「土曜の朝、受発注システムが落ちていると顧客から電話が来た。情シスがサーバを覗いても、いつから・何が原因で落ちたのか、ログが何も残っていない。再起動したら動いた。でも、なぜ落ちたのかは今も分からない。来週また落ちるかもしれない。」 ── これは、AI に書かせて素早く立ち上げた業務システムを運用している中堅企業で、実際によく聞く話です。
もっと怖いのは、「障害」ではなく「侵入」だった場合です。何者かが管理画面に入り、データを抜き、設定を書き換えても、ログも監視もアラートもなければ、あなたはそれが起きたことすら知りません。気づくのは数週間後、数ヶ月後、あるいは取引先や警察からの連絡で初めて、です。Mandiant の年次調査「M-Trends」では、攻撃者がシステムに潜伏してから検知されるまでの世界の中央値 (median dwell time) が 14 日 (M-Trends 2026、2025 年調査ベース) とされています。これは検知体制を持つ組織の実例ベースの値であり、ログも監視もない環境では、この数字はさらに大きく悪化します。
本記事は連載「バイブコーディング危機」第 20 回として、バイブコーディング (vibe coding = AI に書かせて雰囲気で作る開発スタイル) が可観測性 (オブザーバビリティ) を default で出さない理由、欠如で起きる 4 つの最悪、可観測性の 3 本柱 (ログ/メトリクス/トレース) と監査ログの違い、最低限の入れ方、悪い例/良い例のコード、30 分チェックリスト、いつ GXO に相談すべきかを、OWASP / NIST / Mandiant / IBM の一次ソースで整理します。
本記事は連載「バイブコーディング危機」第 20 回です。 「気づかない」という構造を扱う点で、第 6 回(ランサムウェアに気づかない 6 ヶ月 + EDR / MDR 選択)、第 9 回(バックアップが「ある」のに復旧できない検証不足)、第 5 回(DELETE FROM データ消失 + 安全機構) と地続きの話です。前回 第 19 回(テストがなく直すたびに壊れるリグレッション) も合わせてどうぞ。連載全体は 特集ハブ からたどれます。
目次
- なぜ AI 生成コードはログ・監視を default で出さないのか
- 可観測性ゼロで起きる 4 つの最悪
- 可観測性の 3 本柱(ログ / メトリクス / トレース)と監査ログの違い
- 「いつ・誰が・何を」が追えないと何が困るのか(実害シナリオ)
- 悪い例 / 良い例:構造化ログ
- 最低限の入れ方 7 ステップ
- 個人データ (PII) をログに出さない注意
- ログ集約 SaaS / SIEM / SOC の選び方
- 中堅企業向けチェックリスト(30 分で取れる対策)
- いつ GXO に相談すべきか
- まとめ
- 参考一次ソース
なぜ AI 生成コードはログ・監視を default で出さないのか
「AI が書いたコードなら、ちゃんとログも入れてくれるはず」と思うかもしれません。実際は逆です。AI 生成コードは構造的にログ・監視・アラートを出さない傾向があります。理由は次の 5 つです。
理由 1: プロンプトに「動くもの」しか要求していない
バイブコーディングの指示は「ログイン画面を作って」「注文を保存できるようにして」が中心です。「いつ誰が何をしたか記録して」「異常時にアラートを出して」とは指示しません。AI は要求されたこと(=機能)だけを満たすコードを返します。ログや監視は「明示的に頼まれない限り省略される非機能要件」です。
理由 2: チュートリアル的な最短コードを生成しがち
AI は学習データ上、最小で動くサンプルを再現する傾向があります。サンプルコードは「動かして見せる」ことが目的で、本番運用に必要なログ設計・監視・保存期間は含まれていません。console.log で握りつぶす、エラーを try/catch で黙って捨てるといった、デモには十分でも運用には致命的なパターンが量産されます。
理由 3: ログは「横断的関心事」で散らばりやすい
ログ・監視は特定の 1 機能ではなく、システム全体に一貫して仕込む必要のある横断的関心事 (cross-cutting concern) です。AI に 1 ファイルずつ書かせる作り方では、全体を貫く設計が生まれにくく、ある画面はログを出すが別の画面は何も出さないという穴だらけの状態になります。
理由 4: 「監視されている前提」を持っていない
AI は「このシステムは誰がどう運用・監視するか」という運用文脈を知りません。死活監視・エラー率アラート・ログ保存期間・改ざん対策は、運用者が決めるべき要件であり、コード生成だけでは決まりません。
理由 5: OWASP が警告する「定番の欠落カテゴリ」そのもの
ログ・監視の不足は、AI 以前から続くアプリ開発の定番欠陥です。OWASP Top 10 (2021) では「A09: Security Logging and Monitoring Failures(セキュリティログと監視の不備)」として独立カテゴリに位置づけられています。OWASP は「ログイン・アクセス制御・サーバ側入力検証の失敗を、不審なアカウントを特定できる十分な文脈とともに記録し、後追いのフォレンジック分析ができる期間だけ保持すべき」と明記しています。AI 生成コードは、専門家のレビューが薄い環境では、この欠陥を初期状態のまま本番に運んでしまうわけです。
注記: 本記事は「ログがないと必ず侵入される」と断定するものではありません。専門家のチェックが薄いバイブコーディング環境で、A09 型の欠落が放置されやすいという警鐘として、公開ガイドラインを参照します。
AI ASSESSMENT
PoC の前に「そもそも使えるか」を30分で見極めませんか?
