ」と言える状態です。

2. 証拠の明確さ：

   • AI が「たぶんここが危ないかも」と曖昧に言うのではなく、「この行のコードが、このルールに違反している」と具体的な証拠を提示します。

3. 改ざん不可能：

   • 一度記録された結果は、後から「実は大丈夫だった」と書き換えられません。これにより、「本当にチェックしたのか？」という疑念を消し去ります。

5. まとめ：AI の「直感」から「証拠」へ

この論文が伝えたい一番のメッセージは、**「AI にセキュリティチェックを任せるなら、その結果が『AI の気分』ではなく『厳格な証拠』に基づいていることを保証する仕組みが必要だ」**ということです。

• 従来の方法： 「AI さん、チェックして！」→「はい、大丈夫そうです（でも証拠なし）」
• ESAA-Security： 「AI さん、ルールに従って証拠を提出し、記録簿に確定させてください」→「はい、記録簿に『この部分に穴あり』と確定しました。後から誰が見ても同じ結果です」

これは、AI が作るコードが爆発的に増えている現代において、**「AI の作ったものを、人間が安心して使えるようにする」**ための、非常に重要な「信頼の基盤」を作る試みだと言えます。

技術概要

以下は、提示された論文「ESAA-Security: An Event-Sourced, Verifiable Architecture for Agent-Assisted Security Audits of AI-Generated Code」の技術的な詳細な要約です。

1. 問題定義 (Problem)

AI 支援によるソフトウェア生成は開発速度を向上させた一方で、機能的に正しいシステムが構造的に脆弱であるという永続的な工学的課題を浮き彫りにしました。特に、大規模言語モデル（LLM）を用いたプロンプトベースのセキュリティレビューには以下の重大な欠陥があります。

• カバレッジの偏り: 網羅性が不十分で、特定の脆弱性を見逃すリスクがある。
• 再現性の欠如: 結果がプロンプトの文脈に依存し、同じ条件で再実行しても同じ結果が得られない。
• 検証不可能な発見: 脆弱性の発見が自由形式の文章（ナラティブ）に留まり、証拠や根拠が構造化されていない。
• 改ざん不可能な監査証跡の欠如: 中間ステップや状態変更の履歴が追跡できず、最終結論の信頼性が担保されていない。

AI 生成コードや「Vibe Coding（雰囲気コーディング）」の文脈では、認証、入力検証、秘密鍵管理、依存関係の衛生状態など、多くのセキュリティリスクが見過ごされがちです。

2. 手法とアーキテクチャ (Methodology & Architecture)

ESAA-Security は、従来の「LLM との自由な対話」というアプローチを捨て、**「証拠指向の監査プロセス」**としてセキュリティレビューを再定義するアーキテクチャです。これは、ESAA（Event-Sourced, Agent-Assisted）アーキテクチャのセキュリティ分野への特化版です。

中核的な設計思想

• イベントソーシングと CQRS: 可変状態のレポジトリのスナップショットではなく、付加専用（Append-only）のイベントログを「真実の源（Source of Truth）」とします。現在の状態は、これらのイベントから決定論的に投影（Projection）して再構築します。
• エージェントとオーケストレーターの分離:
  • エージェント: 構造化された意図（Structured Intentions）を制約付きプロトコル下で発行するのみ。直接状態を変更しない。
  • オーケストレーター: エージェントの出力を契約（Contracts）に基づいて検証し、承認されたイベントのみをログに永続化します。
• ** Replay-based Verification（再生による検証）:** イベントログから状態を再構築し、ハッシュ値による整合性検証を行うことで、監査結果の再現性と完全性を保証します。

