ここ数年、AI時代において最も価値を発揮するのはセキュリティの専門知識を持つ人間ではなく、社内業務のプロセスや業界の構造を理解している人間——つまりドメイン知識を持つ人間なのではないだろうか。断定するにはまだ材料が足りない部分もあるが、一つの見立てとして書き留めておきたい。

こう言うと、「セキュリティ人材の価値が下がるはずがない」と反論されるかもしれない。実際、セキュリティの観点を重視したプロンプトを与えてAIにコードを生成させたとしても、その脆弱性は人間が生成したものより多い、という研究結果がある。AIの書いたものは無条件に信じられるレベルにはまだ達していないようだ。だからこそ、脆弱性を見抜ける人間の価値は高い——そこまでは、大方の同意が得られるところだろう。ただ、その「脆弱性を見抜く力」の中身をよく見てみると、性質の異なる二種類のものが混ざっているように思える。
一つは、コードそのものに内在する脆弱性である。SQLインジェクション、XSS、認証の不備。これらはOWASP Top10のように、もう何年も前から名前がついているパターンだ。実際、セキュリティ専門の企業がGitHub上で公開している、CodeQLやSemgrepを使った静的解析スキルをClaude上で走らせることもできる。既知の脆弱性パターンを一通りスキャンする、という作業自体はもはや特別なことではなくなりつつある。もちろん、これで完全に穴が塞がるわけではない。検知漏れは残るし、最終的な判断には人の目も要る。それでも、人間が一行ずつ目視で追わなくてもある程度のところまでは自動で防御できるようになってきているのではないか。だとすれば、ここは今後数年で機会化が進んでいる領域なのかもしれない。
もう一つは、ビジネスフローに内在する脆弱性である。この認証フローを一段飛ばすとどうなるか。このキャンセル処理と返金処理を組み合わせるとどんな抜け道が生まれるのか。この画面遷移は、繁忙期のオペレーションでは想定通りに機能するのか。こうした穴は、コードの構文レベルには一切現れない。仕様書通りに正しく実装されたコードであっても、業務の実態を知らなければ、その組み合わせが生む悪用の余地には気づけないはずだ。OWASPのリストのどこにも、「この部署のこの承認者が休みの日にこの処理を回すと不正ができる」とは書いていない。
だとすれば、ここにドメイン知識を持つ人間の出番があるように思う。技術的な脆弱性への対策は、パターン化できるがゆえに自動化が進みやすく、専門家一人が張り付く必要性は少しずつ薄れていくのかもしれない。一方、ビジネスフローに内在する脆弱性は、業界ごと、会社ごと、部署ごとに構造が異なるため、パターン化がしにくいのではないか。エンジニアやセキュリティ専門家がどれだけ丁寧にヒアリングをしたとしても、本場で業務をしている人間の理解度には及ばないだろう。結局のところ、AIにその抜け道を見抜かせるためには、業務の文脈をこちらが織り込んでやる必要がある。それを最終的に見抜けるのは、今のところドメイン知識を携えた現場の人間なのではないかと思う。
つまり、AIの進化がもたらしているのは、セキュリティという仕事そのものの価値低下というより、「技術で守る仕事」から「業務理解で守る仕事」への価値の重心の移動なのかもしれない。だとすれば、この重心はドメイン知識を持つ人間の側に少しずつ傾いていくものではなかろうか。AIがどれだけ賢くなっても、業務の勘所という意図をそこに織り込ませることができるのは、まだ現場の人間だけなのだから。
ただし、この優位に永続の保証はないだろう。もし今後、AIが専門知識を食べてうまく消化し、自信のパフォーマンスにその知識が十全に機能するようになれば——喜ばしいかな、悲しいかな、おそらくその仕事はもはや属人的なものではなくなり、人間がする仕事ではなくなっている可能性が高い。ドメイン知識の優位性とは、AIの現在の限界の裏返しに過ぎないのかもしれない。だからこそ、「ここ数年は」なのだと思う。
チェックリストは、いずれ自動で回るようになるだろう。だが、その先の穴を塞ぐのは、まだしばらくは人間なのではなかろうか。
2026年7月