情シス部門の稟議書作成をサポートする無料の30分壁打ち。ROI 試算シート・失敗要因チェックリストをその場で共有します。
可観測性ゼロで起きる 4 つの最悪
ログ・監視・アラートが無いシステムでは、次の 4 つが順番に、あるいは同時に起きます。
最悪 1: 障害の原因が永遠に分からない(再発し続ける)
ログがなければ、障害は「再起動したら直った」で終わります。根本原因 (root cause) が特定できないため、同じ障害が繰り返し起きます。情シスは毎回「とりあえず再起動」で対症療法を続け、本質は放置されます。顧客には「原因は調査中です」としか言えません。
最悪 2: 侵入・不正アクセスに気づけない(検知が致命的に遅れる)
監視・アラートがなければ、不正ログイン・データ持ち出し・権限昇格が起きても通知が一切来ません。前述のとおり M-Trends 2026 の世界中央 dwell time は 14 日ですが、これは検知能力を持つ組織の値です。ログ・監視ゼロの環境は、攻撃者にとって「侵入しても見つからない」理想の標的になります。連載 第 6 回(ランサムに気づかない 6 ヶ月) で扱った長期潜伏の構造は、まさにログ・監視欠如が前提です。
最悪 3: 監査ログがなく「誰がやったか」を追跡できない(責任追跡不能)
「顧客データが書き換わっている」「マスタが消えている」── では誰が、いつ、どの操作で? 監査ログ (audit log) がなければ、内部不正なのか、外部侵入なのか、運用ミスなのかすら切り分けられません。退職者がアカウントを持ち続けていた可能性も検証できません(この論点は連載 第 8 回(退職者ブラックボックス) を参照)。インシデント発生時、個人情報保護委員会への報告や取引先への説明で、「何件・どの範囲が影響したか」を答えられないのは致命的です。
最悪 4: MTTR(平均復旧時間)が悪化し、停止が長引く
可観測性は復旧速度に直結します。MTTR (Mean Time To Repair / Recovery:平均復旧時間) は、検知 → 原因特定 → 修正 → 復旧の各段階でログ・メトリクス・トレースを使って短縮されます。これらが無いと、まず「どこが壊れたか」を手探りで探す時間が発生し、復旧が何時間も、時に何日も長引きます。IBM「Cost of a Data Breach Report 2024」では、データ侵害の特定に平均 194 日、封じ込めに 64 日、合計 258 日 (約 8.5 ヶ月) とされています。検知が遅れるほど被害は広がり、コストは膨らみます。
4 つの最悪の連鎖
| 起点 | 可観測性がある場合 | 可観測性ゼロの場合 |
|---|---|---|
| 障害発生 | ログで原因特定 → 恒久対策 | 再起動で対症療法 → 再発 |
| 侵入 | アラートで即検知 → 封じ込め | 数週間〜数ヶ月放置 |
| 不正操作 | 監査ログで追跡 → 範囲特定 | 誰が・何をか不明 → 説明不能 |
| 復旧 | MTTR 短縮 | 手探りで長期停止 |
可観測性の 3 本柱(ログ / メトリクス / トレース)と監査ログの違い
「ログを入れればいい」と一括りにされがちですが、目的の違う 4 種類を区別すると、何が足りないかが見えます。
3 本柱の役割
| 種別 | 答える問い | 具体例 | 主な用途 |
|---|---|---|---|
| ログ (Logs) | 「何が起きたか」 | エラー内容、リクエスト、操作記録 | 原因究明・調査 |
| メトリクス (Metrics) | 「どれくらい起きているか」 | エラー率、応答時間、CPU/メモリ、リクエスト数 | 傾向把握・アラート発火 |
| トレース (Traces) | 「どこで詰まったか」 | 1 リクエストが複数サービスを通る経路と所要時間 | 性能劣化・ボトルネック特定 |
中堅企業のシステムでは、まず**ログとメトリクス(+メトリクスに基づくアラート)**を固めるのが最優先です。トレースは、複数サービスに分かれた構成(マイクロサービス等)で効果が大きくなります。
監査ログ (Audit Log) は別物
ここが見落とされがちです。監査ログは「アプリの動作記録」ではなく「誰が・いつ・何に対して・どんな操作をしたか」を後から証跡として追える、改ざんに耐える記録です。デバッグ用のログとは目的・保護レベルが違います。
| 観点 | 一般ログ | 監査ログ |
|---|---|---|
| 目的 | 障害調査・デバッグ | 責任追跡・証跡・コンプライアンス |
