codist Fun Notes
記事一覧に戻る
AI × 内製トレンドの限界と危うさ —「作れる」と「公開できる」の間にある深い溝
AI セキュリティ 内製開発 SaaS

AI × 内製トレンドの限界と危うさ —「作れる」と「公開できる」の間にある深い溝

| Mitamura, supervised by Advisor
目次を表示

はじめに

先日、「SaaS の死」という話題について codist の見解を述べさせていただきました。

SaaSの死についての見解

この記事では「SaaS は死んでいない、むしろ AI と組み合わせることで価値が上がっている」という主張をしましたが、今回はその議論の裏側にある、もうひとつの重要なテーマについてお話しします。

それは、AI × 内製トレンドの限界と危うさです。

生成AIがもたらした「アプリ開発の民主化」

生成AIの急速な発展により、アプリ開発へのハードルは劇的に下がりました。Claude や ChatGPT といった生成AIに自然言語で指示を出すだけで、専門知識がなくてもアプリの形が見えてくる。いわゆる 「バイブコーディング (Vibe Coding)」 と呼ばれる開発手法が広まり、個人や中小企業のお客様がご自身でアプリを開発するという事例を、最近非常に多く耳にするようになりました。

実際に、企業が全社員に AI を使ったアプリ開発を推奨する動きも出てきており、「自分の業務課題は自分で解決する」という意識が広がりつつあります。これ自体は素晴らしい変化です。

個人や現場の担当者が、自分の手で業務改善ツールを形にできる。これは間違いなく、ここ 10 年で最も大きな生産性革命のひとつです。

しかし現実は、「公開の壁」で止まってしまう

ところが、弊社にお問い合わせをいただく中で見えてくるのは、うまくいっている例がほぼない、という厳しい現実です。

多くのケースでは、

  • デプロイ (公開) の段階で止まってしまう
  • あるいは、セキュリティに重大な問題を抱えたままデプロイされている

という状態が散見されます。

「ローカル環境では動いた」「プレビューでは見えた」というところまでは到達できても、それを実際にインターネット上に公開し、安全に運用し続けるというのは、全く別次元の話なのです。

よくある相談パターン

実際にご相談いただくケースを匿名化してご紹介すると、

  • 「社内用に作った便利ツールを、取引先にも使ってもらおうとしたら、ログイン機能の作り方が分からず止まっている」
  • 「AI の指示通り Vercel / Netlify にデプロイまでは行ったが、気づけば API キーがフロントエンドに丸見えだった」
  • 「S3 バケットを公開にして画像を配信していたが、意図せず社外秘のファイルまで読めてしまう状態になっていた」
  • 「認証を入れたつもりが、実は URL を直接叩けば誰でもデータを取得できた」

こうした事象は、特別に手を抜いた結果ではなく、「動くこと」と「安全に公開できること」が地続きに見えてしまうがゆえに起きます。 生成AIは前者は得意ですが、後者は利用者側の前提知識が大きく影響します。

アプリを公開するには、多層にわたる検討が必要

アプリを公開するにあたっては、想像以上に多岐にわたる検討事項があります。これを OSI モデル (ネットワークの階層モデル) に沿って整理すると、その複雑さが見えてきます。

L7 (アプリケーション層) の検討事項

  • ログイン・認証機能の設計 (ID/パスワード、OAuth、MFA 対応)
  • ユーザー権限の管理 (誰が何を閲覧・編集できるか)
  • 入力値のバリデーション (SQL インジェクション、XSS 対策)
  • エラーハンドリングとログ出力
  • API レート制限、不正利用検知

L6・L5 (プレゼンテーション層・セッション層) の検討事項

  • セッションの保持期間 (タイムアウト設定)
  • Cookie のセキュリティ設定 (HttpOnly、Secure、SameSite)
  • HTTPS / TLS の適切な設定 (証明書の管理、更新)
  • CORS (クロスオリジン) ポリシーの設定

L4・L3 (トランスポート層・ネットワーク層) の検討事項

  • ファイアウォール / WAF (Web Application Firewall) の設定
  • ACL (アクセス制御リスト) による通信制限
  • DDoS 対策
  • ポート開放の最小化
  • 内部通信と外部通信の分離 (VPC、サブネット設計)

「できた」ことと「ちゃんと動き続ける」ことの断絶

これらの検討事項を、アプリを開発した経験がない方が AI のサポートだけでベストプラクティスに沿って、あるいは要件に沿った形でデプロイするのは、率直に申し上げて非常に困難です。

仮に運良く達成できた場合でも、「なぜそうなったのか」を本人が理解していないため再現性がなく、ナレッジとしてチームに共有することもほぼ不可能な状態になります。結果として、せっかく作ったアプリがその場限りの実験で終わってしまう、あるいは属人化してしまい、作った本人が離れた瞬間に誰も触れないブラックボックスが残る、というケースが多く見られます。

codist でも AI だけには頼らない

弊社 codist でも、もちろん生成AIを積極的に活用し、社内業務や開発案件に取り組んでいます。しかし、開発会社である私たちでさえ、生成AIに頼るだけではなく、顧問などの外部専門家からアドバイスを取り入れながら開発を進めています。

