AI駆動開発を実現するためのアーキテクチャと取り組み

Transcript

1. AI駆動開発を実現するための アーキテクチャと取り組み
 baseballyama


2. 本日のメインメッセージ
 人間がやるべきこと を見極め
 それ以外は 完全自動化 を目指せ


3. 横断で使うもの
 実装支援
 壁打ち・相談
 最近のAIツール振り返り (感覚)
 Gemini
 ChatGPT
 Codex
 Claude Code


   コードレビュー
 Codex
 Claude Code
 その他
 (自社では今は使っていないもの)
 GitHub Copilot

4. None
5. None

6. AIにほとんどの実装を任せられる
 状況に近づいている感覚がある


7. ということは...


8. 開発作業全てを
 AIに任せられる状況になったのか❔


9. NO


10. そもそもソフトウェア開発とはなんなのか
 There are many things that make software development complex.

    
 But the heart of this complexity is the essential intricacy of the problem domain itself.
 If you’re trying to add automation to complicated human enteprise, then your software cannnot dodge this complexity — all it can do is control it. 
 
 ソフトウェア開発の複雑さの核心は、自動化しようとして いる対象領域（ドメイン）そのものが持つ本質的な複雑さ にあります。ソフトウェアは、その複雑さから逃れることは できず、それをうまく制御（コントロール）することしかでき ないのです。


11. 本日のメインメッセージ
 人間がやるべきこと を見極め
 それ以外は 完全自動化 を目指せ


12. 今日はこれを深掘り
 していきましょう


13. baseballyama 自己紹介
 • baseballyama (山下 裕一朗)
 • 株式会社フライル
 ◦ ソフトウェアエンジニア


    
 • Svelte コアチームメンバー
 ◦ 元々は Svelte コンパイラを担当
 ◦ 最近は主に eslint-plugin-svelte や svelte-eslint-parser を担当
 
 本日スポンサーブースを出しています! 
 ぜひお話しましょう! 
 便利なポーチが貰えます。 


14. ソフトウェア開発における3つのフェーズ
 ①ドメイン理解
 ②要件定義・設計
 ③実装
 業務を理解する
 IT化する方法を考える
 IT化を実現する


15. ソフトウェア開発における3つのフェーズ
 ①ドメイン理解
 ②要件定義・設計
 ③実装
 業務を理解する
 IT化する方法を考える
 IT化を実現する
 本日は①と③にフォーカスします 


16. ①ドメイン理解


17. ソフトウェア開発における3つのフェーズ
 ①ドメイン理解
 ②要件定義・設計
 ③実装
 業務を理解する
 IT化する方法を考える
 IT化を実現する


18. そもそもソフトウェア開発とはなんなのか
 There are many things that make software development complex.

    
 But the heart of this complexity is the essential intricacy of the problem domain itself.
 If you’re trying to add automation to complicated human enteprise, then your software cannnot dodge this complexity — all it can do is control it. 
 
 ソフトウェア開発の複雑さの核心は、自動化しようとして いる対象領域（ドメイン）そのものが持つ本質的な複雑さ にあります。ソフトウェアは、その複雑さから逃れることは できず、それをうまく制御（コントロール）することしかでき ないのです。


19. そもそもソフトウェア開発とはなんなのか
 There are many things that make software development complex.

    
 But the heart of this complexity is the essential intricacy of the problem domain itself. 
 If you’re trying to add automation to complicated human enteprise, then your software cannnot dodge this complexity — all it can do is control it. 
 
 ソフトウェア開発の複雑さの核 心は、自動化しようとしている 対象領域（ドメイン）そのものが 持つ本質的な複雑さにありま す。ソフトウェアは、その複雑さから逃れることはできず、それをうまく制御（コント ロール）することしかできないのです。


20. 自動化しようとしている 
 対象領域（ドメイン） 
 
 とはなんなのでしょうか


21. 弊社の例だと...