| 記録対象 | エラー、処理経過 | ログイン、権限変更、データ閲覧/更新/削除、設定変更 |
| 改ざん耐性 | 任意 | 必須(追記専用・書き換え不可) |
| 保存期間 | 数十日〜 | 規程・法令に応じて長期(年単位もあり得る) |
| 削除権限 | 運用者 | 原則誰も消せない設計 |
**「障害は追えるが、誰が何をしたかは追えない」**という状態は珍しくありません。3 本柱と監査ログは別レイヤーとして両方そろえる必要があります。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
「いつ・誰が・何を」が追えないと何が困るのか(実害シナリオ)
抽象論ではなく、中堅企業で実際に詰む場面を 3 つ挙げます。
シナリオ A: 顧客から「身に覚えのない注文がある」と問い合わせ
不正ログインの疑い。しかしログイン履歴も操作ログもないため、「本当にその顧客のアカウントから操作されたのか」「他の顧客も被害に遭っているか」を確認できません。範囲が分からないので、全顧客にパスワード再設定を呼びかける大事になり、信用を失います。
シナリオ B: マスタデータが一部消えている
監査ログがないため、運用ミス・内部不正・外部侵入のどれかを切り分けられません。バックアップから戻そうにも「いつの時点で消えたか」が分からず、どこまで巻き戻すべきか判断できません(バックアップそのものの落とし穴は連載 第 9 回 を参照)。
シナリオ C: 「個人データが漏れたかもしれない」
改正個人情報保護法では、一定の漏えい等の場合に個人情報保護委員会への報告と本人通知が求められます。しかしアクセスログがなければ、「何件・どの項目が・実際に持ち出されたのか」を立証できません。報告内容を確定できず、最悪は「範囲不明のまま全件影響の前提で対応」という最大コストの対応を迫られます。
この 3 つに共通する教訓
いずれも「攻撃を防げなかった」こと以上に、「起きたことを把握・証明できない」ことが致命傷になっています。可観測性は防御策であると同時に、インシデント後の説明責任を果たすための装備です。
悪い例 / 良い例:構造化ログ
ログは「出していればいい」のではなく、後から機械的に検索・集計できる形 = 構造化ログ (structured logging) であることが重要です。
悪い例:握りつぶし+非構造
// 悪い例1: エラーを黙って捨てる(何も残らない)
try {
await db.updateOrder(orderId, data);
} catch (e) {
// 握りつぶし。障害が起きても痕跡ゼロ
}
// 悪い例2: 人間向けの文字列。検索も集計も困難
console.log("order updated by user " + userName + " at " + new Date());
// 悪い例3: パスワードや個人情報をそのままログに出す
console.log("login attempt: ", req.body); // password が平文で残る
これでは、障害時に grep しても拾えず、PII がログに漏れ、しかも肝心のエラーは消えています。
良い例:構造化+文脈+PII 除外
// 良い例: JSON 構造化ログ。文脈つき・PII は出さない
import { logger } from "./logger"; // pino / winston 等
try {
await db.updateOrder(orderId, data);
logger.info({
event: "order.updated",
actorId: user.id, // 誰が(IDのみ。氏名/メールは出さない)
orderId, // 何を
requestId: req.id, // 追跡用の相関ID
ts: new Date().toISOString(),
});
} catch (err) {
logger.error({
event: "order.update_failed",
actorId: user.id,
orderId,
requestId: req.id,
err: { name: err.name, message: err.message }, // stack は環境で制御
});
throw err; // 握りつぶさず、上位に伝播
}
ポイントは 4 つです。①event 名を機械可読に統一(order.updated 等)し集計・アラート条件を書けるようにする、②誰が・何を・いつ・相関 ID を必ず含める、③エラーは握りつぶさず記録して再 throw、④氏名・メール・パスワードなど PII は ID やマスク値に置き換える。
