🔒 AIが書いたコードをレビューするスキルを考えよう【第二回】パフォーマンス・セキュリティの視点

1. 👋 はじめに

前回は「動作の正しさ・ロジック・可読性」の視点を学びました。

今回は少し踏み込んだ2つの視点を解説します。

パフォーマンス： 「動く」だけでなく「速く・効率よく動く」か
セキュリティ： 「動く」だけでなく「安全に動く」か

AIは「動くコード」を生成するのは得意ですが、この2つの視点が抜け落ちることがよくあります。初心者のうちから意識する習慣をつけておきましょう💪

---

2. ⚡ 視点④：パフォーマンス

パフォーマンスとは？

パフォーマンス（performance）とは？
コードが「どれくらい速く・効率よく動くか」のことです。
少ないデータでは問題なく動いていても、データが増えると突然遅くなることがあります。

AIが生成したコードは「少ないデータで動かしたときは問題なし」でも、本番環境で大量のデータが来たときに一気に問題が表面化することがあります。

N+1問題：最もよくあるパフォーマンスの落とし穴

N+1問題とは？
データベース（データを保存する場所）に対して、本来1回で済む問い合わせを、N回余分に繰り返してしまう問題です。

例：ユーザーが100人いるとき、
「全ユーザーを取得（1回）」＋「各ユーザーの注文を取得（100回）」
= 合計101回の問い合わせが発生 → 遅い！

	N+1問題あり	N+1問題なし
問い合わせ回数	1 + N回（データが増えるほど増加）	1〜2回（データが増えても変わらない）
速度への影響	データが増えると急激に遅くなる	データが増えても速度は安定
AIのコード	よく生成する	意識して指示しないと生成しない

❌ AIがやりがちなコード（N+1問題あり）

// ユーザー一覧を取得
const users = await db.user.findMany();

// 各ユーザーの注文を個別に取得（N回のDB問い合わせが発生！）
for (const user of users) {
  user.orders = await db.order.findMany({
    where: { userId: user.id }
  });
}

✅ 人間がレビューして修正したコード（1回で取得）

// ユーザーと注文を一度に取得（1回のDB問い合わせで完結！）
const users = await db.user.findMany({
  include: { orders: true }
});

チェックのポイント：
ループの中にデータベースの問い合わせが入っていたら要注意。
「まとめて1回で取れないか？」と考えましょう。

計算量：データが増えたときの「重さ」を意識する

計算量とは？
データの量が増えたときに、処理がどれくらい増えるかを表す指標です。
「O記法（オーダー記法）」で表現しますが、難しく考えなくて大丈夫。
「データが2倍になったとき、処理も2倍で済むか？4倍になるか？」 で考えましょう。

種類	データが2倍になると	具体例
理想的	処理も2倍で済む	リストを順番に1回見るだけの処理
要注意	処理が4倍になる	リストの中でリストを探す（二重ループ）
危険	処理が爆発的に増える	全パターンを試す処理

❌ AIがやりがちなコード（二重ループで遅い）

// 重複する値を見つける（二重ループ）
function findDuplicates(list: number[]): number[] {
  const duplicates: number[] = [];
  for (let i = 0; i < list.length; i++) {
    for (let j = i + 1; j < list.length; j++) { // ← ここが問題！
      if (list[i] === list[j] && !duplicates.includes(list[i])) {
        duplicates.push(list[i]);
      }
    }
  }
  return duplicates;
}

✅ 人間がレビューして修正したコード（1回のループで済む）

// Setを使って1回のループで重複を検出
function findDuplicates(list: number[]): number[] {
  const seen = new Set<number>();
  const duplicates = new Set<number>();
  for (const item of list) {
    if (seen.has(item)) {
      duplicates.add(item);
    }
    seen.add(item);
  }
  return Array.from(duplicates);
}

「100倍のアクセスが来たらどうなる？」と問いかける習慣が大切。
前シリーズで紹介したこの問いかけは、パフォーマンスの問題を発見するのに最適です。

不必要なデータ取得を確認する

AIは「とりあえず全部取る」コードを書きがちです。

問題のあるパターン	具体例	改善策
全カラムを取得している	SELECT * で全列取得	必要なカラムだけ指定する
全件取得している	ページングなしで全データ取得	limit や offset で件数を絞る
不要なデータを含めている	使わないリレーションまで取得	必要なものだけ include する

---

3. 🔒 視点⑤：セキュリティ

なぜAIのコードはセキュリティが弱いことがあるのか

AIは「動くコード」を優先して生成するため、
セキュリティ上の考慮が後回しになりやすいです。
また、プロジェクト固有のセキュリティ要件を知らないため、
「一般的に動くコード」は書けても「安全なコード」は書けないことがあります。

AIが見落としやすいセキュリティの問題	リスク
入力値のバリデーションが不十分	不正なデータが処理される
エラーメッセージに詳細情報が含まれる	攻撃者にシステム情報が漏れる
認証・認可のチェックが漏れる	権限のないユーザーがデータにアクセスできる
シークレット情報がコードに含まれる	APIキーやパスワードが流出する
古い・脆弱なライブラリを使う	既知の攻撃手法で侵入される

入力値のバリデーション

バリデーション（validation）とは？
「入力されたデータが正しい形式かどうか確認すること」です。
例：メールアドレスの形式チェック・数値の範囲チェックなど。