22. 通話ログを
 登録
 ラベルを付与
 (例: 製品区分)
 通話内容を要約
 顧客から受電
 ラベルを頼りに
 検索・集計
 個別のデータを


    深掘り
 レポートを作成し
 社内に共有
 現状のドメインを理解する
 データ発生
 (コールセンター)
 加工
 (コールセンター)
 連携
 (API連携)
 分析
 (製品部門)
 共有
 (製品部門 → 全社)
 ⚠ 非常に単純化しています 


23. ⚠ 非常に単純化しています 
 通話ログを
 登録
 ラベルを付与
 (例: 製品区分)
 通話内容を要約
 顧客から受電


    ラベルを頼りに
 検索・集計
 個別のデータを
 深掘り
 レポートを作成し
 社内に共有
 現状のドメインを理解する
 データ発生
 (コールセンター)
 加工
 (コールセンター)
 連携
 (API連携)
 分析
 (製品部門)
 共有
 (製品部門 → 全社)
 
 • 入力負荷が高い
 • 入力品質が属人化している
 
 💡課 題
 
 • 新しい軸でラベルづけができない (工数的に)
 • 人間では深掘りに限界がある (工数的に)
 • 上記に起因して効果的なレポートが作成できない
 💡課 題


24. これって
 AIで自動化
 できるんでしたっけ?


25. NO


26. ドメインの理解は
 顧客との対話でのみ
 理解できることですよね
 
 (だってAIが知らないことですから)


27. ドメイン理解にAIは使えない
 そもそも、業務ドメインは、ユーザー (人間) の業務フローを観察することでのみ理解でき ます。AIと対話しても理解できません。
 また、ユーザー (人間) の業務フローは、歴史的経緯を含む膨大なコンテキストの上に 成り立っており、AIはこれを知りません。
 よって、ドメイン理解にAIを使うことは

    無理と考えるのが自然である。
 ⚠ 勿論ドメイン理解を促進するために ChatGPT / Gemini に質問しまくる、
 などの活用は存分にしましょう。


28. ソフトウェア開発における3つのフェーズ
 ①ドメイン理解
 ②要件定義・設計
 ③実装
 業務を理解する
 IT化する方法を考える
 IT化を実現する


29. ③実装


30. 弊社の実装フロー
 方針検討
 既存コードを前提とした 
 実装方針を検討する。 
 必要に応じてチームで検討する。 
 Gemini
 ChatGPT


    Claude Code 
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code 
 Vitest
 Knip
 レビュー
 AIによるレビュー 
 必要に応じて人間レビュー 
 Claude Code 
 Codex


31. 弊社の実装フロー
 方針検討
 既存コードを前提とした 
 実装方針を検討する。 
 必要に応じてチームで検討する。 
 Gemini
 ChatGPT


    Claude Code 
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code 
 Vitest
 Knip
 レビュー
 AIによるレビュー 
 必要に応じて人間レビュー 
 Claude Code 
 Codex


32. 弊社の実装フロー
 方針検討
 既存コードを前提とした 
 実装方針を検討する。 
 必要に応じてチームで検討する。 
 Gemini
 ChatGPT


    Claude Code 
 • 一般的な技術調査や壁打ちに使用
 • 既存のコードベースに対する調査に使用
 • 具体的な実装方針検討に使用


33. DeepWiki
 (回答はまだ続きますが省略...)


34. DeepWiki
 (回答はまだ続きますが省略...)
 チャットを通じて 
 詳細にコードベースを理解できます。 
 オンボーディングでも活躍しています。 
 (実装の詳細を解説する資料は全て捨てました) 


35. Cursor Agent
 (回答はまだ続きますが省略...)


36. Cursor Agent
 (回答はまだ続きますが省略...)
 複数のモデルを使用して 
 並列に実装プランを作成できます。 
 各プランの良いところを選択しながら 
 最終的な実装プランを検討できます。

    