監査ログは「別ストア・追記専用」で
監査対象(ログイン、権限変更、データ削除など)は、デバッグログと混ぜず専用テーブル/専用ストアに追記専用 (append-only) で記録し、アプリの一般権限では更新・削除できないようにします。これが「誰も消せない証跡」の最低条件です。
最低限の入れ方 7 ステップ
完璧な可観測性基盤をいきなり目指す必要はありません。中堅企業がまず止血するための優先順を示します。
ステップ 1: 構造化ログを全体に統一導入
console.log をやめ、ロギングライブラリ(Node なら pino / winston、Python なら標準 logging + JSON 整形等)でJSON 構造化ログに統一します。最低限のフィールドは event / actorId / requestId / ts / level。
ステップ 2: 記録すべきイベントを決める(特にセキュリティ系)
OWASP A09 が挙げるログイン成功/失敗、アクセス制御の拒否、サーバ側入力検証の失敗は必ず記録します。加えて、権限変更・重要データの作成/更新/削除・設定変更・決済を監査対象にします。
ステップ 3: 保存期間と改ざん対策を決める
ログは消えれば調査できません。保存期間を明文化し(一般ログは最低でも数十日〜、監査ログは規程・法令に応じて長期)、NIST SP 800-92 が示すように保持期間中は破棄しない・期間を過ぎたら適切に処理する運用を定めます。監査ログは追記専用・権限分離・別ストアで改ざん耐性を確保します。
ステップ 4: 死活監視(ヘルスチェック + 外形監視)
「動いているか」を常に見ます。アプリに /health エンドポイントを設け、外形監視(UptimeRobot / Better Stack / Pingdom 等)から定期チェックし、落ちたら即通知。これだけで「顧客より先に障害を知る」状態になります。
ステップ 5: エラー率・エラー通知アラート
エラーが一定率を超えたら通知が飛ぶようにします。エラートラッキング(Sentry 等)を入れると、例外の発生・急増を自動で Slack/メールに通知でき、ステップ 1 のログと組み合わせて原因に最短で到達できます。
ステップ 6: ログ集約(1 か所に集める)
サーバが複数あると、ログが各所に散ってしまいます。ログ集約 SaaS(Datadog / Better Stack / Grafana Loki / Elastic 等)に集約し、串刺し検索・ダッシュボード・しきい値アラートを一元化します。
ステップ 7: 通知経路を二重化し、当番を決める
アラートがSlack だけだと深夜に気づきません。重要アラートは Slack + メール(+必要に応じて電話/SMS)に分け、**「誰が一次受けするか」**を決めておきます。通知が来ても誰も見ない状態では、監視が無いのと同じです。
優先度マップ
| ステップ | 効果 | 着手難度 | 優先 |
|---|---|---|---|
| 1 構造化ログ | 調査が可能になる | 中 | 最優先 |
| 4 死活監視 | 障害に最速で気づく | 低 | 最優先 |
| 5 エラー通知 | 異常の早期検知 | 低 | 高 |
| 2 監査イベント | 責任追跡・法対応 | 中 | 高 |
| 3 保存/改ざん | 証跡の信頼性 | 中 | 高 |
| 6 ログ集約 | 横断調査 | 中 | 中 |
| 7 通知/当番 | 検知を行動に | 低 | 中 |
個人データ (PII) をログに出さない注意
可観測性を入れる過程で新たな事故を生むのが、ログへの個人情報・機密の混入です。これは可観測性の「やりすぎ」ではなく、設計の必須要件です。
OWASP の Logging Cheat Sheet は、パスワード、メール本文、健康・公的識別子などの機微な個人データ・PII はログに出すべきでないとし、必要なければ削除・スクランブル・仮名化 (pseudonymization) を行うよう推奨しています。AI 生成コードは前述の悪い例のように req.body 丸ごとログ出力といったパターンを書きがちで、ここに平文パスワードやクレジット情報が紛れ込みます。
ログに出してよい / 出してはいけない
| 出してよい | 出してはいけない(マスク/除外) |
|---|---|
| ユーザー ID(内部識別子) | 氏名・メールアドレス・電話番号 |
