SIerの見積もりが安くなる話に半分同意して半分同意できない理由
「3日50万円で作れるシステムに800万円」という記事に現役フリーランスエンジニアが半分同意して半分同意できない理由。AI生成コードの45%に脆弱性がある現実と、800万→50万→500万の着地予測。
コラム
kkm
Backend Engineer / AWS / Django
確かに開発費用は安くなる、それは間違いない
私の最初のまともな仕事は設備工事、いわゆる空調屋さんでした。ある現場で大型機械を搬入するとき、何社かが協力して養生テープで機械や床を傷つけないように保護する作業をやりました。
きれ〜〜いにビシッと養生していた会社と、なんか雑っぽい養生の会社がありました。素人だった私は当然、きれいな方を見て「すごいなぁ」と思っていた。
ところが当時の社長に言われました。「あのきれいなのはダメだ。守るべき部分が守られてない」と。カーブのところが見た目を意識して直角に養生されているけれど、実際に機械を通すとカーブではみ出して傷がつく。一方で雑に見えた方は、ああいう危ないポイントが何重にも保護されていた。
きれいなほうはやたら時間もかけていた。汚いほう(笑)は力を入れるところとリスクが低いところを経験で見極めて、時間も材料も無駄なく配分していた。見た目がきれいなことと、ちゃんと守れていることは、まったく別の話だったのです。
私は今ソフトウェアを開発していますが、設備屋で学んだこの感覚はずっと残っています。そしていま、AIコーディングの話を見ていると、あのきれいな養生を思い出します。
先日、自分のサイトで「3日50万円で作れるシステムに4ヶ月800万円」―AIがSIer業界の価格構造を壊し始めたというニュース記事を書きました。きしだなおき氏のブログ記事を起点に、SIerの人月商売が崩壊し始めている現状をまとめたものです。
で、この話に半分同意して、半分同意できない。
まず同意する部分。工数が激減したのは疑いようのない事実です。私はフリーランスエンジニアとして毎日コードを書いていますが、AIを本格的に使い始めてから、自分の見積もり感覚そのものを見直さないといけないと思うくらいに実装速度が上がりました。
だから「人月が減って開発費用が安くなっていく」という方向性は、正しいと思います。これは止められない。
ただし、ひとつ大事な前提があります。そもそも腕のいいSIerや開発者は、昔から実装にそこまで時間をかけていなかった。設計に時間をかけて、実装してみて気づいて戻って、テストで気づいてまた戻って。しかもこの「戻る」は開発者が自分のコードを直すという意味じゃなくて、多くの場合はお客さんに「こういうユースケースがあるから、こういう作りにしたほうがいいですよ」と提案して仕様を調整することです。実装ミスの修正はもちろんあるけれど、本質はそこじゃない。4ヶ月800万円の内訳は「実装に4ヶ月」じゃない。
AIで速くなったのは実装の部分だけです。設計やテスト設計の工数はそのまま残る。なのに「3日でできた」と言っている人たちは、実装レベルで手こずっていた層がイキり出して、設計やテスト設計を蔑ろにしているだけなんじゃないか。これが「3日50万円」の正体だと私は思っています。
問題は「安くなった先で何が起きるか」です。
「AIを活用したエンジニア」って誰のことを言っているのか
SIerの価格破壊を語るとき、よく出てくるのが「AIを活用したエンジニアなら短期間で作れる」という表現です。私はこの「AIを活用したエンジニア」という言葉に引っかかっています。
当然、腕のいいエンジニアはたくさんいます。そういう人がAIを道具として使いこなしているケースは素直にすごいと思う。
でも正直なところ、今「AIに書かせれば早くて品質も高くてすごいのが簡単に作れる!」的なノリで語っている人たちの多くは、そもそも今の時点でAIに技術力を追い抜かれている初級〜中級くらいのエンジニアだという印象があります。
そういう人がAIに全部書かせて「できました」と言っているものは、ぶっちゃけ穴だらけです。
なぜか。AIにできるのは「伝えたことと、伝えたことから多少の文脈を推論してコードに落とし込む」ことだけだからです。以前「AIが配った『もっともらしさの武器』が人を殴っている」というコラムでも書きましたが、AIは「書いていないこと」を判断できません。
- — 何をやらないかの判断
- — 何を守るかの優先順位
- — トレードオフが発生したときどちらを取るかの意思決定
これらは人間のエンジニアが設計判断として行うもので、AIは苦手というか、そもそも担当範囲ではありません。使い捨ての1 Issueを解決するのにAIを使うのは非常にいい。でも、これまで見積もり相場で1000万近い発注をしていたような複数機能があるシステムをAIで数日で「完成」させるのは、まったく別の話です。
AIが書けないもの―エッジケース、セキュリティ、「やらないこと」の判断
具体的に言います。AIで数日で「完成」させたシステムで何が起きるか。