監査ワークフロー（4 フェーズ）

セキュリティ監査は、以下の 4 つのフェーズ、26 タスク、16 のセキュリティドメイン、95 の実行可能チェックに構造化されています。

1. 偵察 (Reconnaissance): 技術スタック、アーキテクチャ、データフロー、攻撃対象領域の特定。
2. ドメイン監査実行 (Domain Audit Execution): プレイブック駆動でリポジトリを監査（1 ドメインにつき 1 タスク）。
3. リスク分類 (Risk Classification): 発見された問題を脆弱性インベントリ、深刻度分類、リスクマトリクスに集約。
4. 最終報告 (Final Reporting): 技術的修復策、ベストプラクティス、経営層向け要約、最終監査レポートの生成。

実行プロトコルと不変性 (Invariants)

プロセスの信頼性を担保するため、以下の不変条件（Invariants）が適用されます。

• 作業前の宣言 (Claim-before-work): タスク開始前に「宣言」し、その後に作業を行う。
• 作業後の完了 (Complete-after-work): 作業完了時に検証証拠と制限されたファイル更新を伴って「完了」を宣言。
• ロック所有権: 完了はタスクを所有するアクターのみが実行可能。
• 境界管理: ファイル更新は許可された境界内でのみ行われる。
• 失敗時の閉鎖 (Fail-closed): 無効な遷移やスキーマ違反は状態変更前に拒否される。

3. 主要な貢献 (Key Contributions)

1. ESAA-Security の提案: AI 支援で生成・修正されたソフトウェアリポジトリを対象とした、証拠ベースのセキュリティ監査のためのドメイン特化型アーキテクチャ。
2. 管理された監査パイプラインの定義: 制約付きエージェント出力、付加専用イベント永続化、決定論的再投影、再生ベースの検証を組み合わせたワークフロー。
3. セキュリティレビューのオペラショナル化: 4 フェーズ、26 タスク、16 ドメイン、95 チェックへの具体化。チェックレベルの発見からリスク指向の最終レポートまでの構造化出力の生成。
4. 評価枠組みの再定義: 単なる脆弱性の数え上げではなく、追跡可能性、再現性、カバレッジの明示性、アーティファクトの完全性、修復の有用性を評価基準とする。

4. 結果と出力物 (Results & Outputs)

ESAA-Security は、自由形式の文章ではなく、構造化された証拠オブジェクトとして結果を出力します。

• 構造化された発見: チェック ID、ステータス、深刻度、コード/設定の証拠、技術的説明、修復ガイドを紐付けたオブジェクト。
• 脆弱性インベントリとリスクマトリクス: ドメインごとの発見をシステムレベルの状態に変換し、CRITICAL から INFO までの深刻度と CIA（機密性、完全性、可用性）に基づく影響度で分類・優先順位付け。
• 最終レポート:
  • 技術的修復策: 優先度の高い問題に対する具体的なエンジニアリング指導。
  • ベストプラクティス: ドメインごとの繰り返し教訓と強化ガイド。
  • 経営層要約: 0-100 のセキュリティスコアと最重要リスクを含む意思決定支援アーティファクト。
  • 形式: 人間可読な Markdown レポートと構造化された JSON レポート。

5. 意義と結論 (Significance & Conclusion)

ESAA-Security の最大の意義は、AI 支援セキュリティ監査の概念を「プロンプトの質」から「管理された実行プロセスの質」へと転換させた点にあります。

• 信頼の単位の変化: 自由形式のモデルの意見から、プロトコル有効かつ再生可能で検証可能な「監査状態」へと信頼の基盤を移転。
• AI 生成ソフトウェアへの適応: 開発速度が速く、文脈が断片的になりがちな AI 支援開発環境において、一貫性と追跡可能性を維持する唯一の現実的なアプローチを提供。
• 限界と今後の展望: 現時点ではプレイブックの質に依存し、ペネトレーションテストの代わりにはなりませんが、OWASP/ASVS に準拠した内部監査成熟度を高めるための基盤となります。今後は CVSS 統合、ハイブリッド DAST、複数リポジトリ監査などへの拡張が予定されています。

結論として、ESAA-Security は、AI 生成コードの時代において、**「範囲が明示的、証拠が構造化、実行が制約され、最終状態が検証可能」**という新しいセキュリティ監査のパラダイムを確立するものです。