| 相関 ID / リクエスト ID | パスワード・トークン・API キー |
| イベント名・処理結果 | クレジットカード番号・口座情報 |
| ステータスコード・所要時間 | マイナンバー等の公的識別子・健康情報 |
ログに PII を出してしまうと、ログ集約 SaaS(外部)に機微情報を送る = 委託・越境移転の論点にもつながります。委託先・再委託の整理は連載 第 18 回(個人情報保護法と委託先) と合わせて確認してください。**「監視のために集めたログが、次の漏えい源になる」**という本末転倒を避ける設計が要ります。
ログ集約 SaaS / SIEM / SOC の選び方
「どこまでやるか」は企業規模とリスクで段階的に決めます。用語を整理します。
- ログ集約 SaaS: ログを 1 か所に集めて検索・可視化・アラートする基盤(Datadog / Better Stack / Grafana Loki / Elastic 等)。まずここから。
- SIEM (Security Information and Event Management): ログをセキュリティ観点で相関分析し、攻撃の兆候を検知する仕組み。
- SOC (Security Operation Center): SIEM のアラートを人間が 24 時間監視・判断する体制。内製は人員的に重く、中堅企業は外部 (MSSP / MDR) 活用が現実解です。
段階別の目安
| フェーズ | やること | 想定する企業状態 |
|---|---|---|
| フェーズ 0 | 構造化ログ + 死活監視 + エラー通知 | まず「気づける」状態を作る |
| フェーズ 1 | ログ集約 SaaS で串刺し検索・ダッシュボード | サーバ/サービスが複数 |
| フェーズ 2 | SIEM でセキュリティ相関分析 | 個人データ/決済を扱う、規制対応が必要 |
| フェーズ 3 | SOC(外部 MSSP/MDR で 24h 監視) | 夜間・休日も含め検知/初動が必要 |
中堅企業(情シス 1〜3 名)は、フェーズ 0 を最優先で固め、リスクの高い領域からフェーズ 1〜3 へ段階的に進めるのが現実的です。24 時間監視の内製は人員的に成立しにくく、SIEM/SOC は外部委託(MDR)が基本線になります(EDR/MDR の選び方は連載 第 6 回)。
設計や運用を相談する場合は、マネージド SOC(24 時間監視の外部委託) や SIEM / SOAR 構築・運用 が出発点になります。「そもそも自社のログ・監視がどこまで欠けているか」を客観的に知りたい場合は、セキュリティ診断 で現状の可視化から始められます。可観測性を組み込んだシステムへ作り直す(リアーキ)局面なら、システム開発・改修 としての対応が必要です。
中堅企業向けチェックリスト(30 分で取れる対策)
今日、30 分で自社の可観測性の穴を洗い出すためのチェックリストです。
| # | チェック項目 | 確認方法 | 危険度 |
|---|---|---|---|
| 1 | 本番システムにログが残っているか | サーバ/コンソールで直近のログを実際に見る | 致命 |
| 2 | ログは構造化(JSON 等で検索可能)か | grep/検索でイベントを絞り込めるか | 高 |
| 3 | ログイン成功/失敗が記録されているか | 自分でログイン→ログに出るか確認 | 致命 |
| 4 | 重要データの更新/削除が監査ログに残るか | テストデータを更新→記録されるか | 致命 |
| 5 | 監査ログはアプリ権限で消せない設計か | 削除を試して拒否されるか | 高 |
| 6 | ログ保存期間が決まっているか | 何日で消えるか即答できるか | 高 |
| 7 | システム停止に「顧客より先に」気づけるか | 死活監視/外形監視があるか | 致命 |
| 8 | エラー急増時に通知が飛ぶか | 意図的にエラーを出して通知を確認 | 高 |
| 9 | アラートの通知先と一次受け当番が決まっているか | 深夜のアラートを誰が見るか即答できるか | 中 |
| 10 | ログに PII(氏名/メール/パスワード等)が出ていないか | ログを目視・検索で確認 | 致命 |
「致命」が 1 つでも当てはまれば、可観測性ゼロのリスク領域です。とくに #1・#3・#4・#7・#10 は最優先で着手してください。
いつ GXO に相談すべきか
次のいずれかに当てはまる中堅企業は、自力での後付けが難しい段階に来ています。専門家を入れる閾値として使ってください。