| 領域 | AIが得意なこと | AIが苦手なこと |
|---|---|---|
| 機能実装 | 「ログイン機能を作って」→ 動くものは出る | ブルートフォース対策、 セッション管理の設計判断 |
| エッジケース | 指示されたケースの ハンドリング | 「指示されていない」 異常系の想定 |
| セキュリティ | 既知の脆弱性パターンの 回避(指示すれば) | 認可ロジック、ビジネスロジック レベルの脆弱性検出 |
| 設計判断 | 提示されたアーキテクチャの 実装 | 何を作らないか、 何を優先するかの判断 |
以前「LLMに95%書かせたOSSをレビューしてみた」というコラムでも書きましたが、AIが書いたコードは「動く」ところまでは速い。でも「動くけど安全ではない」ものを大量に生産するのが今の現実です。
これまでは人間が手書きしていたからこそ、「これじゃ納品できない品質だね」という判断が途中で入っていました。でもAIが書いたコードは、もはや全部読んでいない。読まずに「AIが書いたから大丈夫だろう」で納品してしまう。そして問題が起きる。
AI生成コードの45%にセキュリティ欠陥がある
「感覚論だろ」と言われそうなので、データを出します。
| 調査元 | 対象 | 結果 |
|---|---|---|
| Veracode (2025年) | 100以上のLLM、 80のコーディングタスク | 45%にセキュリティ欠陥。 Javaは70%超。XSS防御 失敗率86% |
| Carnegie Mellon大学 (SUSVIBES) | 200の実タスク、 複数のAIコーディング エージェント | 機能テスト合格率61%、 セキュリティテスト合格率 10.5% |
| Tenzai (2025年12月) | 5つのAIツール (Cursor, Claude Code, Codex, Replit, Devin) | 15アプリで69の脆弱性。 全ツールでSSRF検出。 認可ロジック欠陥多数 |
各調査の詳細データを見る
Veracode GenAI Code Security Report (2025)
100以上のLLMに対してJava、JavaScript、Python、C#の80のコーディングタスクを実行。新しいモデルや大規模モデルでも、セキュリティ性能はほとんど改善していない。言語別ではJavaが70%超と最もリスクが高く、Python・C#・JavaScriptでも38〜45%の失敗率。特にクロスサイトスクリプティング(CWE-80)の防御失敗率は86%、ログインジェクション(CWE-117)は88%。
Carnegie Mellon大学 SUSVIBES (2025)
過去にセキュリティ修正が行われた実プロジェクトから200タスクを抽出し、複数のAIコーディングエージェントに再実装させた。機能テストに合格したコードのうち、約80%がセキュリティテストに不合格。よくある問題はパスワードチェックのタイミングリーク、リダイレクト時のヘッダー改ざん許容など。
Tenzai Security Audit (2025年12月)
Cursor、Claude Code、Codex、Replit、Devinの5ツールに同一仕様のWebアプリを3つずつ作らせ、計15アプリを監査。検出された69の脆弱性のうち約45件がlow-medium、残りがhigh、6件がcritical。全5ツールでSSRF(サーバーサイドリクエストフォージェリ)が発生。最も深刻だったのはAPI認可ロジックの欠陥で、「誰がこのリソースにアクセスできるか」の判断を全ツールが誤った。
特に注目してほしいのはCarnegie Mellonの数字です。動くものは61%作れる。でもそのうち安全なのは10.5%しかない。つまり「動いたから納品しよう」で通してしまうと、9割近いコードが潜在的なセキュリティリスクを抱えたまま本番に出ていくことになります。
そしてVeracodeの指摘で怖いのが、モデルが進化しても安全性は改善していないという点です。新しいモデル、大きいモデルを使っても、セキュリティ欠陥の割合はほぼ変わっていない。「AIが進化すれば解決する」という楽観論は、少なくとも今のデータでは支持されていません。
800万が50万になって、そのあと何が起きるか
ここからは私の予測です。
まず、システム開発の費用は一旦大幅に下がります。これは止められない。AIによって工数が減るのは事実なので、「800万円の見積もりに4ヶ月800万円を払う」ことに対するクライアントの疑問はどんどん大きくなる。
次に、安くなった分だけ品質が下がります。今の「バイブコーディング」のノリ―適当にコンテキストを渡してAIに任せて終わり―でシステムを量産すると、エッジケースもセキュリティもまともに考慮されていないものが市場にあふれます。
そしてそこで、どでかいセキュリティインシデントが何回か起きます。AI生成コードの認可ロジック欠陥を突かれて個人情報が漏洩する、とか。SSRF経由で内部ネットワークに侵入される、とか。そのとき初めて「あのやり方はまずかった」と業界全体で気づくことになる。