37. 弊社の実装フロー
 方針検討
 既存コードを鑑みた 
 実装方針を検討する。 
 必要に応じてチームで検討する。 
 Gemini
 ChatGPT


    Claude Code 
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code 
 Vitest
 Knip
 レビュー
 AIによるレビュー 
 必要に応じて人間レビュー 
 Claude Code 
 Codex


38. 弊社の実装フロー
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code

    
 Vitest
 Knip


39. 弊社の実装フロー
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code

    
 Vitest
 Knip
 • 実装を担当


40. VIBE-KANBAN


41. VIBE-KANBAN


42. VIBE-KANBAN
 実装方針をちゃんと記述すれば 
 多くのケースで適切に実装してくれます。 
 コードの自己レビューと動作確認をすれば 
 作業完了になるケースも多いです。 


43. AIコーディングの課題
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code

    
 Vitest
 Knip
 • 実装を担当


44. AIコーディングの課題
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code

    
 Vitest
 Knip
 • 実装を担当
 
 • コードが無秩序になりメンテナンス不能になる 
 • 人間が完全に把握しきれなくなり影響範囲を読みきれなくなる 
 💡AIコーディングの課題 


45. この発表は
 ここからが
 面白いところです


46. これらの課題を乗り越えるために
 弊社が実践していることを
 共有します


47. AIコーディングの課題を乗り越える
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code

    
 Vitest
 Knip
 • 実装を担当
 • コードの秩序を維持する
 • 意図しないリグレッションを防ぐ


48. AIコーディングの課題を乗り越える
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code

    
 Vitest
 Knip
 • 実装を担当
 • コードの秩序を維持する
 • 意図しないリグレッションを防ぐ


49. コードの秩序を維持する


50. ここからは
 TypeScript 前提で
 進めます


51. コードの秩序を維持する
 フォーマット
 型検査
 静的検査
 不要コード
 検査
 パッケージ
 設定検査
 Knip


52. コードの秩序を維持する
 フォーマット
 型検査
 静的検査
 不要コード
 検査
 パッケージ
 設定検査
 Knip
 Claude

    Code 


53. コードの秩序を維持する
 フォーマット
 型検査
 静的検査
 不要コード
 検査
 パッケージ
 設定検査
 Knip
 Claude

    Code 


54. AGENTS.md の一部分


55. AGENTS.md の一部分


56. コードの秩序を維持する
 フォーマット
 型検査
 静的検査
 不要コード
 検査
 パッケージ
 設定検査
 Knip
 Claude

    Code 


57. 前提知識
 • ESLint 
 JavaScript 製の静的検査ツール。プラグインを使用することで、 JavaScript 以外の コードに対しても静的検査を実行できる。
 (例:

    TypeScript, Vue, Svelte, YAML, JSON)
 • Oxlint 
 ESLint 互換を目指した Rust 製静的検査ツール。
 ESLint と比較して 50倍から100倍高速。


58. 徹底的な静的検査がコードの秩序を維持する鍵


59. 徹底的な静的検査がコードの秩序を維持する鍵
 ESLint, Oxlint ともに 
 カスタムルールを実装できます。 
 (Oxlint はテクニカルプレビュー) 


    弊社では自社特有のルールを 
 沢山実装しています。 


60. 自社特有のルール例
 • require-hono-request-validation 
 Hono (Webフレームワーク) の req.param / query

    / json / formData 直接取得を全部 禁止して req.valid(...) 経由に統一、ルーターハンドラの第1引数をASTでたどって自動 判定する。
 • no-unsafe-redirect 
 Hono / SvelteKit (UIフレームワーク) 双方の redirect 呼び出しを型情報込みで解析し、ユー ザー入力由来・外部URL・定数でない変数を報告。Open Redirect耐性をLintで網羅的に守る。 
 • void-promise-without-catch 
 void someAsync() パターンを解析して、catch() もしくは try/catch 無しの素のPromise を検出。未捕捉例外をLintで潰して適切なエラーハンドリングを強制する。 


61. 自社特有のルール例
 • require-hono-request-validation 
 Hono (Webフレームワーク) の req.param / query