- 障害が起きても原因が分からず、再発している(ログがない/読めない)
- 「侵入されても気づけない」状態だと薄々分かっている(監視・アラートがない)
- 個人データ・決済・取引情報を扱うのに、誰が何をしたかの監査ログがない
- インシデント時に「何件・どの範囲が影響したか」を答えられる自信がない
- ログに PII が混入していそうだが、止め方も影響範囲も分からない
- 情シスが 1〜3 名で、24 時間の監視・初動が物理的に不可能
このような場合、まずは セキュリティ診断 で可観測性の欠落を可視化し、必要に応じて SIEM / SOAR の構築・運用 や マネージド SOC(外部 24h 監視) で検知体制を補い、根本的にはログ・監査ログを組み込んだ形へ システム開発・改修 で作り直す、という順序が王道です。「攻撃を防ぐ」より前に「起きたことを把握・証明できる」状態を作ることが、AI 時代の中堅企業の最低線になります。
まとめ
本記事の要点を 7 行でまとめます。
- AI 生成コードはログ・監視・アラートを default で出さない(頼んでいない/最短コード/横断的関心事/運用文脈なし/OWASP A09 の定番欠落)。
- 可観測性ゼロでは、障害原因不明(再発)・侵入検知遅れ・監査ログなしで責任追跡不能・MTTR 悪化の 4 つが連鎖する。
- 検知体制があっても侵入の発覚は遅れる(M-Trends 2026 の世界中央 dwell time 14 日)。ログ・監視ゼロはさらに悪化する。
- 3 本柱(ログ/メトリクス/トレース)と監査ログは別物。前者は調査、後者は改ざん耐性ある「誰が何をしたか」の証跡。
- 最低限の入れ方は 構造化ログ → 死活監視 → エラー通知 → 監査イベント → 保存/改ざん対策 → ログ集約 → 通知二重化の順。
- 監視のために集めたログに PII を混入させない(マスク・仮名化)。さもないとログが次の漏えい源になる。
- 中堅企業は フェーズ 0(気づける状態)を最優先に、SIEM/SOC は外部委託で段階的に。診断 → 検知体制補強 → リアーキの順で。
次回以降の連載でも、AI 任せの開発が抱える「見えないリスク」を、中堅企業が今日動ける形で整理していきます。
参考一次ソース
本記事の事実認定で参照した一次/公式ソース一覧:
検知・侵入統計
- Mandiant / Google Cloud「M-Trends 2026」(世界中央 dwell time 等)
- Mandiant / Google Cloud「M-Trends 2025」
- IBM「Cost of a Data Breach Report 2024」(特定 194 日 + 封じ込め 64 日 = 258 日)
ログ・監視のガイドライン
- OWASP Top 10:2021 「A09: Security Logging and Monitoring Failures」
- OWASP Cheat Sheet Series「Logging Cheat Sheet」(PII をログに出さない)
- NIST SP 800-92「Guide to Computer Security Log Management」(保存期間・ログ管理)
- NIST SP 800-61 Rev 2「Computer Security Incident Handling Guide」
国内公的機関 / 法令
関連記事
- 第 5 回 DELETE FROM データ消失 + AI が書かない安全機構
- 第 6 回 ランサムウェアに気づかない 6 ヶ月 + EDR / MDR 選択
- 第 8 回 退職者ブラックボックス(属人化と権限の放置)
- 第 9 回 バックアップが「ある」のに復旧できない検証不足
- 第 18 回 個人情報保護法と委託先の落とし穴
- 第 19 回 テストがなく直すたびに壊れるリグレッション
- 連載特集ハブ:バイブコーディング危機
「障害も侵入も、起きたことすら追えない」── そのシステム、可観測性ゼロかもしれません。
GXO は中堅企業(年商 30300 億・情シス 13 名)向けに、外部 CTO / セキュリティ顧問、AI 生成コードの脆弱性診断、ログ・監視・監査ログの設計と運用ルール整備までを段階的に支援します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
著者: GXO株式会社 初回公開: 2026 年 6 月 9 日 最終更新: 2026 年 6 月 9 日 連載: バイブコーディング危機 第 20 回