で、揺り戻しが来ます。完全に適当なバイブコーディングは流石に終わっていることがわかって、もうちょっと洗練されたAI活用―人間がちゃんと設計して、AIに実装させて、人間がレビューする―に移行する。結果として工数も金額もちょっと戻ってくる。
適当な数字を言えば、800万が50万になって問題が大量に出て、落ち着くところは800万が500万になるくらいじゃないかと思っています。
ただし、もう一つのシナリオも正直に書いておきます。AIがその辺の品質も十分なレベルで勝手に担保してくれるようになる、という未来です。セキュリティもエッジケースも認可ロジックも、人間が指示しなくてもAIが自分で考慮する。AIの進化速度を考えると、これも十分あり得る。というか、あっという間にそうなるかもしれない。
そうなったら800万が50万のまま定着して、500万への揺り戻しすら起きない。エンジニアの仕事の定義そのものが変わる。今の時点ではまだそうなっていないから「品質が危ない」と言えるけれど、この記事の賞味期限が1年あるかどうかは正直わかりません。
まあ一方で、そもそも腕がなくていくら工数をかけてお金をかけてもボロボロのものを納品してしまうSIerはめちゃくちゃいたわけで、一概に「AI=品質が下がる」とも言いません。元々ひどかったものがAIでさらにひどくなるのか、元々ひどかったものがAIで少しマシになるのか。それはケースバイケースです。
ただ確実に言えるのは、「安くなった」と「品質が保たれた」は別の話だということです。
基礎工事を省いた家は地震で崩れる
冒頭の養生の話に戻ります。きれいに養生していた会社は、見た目に時間をかけて、肝心のカーブを守れていなかった。AIで「3日でできました」と言っているコードにも、同じにおいがします。動く。きれい。でも守るべきところが守られていない。
基礎や配筋を手抜きした家は、地震が来るまでは普通に見えます。問題は、手抜きに気づくのが地震のあとだということです。
もうひとつ、あの社長に言われたことを思い出します。「俺たちがやるべきなのは、見もしない天井裏の配管をきれいに並べることじゃない。10年壊れずに動かすために、どこにどう配管とガスと配線を通すかだ」と。天井裏の見た目なんて誰も見ない。でも10年後にコンプレッサーが壊れたとき、交換しやすい配管の取り回しになっているかどうかで修理費が何倍も変わる。
システムを作っていても同じことを思います。今この瞬間に言われた機能を実装して、今の要件だけ問題なく動くのは当然です。でも1年後、2年後に「こうしたい」「ああしたい」と言われたとき、破壊的変更なしで対応できるかどうかは初期設計にかかっている。その設計判断は、天井裏の配管の取り回しと同じで、今日の納品物には見えません。
800万が50万になるのは、ある意味では正しい未来です。でも「750万円分の何が消えたのか」を意識しないと、見た目だけきれいで中身がスカスカのシステムが量産されることになります。
価格が下がること自体は歓迎します。ただ、下がった先で品質まで一緒に下がらないように―そこはコードを読む人間の仕事として残り続けるはずです。
参照元
- 1. きしだなおき ― 3日50万円で作れるシステムに4ヵ月800万円かけれなくなっている(2026年3月20日)
- 2. Veracode ― 2025 GenAI Code Security Report
- 3. Carnegie Mellon University ― The Impact of AI-Assisted Development on Software Security (SUSVIBES)
- 4. Tenzai ― Bad Vibes: Comparing the Secure Coding Capabilities of Popular Coding Agents(2025年12月)
- 5. BusinessWire / Veracode ― AI-Generated Code Poses Major Security Risks in Nearly Half of All Development Tasks(2025年7月30日)
- 6. The New Stack ― Vibe Coding Could Cause Catastrophic 'Explosions' in 2026
- 7. SecurityWeek ― Vibe Coding Tested: AI Agents Nail SQLi but Fail Miserably on Security Controls
- 8. kkm-mako.com ― 「3日50万円で作れるシステムに4ヶ月800万円」―AIがSIer業界の価格構造を壊し始めた
- 9. kkm-mako.com ― AIが配った「もっともらしさの武器」が人を殴っている
- 10. kkm-mako.com ― LLMに95%書かせたOSSをレビューしてみた