    / json / formData 直接取得を全部 禁止して req.valid(...) 経由に統一、ルーターハンドラの第1引数をASTでたどって自動 判定する。
 • no-unsafe-redirect 
 Hono / SvelteKit (UIフレームワーク) 双方の redirect 呼び出しを型情報込みで解析し、ユー ザー入力由来・外部URL・定数でない変数を報告。Open Redirect耐性をLintで網羅的に守る。 
 • void-promise-without-catch 
 void someAsync() パターンを解析して、catch() もしくは try/catch 無しの素のPromise を検出。未捕捉例外をLintで潰して適切なエラーハンドリングを強制する。 
 合計で50個以上の 
 自社特有ルールを 
 運用しています。 


62. 補足
 ESLint ルールは、AST と呼ばれる抽象構文木を走査したり、スコープマネージャーと呼 ばれるシンボルのレキシカルスコープを分析しながらプログラムを検査するプログラムで す。
 これらに馴染みのない開発者にとって、ESLint ルールを実装するのはハードルが高い と感じるでしょう。
 しかし実際には問題ありません。LLMがルールを実装してくれます。一部、技術的に正

    確に実装しようとするとLLMではまだ難しいルールがあるのですが、社内に閉じたルー ルではあれば実運用場は許容できることが多いです。


63. AIコーディングの課題を乗り越える
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code

    
 Vitest
 Knip
 • 実装を担当
 • コードの秩序を維持する
 • 意図しないリグレッションを防ぐ


64. 意図しないリグレッションを防ぐ


65. 意図しないリグレッションを防ぐ
 • とにかくテストを書いておけば既存の動作が壊れていないかを判断できる
 • 但し、過去の失敗を避けながら行う必要がある
 ◦ ロンドン学派によるモック地獄によるメンテナンス工数爆発
 


66. 全体を n多重で実行 
 テストアーキテクチャ
 
 • データベースの初期データを定義 
 初期化
 


    • APIを実行 (Hono の testClient を使用)
 実行
 
 • APIレスポンスを検証 
 • データベースを検証 
 検証
 
 • データベースをロールバック 
 後処理


67. 全体を n多重で実行 
 テストアーキテクチャ
 
 • データベースの初期データを定義 
 初期化
 


    • APIを実行 (Hono の testClient を使用)
 実行
 
 • APIレスポンスを検証 
 • データベースを検証 
 検証
 
 • データベースをロールバック 
 後処理
 変更頻度の低い外部IFに対して 
 モックを使用しない 
 結合テストを記述することで 
 変更耐性を確保する 
 (S3などの外部サービス連携部分はモックする) 


68. 全体を n多重で実行 
 テストアーキテクチャ
 
 • データベースの初期データを定義 
 初期化
 


    • APIを実行 (Hono の testClient を使用)
 実行
 
 • APIレスポンスを検証 
 • データベースを検証 
 検証
 
 • データベースをロールバック 
 後処理
 • 実装を担当
 
 • テストケース設計から実装までAIが実施 
 • テストが通るまでAIが繰り返し修正 
 • 細かなテストケースの重複や欠損は気にしない 
 💡テストはAIが記述 


69. その他
 • バグ報告に対しては、修正なしでは落ちるが修正するとパスするテストを 地道に積み上げる (このテストもAIに書かせる)
 • 複雑なロジックなど、結合テストで網羅するのが大変な処理に対しては単 体テストを実装する (このテストもAIに書かせる)


70. 最近
 この施策が良い結果を
 生みました🎉


71. 最近この施策が良い結果を生みました🎉


72. 最近この施策が良い結果を生みました🎉
 システムのコアとなるデータの構造を完全に変更する修正を実施 
 
 QAプロセスでも想定を大幅に下回るバグ検出となった 
 
 実際に本番リリース後も顧客からのバグ報告は1件もなかった 


73. レビュー


74. 弊社の実装フロー
 方針検討
 既存コードを鑑みた 
 実装方針を検討する。 
 必要に応じてチームで検討する。 
 Gemini
 ChatGPT


    Claude Code 
 実装
 実装方針をAIに説明し 
 AIに実装させる。 
 必要に応じて手で修正する。 
 Claude Code 
 Vitest
 Knip
 レビュー
 AIによるレビュー 
 必要に応じて人間レビュー 
 Claude Code 
 Codex