そして実際のところ、こうした専門家からの指摘には、生成AIからは出てこない観点が多々含まれています。たとえば、

  • 業界特有のセキュリティ要件 (金融、医療、公的機関など)
  • 運用フェーズを見据えた設計 (監査ログ、障害対応、BCP)
  • 法令対応に関する注意点 (個人情報保護法、電子帳簿保存法、GDPR)
  • 過去のインシデント事例から導かれる「やってはいけない設計」

いずれも、「現在の生成AIが出すコード」には基本的に反映されていない、あるいは聞き方が上手い人にしか引き出せない領域です。

開発会社ですらこうした外部の知見を必要としているのですから、個人や中小企業のお客様が単独でこれらの課題を乗り越えるのは、さらに困難だと言えるでしょう。

もしこのブログをお読みの皆さまの中に、

  • せっかく形にしたアイディアを活かせていない
  • デプロイで躓いている
  • セキュリティが不安で公開に踏み切れない

といった方がいらっしゃいましたら、ぜひお気軽に弊社までお声がけください。

中小企業・個人のお客様が AI でアプリ開発する際の Tips

ここからは、専門家に相談する以外の選択肢として、中小企業のお客様や個人のお客様が AI を使ってアプリを開発される際に役立つ Tips をお伝えします。

まずは SaaS を積極的に活用する

冒頭でご紹介した SaaSの死についての見解 でも触れましたが、弊社では SaaS アプリを自社で持っているわけではありません。しかし、SaaS は積極的に活用しています。

SaaS を活用することで、先ほど挙げたようなデプロイにまつわる検討事項がほぼゼロになります。認証、権限管理、セキュリティ、インフラ運用、バックアップ、コンプライアンス対応といった複雑な領域は、その道のプロが構築・運用しているサービスに任せられるため、自分たちは本来やりたいことに集中でき、スピード感を持って業務を進められるのです。

「SaaS にお金を払う」のは、単に機能にお金を払っているわけではなく、「セキュリティと運用にかかる見えない工数を買っている」 と考えると、費用対効果の見え方が変わってきます。

自社のフロント画面を持ちたい方には「BaaS」という選択肢

一方で、「SaaS をそのまま使うのではなく、自社独自のフロント画面を持ちたい」「業務にぴったり合った UI を持ちたい」というお客様もいらっしゃるかと思います。

そうした場合には、BaaS (Backend as a Service) という考え方でアプリを構築されると、うまくいく場合があります。

イメージとしては、SaaS をヘッドレス (画面なし) で利用し、UI については自社で内製するという開発手法です。

代表的な BaaS / 付随サービスには、たとえば次のようなものがあります。

領域 代表的なサービス例
データベース + 認証 + ストレージ Supabase、Firebase
認証・ID 管理 Auth0、Clerk、Amazon Cognito
業務データ基盤 Salesforce (API / MCP 経由でヘッドレス的に利用)
決済 Stripe、Square
メール配信 SendGrid、Resend

この手法を用いることで、インフラやログイン周り、権限管理といった複雑化しやすいロジックを外部に切り出すことができます。結果として、セキュリティ面で非常に強固になり、責任共有モデルの観点からも運用・開発効率に優れた開発方法と言えます。

責任共有モデルで考える

「責任共有モデル (Shared Responsibility Model)」は、もともとクラウドベンダーがよく使う用語ですが、SaaS / BaaS 活用においても同じ考え方が当てはまります。

おおまかには、

  • SaaS / BaaS 提供者側が担保する領域: 物理インフラ、OS、ミドルウェア、認証基盤、データ保護、可用性、コンプライアンス認証
  • 利用者 (=あなた) 側が担保する領域: アプリケーション層のロジック、ユーザーへの権限付与、業務データの正しさ、利用者アカウント管理

という分担になります。この線引きを理解して「プロに任せられる部分はプロに任せる」と割り切ることで、自分たちのリソースを本当に差別化に効く部分に集中投下できます。

逆に、AI で一から内製するという選択をすると、上記のほぼすべてを自分側で引き受けることになります。これが「公開の壁」の正体です。

おわりに

ここまで、中小企業や個人のお客様が AI を使ってアプリを開発される際の Tips として、SaaS の活用や BaaS という考え方についてお伝えしました。

ただ、それでも

  • 「どの SaaS が自社に合っているのか」
  • 「BaaS として使うには具体的にどうすればいいのか」
  • 「今ある内製アプリを、安全な形で公開し直すにはどうしたらいいのか」

といった疑問やお悩みが出てくることもあるかと思います。

codist では、AI を活用した開発のご支援、内製アプリのご相談、これから業務効率化のためにアプリ開発を検討されているお客様など、さまざまなご相談を承っております。そんなときは、ぜひお気軽に弊社までお問い合わせください。

「作れる時代」から、「安全に届けられる時代」へ。 その橋渡しを、codist がお手伝いします。

記事一覧に戻る