ユーザーからの入力は「必ず悪意ある値が来る前提」でチェックします。

❌ AIがやりがちなコード（バリデーションなし）

// ユーザーの年齢を更新する
async function updateAge(userId: string, age: number) {
  await db.user.update({
    where: { id: userId },
    data: { age }  // ageが-1でも999でも保存できてしまう！
  });
}

✅ 人間がレビューして修正したコード

async function updateAge(userId: string, age: number) {
  // 年齢の範囲チェック
  if (!Number.isInteger(age) || age < 0 || age > 150) {
    throw new Error("年齢は0〜150の整数で入力してください");
  }
  await db.user.update({
    where: { id: userId },
    data: { age }
  });
}

認証・認可の確認

認証（authentication）とは？ 「あなたは誰ですか？」を確認すること（ログイン）
認可（authorization）とは？ 「あなたは何ができますか？」を確認すること（権限チェック）

AIはAPIのエンドポイントを実装するとき、認可チェックを忘れることがあります。

❌ AIがやりがちなコード（認可チェック漏れ）

// ユーザーのプロフィールを取得するAPI
async function getProfile(targetUserId: string) {
  // 誰でも他人のプロフィールが取れてしまう！
  return await db.user.findUnique({
    where: { id: targetUserId }
  });
}

✅ 人間がレビューして修正したコード

async function getProfile(
  currentUserId: string,  // ログイン中のユーザー
  targetUserId: string    // 取得したいユーザー
) {
  // 自分のプロフィールか、管理者のみアクセス可能
  const currentUser = await db.user.findUnique({
    where: { id: currentUserId }
  });

  if (currentUserId !== targetUserId && currentUser?.role !== "admin") {
    throw new Error("このプロフィールにアクセスする権限がありません");
  }

  return await db.user.findUnique({
    where: { id: targetUserId }
  });
}

シークレット情報の管理

シークレット情報とは？
APIキー・パスワード・データベースの接続情報など、
外部に漏れてはいけない秘密の情報のことです。

❌ やってはいけないこと	✅ 正しい方法
コードにAPIキーを直書き	環境変数（.env）に保存する
パスワードをそのまま保存	ハッシュ化して保存する
.env をGitにコミット	.gitignore に追加して除外する
ログにパスワードを出力	センシティブな情報はログに含めない

❌ 絶対にやってはいけないコード

// APIキーをコードに直書き（Gitにコミットされると世界中に公開される！）
const apiKey = "sk-1234567890abcdef";

✅ 正しいコード

// 環境変数から取得する
const apiKey = process.env.API_KEY;
if (!apiKey) {
  throw new Error("API_KEYが設定されていません");
}

CVEとライブラリの脆弱性チェック

CVE（Common Vulnerabilities and Exposures）とは？
世界中で発見されたセキュリティの脆弱性（弱点）に付けられる番号です。
例：CVE-2021-44228（Log4Shellという有名な脆弱性）

AIは古いバージョンのライブラリを使ったコードを生成することがあります。
古いライブラリには既知の脆弱性が含まれていることがあるので注意が必要です。

チェック方法	コマンド・方法
Node.jsの脆弱性チェック	npm audit をターミナルで実行
Pythonの脆弱性チェック	pip audit をターミナルで実行
GitHubの自動チェック	Dependabotを有効にする
手動確認	NVD（https://nvd.nist.gov）でCVEを検索

AIにライブラリのバージョンを確認させるプロンプト例：
「このコードで使っているライブラリに既知の脆弱性はありますか？
最新の安定バージョンを使っているか確認してください」

---

4. 📋 レビューチェックリスト（第二回まとめ）

⚡ パフォーマンス

• ループの中にデータベースの問い合わせが入っていない（N+1問題）
• 二重ループなど、データが増えると遅くなる処理がない
• 必要なデータだけ取得している（SELECT * を使っていない）
• 大量データを一度に取得していない（ページングが必要な場所にある）
• 「100倍のアクセスが来たら？」と考えて問題がない

🔒 セキュリティ

• ユーザーからの入力値にバリデーションがある
• 認可チェックが漏れていない（誰でもアクセスできる状態になっていない）
• APIキー・パスワードがコードに直書きされていない
• .env ファイルが .gitignore に追加されている
• 使用しているライブラリに既知の脆弱性がない（npm audit 等で確認）
• エラーメッセージに内部情報が含まれていない

---

5. 🎯 まとめ

視点	一言で言うと	よくあるAIの落とし穴
⚡ パフォーマンス	速く・効率よく動くか	N+1問題・二重ループ・全件取得
🔒 セキュリティ	安全に動くか	バリデーション不足・認可漏れ・シークレット直書き

AIは「動くコード」を生成するのが得意。
「速いコード」「安全なコード」にするのは人間の仕事。

パフォーマンスとセキュリティは「後から直せばいい」ではなく、
最初から意識することが大切です。
レビュー時のチェックリストを活用して、習慣にしていきましょう💪

次回は設計・アーキテクチャの視点を解説します！
「動く・速い・安全」の次のレベル、「長く使えるコード」を作るための視点を学びます🌟

💬 質問や感想があれば、コメント欄でお気軽にどうぞ!
👍 役に立ったら、いいね&ストックをお願いします!
🎓 ここまで読んでくださって、本当にありがとうございました!

---

🔗 シリーズ記事

• 【第一回】動作・ロジック・可読性の視点
• 【第二回】パフォーマンス・セキュリティの視点（この記事）
• 【第三回】設計・アーキテクチャの視点（近日公開）