75. 弊社では3つの
 AIレビューツールを使用しています


76. Codex


77. Codex
 Codex からのレビューは 
 ほぼ必ず的確です。 


78. Claude Code


79. Claude Code
 AGENTS.md に書いてある内容に従って 
 大まかなレビューをしてくれます。 
 
 静的検査だけでは検査できない内容も含め 


    プロジェクトの設計に従っているかを確認できて便利です。 


80. Claude Code Security Reviewer
 検出される脆弱性の種類 
 • インジェクション攻撃：SQL、コマンド、LDAP、XPath、NoSQL、XXE 
 •

    認証・認可：認証破綻、権限昇格、IDOR、ロジックバイパス、セッション問題 
 • データ露出：ハードコードされた秘密情報、機微情報のログ、情報漏えい、PII 取り扱い違反 
 • 暗号化の問題：弱いアルゴリズム、不適切な鍵管理、安全でない乱数生成 
 • 入力バリデーション：未検証入力、不十分なサニタイズ、バッファオーバーフロー 
 • ビジネスロジック欠陥：レースコンディション、TOCTOU 
 • 設定の不備：安全でない初期設定、欠落したセキュリティヘッダー、過度に許可された CORS 
 • サプライチェーン：脆弱な依存関係、タイポスクワッティングリスク 
 • コード実行：デシリアライズによる RCE、pickle インジェクション、eval インジェクション 
 • XSS（クロスサイトスクリプティング）：反射型、保存型、DOM ベース 
 引用元: https://github.com/anthropics/claude-code-security-review


81. Claude Code Security Reviewer


82. Claude Code Security Reviewer
 脆弱性を埋め込む可能性を 
 少しでも減らせて便利です。 


83. まとめ


84. 本日のメインメッセージ
 人間がやるべきこと を見極め
 それ以外は 完全自動化 を目指せ


85. そもそもソフトウェア開発とはなんなのか
 There are many things that make software development complex.

    
 But the heart of this complexity is the essential intricacy of the problem domain itself. 
 If you’re trying to add automation to complicated human enteprise, then your software cannnot dodge this complexity — all it can do is control it. 
 
 ソフトウェア開発の複雑さの核 心は、自動化しようとしている 対象領域（ドメイン）そのものが 持つ本質的な複雑さにありま す。ソフトウェアは、その複雑さから逃れることはできず、それをうまく制御（コント ロール）することしかできないのです。


86. ソフトウェア開発における3つのフェーズ
 ①ドメイン理解
 ②要件定義・設計
 ③実装
 業務を理解する
 IT化する方法を考える
 IT化を実現する


87. ソフトウェア開発における3つのフェーズ
 ①ドメイン理解
 ②要件定義・設計
 ③実装
 業務を理解する
 IT化する方法を考える
 IT化を実現する
 • ドメイン理解は人間のみができること 


    
 • AIによる自動化はするべきではない 


88. ソフトウェア開発における3つのフェーズ
 ①ドメイン理解
 ②要件定義・設計
 ③実装
 業務を理解する
 IT化する方法を考える
 IT化を実現する
 • 実装は徹底的に自動化を目指す 


    
 • 自動化による以下の懸念に対処する 
 ◦ コードが無秩序になりメンテナンス不能になる 
 ▪ 徹底的な静的検査 
 ◦ 人間が完全に把握しきれなくなり影響範囲を読みき れなくなる 
 ▪ モックを使用しない結合テストを基本とする 
 
 • コードレビューでもAIを活用する 


89. スポンサーブースで 
 お会いできることを 
 楽しみにしております