GitLab、AIエージェントに「例外なし監査」を導入——Claude Opus 4.7統合で企業向け開発基盤を強化

AIが書いたコードを誰が承認し、どこに記録が残るのか。その問いに、開発者向けプラットフォームのGitLabが一つの答えを出した。2026年4月28日、同社はAIが行う全操作を例外なく既存の監査ログに自動記録する仕組みを発表した。

GitLabが「AIの全操作を記録する仕組み」を発表

GitLab（ギットラブ）は、ソフトウェア開発の工程を一元管理するプラットフォームだ。コードの作成から審査、本番環境への反映まで、開発チームの作業をひとつの画面で管理できる。Fortune 100企業の50%が採用し、登録ユーザーは世界5,000万人を超える。

今回の発表の核心は「GitLab Governed AI（ガバーンドAI）」と呼ばれる仕組みだ。Anthropic（アンソロピック）が開発するAIモデル「Claude Opus 4.7」を、GitLabの開発支援機能「GitLab Duo Agent Platform」に組み込み、AIエージェント——人間の代わりに自律的に作業するAI——が行う操作を、既存の記録・承認ルートに自動で載せる構造を実装した。

AIの行動も人間と同じ承認プロセスを通る

従来、企業がAIを現場に導入する際には、管理体制（ガバナンス）を別途構築する必要があった。誰がAIの変更を承認するか、操作ログをどこに保存するか——そうした仕組みを追加でつくる作業だ。Governed AIはその作業を不要にする設計を採っている。AIの操作が、最初から既存の記録・承認フローに組み込まれているためだ。AIだからといって例外はない。

欧州のオペレーション管理企業Cubeはこの機能の早期導入企業の一つとしてGitLabが挙げている。ただし、具体的にどの機能を採用したか、開発速度や承認工数が定量的にどう変化したかといった詳細は公表されていない。

バグの自動修正も全工程が記録される

具体的に見てみよう。ソフトウェアの不具合（バグ）が検出されると、AIエージェントが修正候補を作成する。このとき、AIが何を変更したか、なぜ変更したか、いつ変更したか——これらすべてが、人間が作業した場合と同じフォーマットで監査ログに残る。変更が本番環境に反映される前には、設定された承認フローが走る。後から「誰が（何が）、いつ、何をしたか」を追跡できる状態が、自動的に維持される仕組みだ。

同時に実装された管理機能

Governed AIの発表と同時に、GitLabはいくつかの管理機能を実装した。いずれも「既存の管理枠組みの外に出ない」という設計原則を共有している。

AIのコストと権限を管理者が制御できる

AIの利用料は、使い方次第で大きく変動する。上限なしで動かすと、月末に予想外の請求が届くリスクがある。GitLabは「GitLabクレジット」という単位でAIの利用量を管理できるようにした。組織全体での上限も、特定のユーザーへの割り当ても、管理者の設定ひとつで決まる。AI費用の予測不能な膨張を、事前に抑えられる。

もう一つの変化は、AIを使う権限の粒度だ。従来は組織の管理者だけがAI機能を有効化できた。今回からは、プロジェクトの担当者レベルでも、自分が担当するプロジェクトに限定してAIを導入できるようになった。「全社で一斉に入れるか入れないか」という二択から解放される。現場が必要と判断したプロジェクトから、段階的に試せる。

自社ネットワーク内だけで運用できる

AIをクラウドサービスとして使うとき、企業のコードや設計情報が外部のサーバーを経由する。それが許容できない業種がある——金融、医療、政府関連だ。GitLabは自社ネットワーク内で完結する構成にも対応した。外部にデータを出さずに、Governed AIの機能をそのまま利用できる。

セキュリティの欠陥を検出から修正まで自動化

「Agentic SAST（エージェンティック・サスト）」は、コードのセキュリティ欠陥を自動で検出・修正する機能だ。従来のツールは欠陥を検出して一覧に報告するところで止まっていた。修正を書くのは人間の仕事だった。Agentic SASTはその先まで進む——欠陥の検出から修正コードの生成、担当者へのレビュー申請まで、AIエージェントがひとつながりの工程として完結させる。人間が介入するのは最終承認だけになる。AIが行った修正の全工程が記録に残る点は変わらない。

なぜ今このタイミングだったのか

開発の現場では、AIを入れたのに速くならないという逆説が起きていた。GitLabの調査では、AIを導入した企業の開発者が週に平均7時間を「AIの出力を既存ツールに橋渡しする手作業」に費やしているとしている。ただしこの数字は同社が実施した調査に基づくものであり、調査設計の詳細は公表されていない。開発を速くするために入れたAIが、手動の調整と承認待ちを増やし、全体のスピードを落とす——GitLabはこれを「AIパラドックス」と呼ぶ。今回の設計は、その矛盾への直接の答えとして位置づけられている。

規制の圧力も重なっていた。欧州のサイバーレジリエンス法や米国のNISTガイドラインは、AIが行った操作の記録を企業に義務づける方向で具体化しつつある。「AIで速くしたい」という欲求と「全操作を記録しなければならない」という義務が、現場でぶつかっていた。

関連ニュース

すべての新着情報を見る →

新着

15時間前 2026.05.08

残高・ポイントをAIが判断し決済まで完結　MUFGがGoogle提携

新着

15時間前 2026.05.08

56車種を45に絞り、自動運転を標準化——日産がAIで「量より質」に舵を切った

新着

1日前 2026.05.07

OpenAIのCFO部門が実験台に　PwCと組んで財務AIを大企業へ

新着

1日前 2026.05.07

OpenAI、全ユーザーの標準AIを刷新——「幻覚5割減」で企業実務の壁を崩す

新着

2日前 2026.05.06

AI事前審査、何を見ているのか——Google・Microsoft・xAIも合意で5社出揃う

新着

2日前 2026.05.06

Accentureを介さずAI企業が直接来る、OpenAIとAnthropicが同日JV発表

3日前 2026.05.05

Anthropicが自社エンジニアを顧客企業に常駐派遣、中堅市場へ本格参入

4日前 2026.05.04

「発見→チケット→修正」のワークフローが崩れる——AnthropicがAIセキュリティツールを本格展開

4日前 2026.05.04

製品ゼロで評価額15兆円、ソフトバンク新会社「Roze」のIPO計画が映す孫正義の次の賭け

5日前 2026.05.03

映像データを外に出さずAIが動く、工場のセキュリティ課題を解いたエッジ通信技術