何が起きたか
英国 NCSC は 2026 年 6 月 18 日に Principal Security Architect による新しいブログ記事を公開し、『バイブ・コーディング・スペクトラム』フレームワークを紹介した。完全自律型 AI コーディング(低リスク・プロトタイプ)から手動レビュー(認証ロジック、CNI、認証情報)まで、AI 生成コードに対してどの時点でどの程度の人的監督を適用すべきかについて、構造化されたリスク相応のガイダンスを提供する。リスク・プロファイルがより高い自律性に向かう場合、実務者が参照すべき技術的ベースラインとして ETSI TS 104 223(AI モデル・システムのベースライン・サイバーセキュリティ要件、2025 年 5 月公開)を明示的に参照している。
なぜ重要か
これは AI コーディング・エージェント(『バイブ・コーディング』)のセキュリティ・ガバナンスに特別に対応した初の NCSC 発行実務フレームワークである。IOActive の研究で特定された AI コード・セキュリティ・ギャップを運用化し、Claude Code、Cursor、GitHub Copilot などのツールを導入している開発チーム向けのガイダンス空白を埋める。スペクトラム・モデルはセキュリティ・アーキテクトに具体的な監査ツールを提供する — コード重要性を必須オーバーサイト・レベルにマッピングする — AI 生成コードが最小限のレビューで本番認証、データ処理、CNI システムに進出している時点で。
必要な対応
スペクトラム・モデルを直ちに採用する:各コードベースまたはモジュールをそのリスク層(プロトタイプ対本番重要)にマッピングし、それに応じて AI コーディング・オーバーサイトを調整する。高リスク・コードの場合、4 ステップ・レビュー・サイクル(レビュー、理解、脆弱性チェック、動作検証)を適用する。より高い自律性シナリオ内の AI システムについて ETSI TS 104 223 ベースライン要件を参照する。